Avv. Vincenzo Colarocco
Il Garante per la protezione dei dati personali con il provvedimento 9058572 del 4 ottobre 2018 chiude un’inchiesta avviata nel 2016. In particolare, nell’agosto dello stesso anno Whatsapp modificava termini e informativa sulla privacy, predisponendo la disponibilità per Facebook di una serie di informazioni concernenti i singoli account degli utenti Whatsapp. Detto altrimenti, le due società, facenti parte come noto del medesimo gruppo (Whatsapp, Facebook, Instagram), avrebbero condiviso i dati degli utenti trattandone i dati per tre precipue finalità: 1) safety and security al fine di ricevere informazioni riguardanti account abusivi, pericolosi o illeciti; 2) business analytics al fine di de-duplicare gli account sulle varie applicazioni del gruppo individuandone gli utenti unici attivi su di esse; 3) pubblicitarie per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.
A seguito dell’istruttoria compiuta da una Task Force costituita dal Gruppo Articolo 29 (WP29) e delle osservazioni e valutazioni nel merito condotte dal Garante è emerso che il consenso degli utenti italiani ottenuto da Whatsapp deve ritenersi acquisito in violazione delle regole normative vigenti. In particolare, l’informativa non rispettava il principio di correttezza poiché non conteneva tutti gli elementi dell’art. 13 del GDPR: si trattava, infatti, di un comunicato troppo generico, non facilmente comprensibile, con finalità alquanto vaghe. Il consenso, per questo, non poteva ritenersi espresso, specifico e libero: Whatsapp chiedeva ai propri utenti di “accettare” le modifiche mediante un modello imperniato sull’opt-out (casella di spunta già “flaggata”), prospettando, in caso di mancata adesione, la sospensione del servizio, cosa che appariva decisamente sproporzionata. Del resto, non sussisteva una base giuridica diversa dal consenso, come il legittimo interesse, idonea a legittimare tali trattamenti.
Related Posts