A seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative alle modalità di trattamento dei dati personali posti in essere dal social network Clubhouse il garante per la privacy ha avviato d’ufficio un’istruttoria durante la quale l’autorità ha ricevuto anche una segnalazione di criticità relative a profili di sicurezza, esercizio dei diritti, mancanza di un rappresentante nell’Unione europea, attività di profilazione, conservazione dei dati personali.
Clubhouse è un social network basato esclusivamente su interazioni vocali che si svolgono in stanze di conversazione denominate room, disponibile al pubblico tramite una App gestita da una società statunitense e non ha alcuna sede nei Paesi dell’Unione Europea. Originariamente l’App era riservata ad un numero ristretto di utenti scelti manualmente dagli stessi fondatori del social network. Solo a settembre 2020 l’App è stata resa disponibile per iOS su Apple Store e il numero di utenti è passato dai circa 5.000 nel mese di settembre, a circa 115.000 (di cui il 90% costituito da utenti statunitensi) nel mese di novembre 2020. Da quel momento in poi, nel giro di tre mesi, il servizio ha avuto una rapida diffusione arrivando a 16 milioni di utenti attivi al mese. L’App è stata resa liberamente utilizzabile e disponibile anche in ambiente Android.
Gli utenti possono essere attivi, se scelgono di aprire una stanza tematica oppure passivi, se semplicemente accedono ad una stanza altrui in veste di ascoltatori. Inoltre, gli utenti, utilizzando nuove funzionalità della piattaforma, possono a) conservare e registrare anche parte delle conversazioni sulla piattaforma e b) condividere le stesse registrazioni con terzi (funzionalità Clips & Replays). I file audio vengono, di regola, eliminati al termine della stanza di conversazione, ma possono essere conservati dalla Società per il tempo necessario alla risoluzione di una contestazione, qualora un cd. incidente venga segnalato o rivelato nel corso di una conversazione.
Con nota del 16 marzo 2022 il Garante ha notificato alla Società l’atto di avvio del procedimento con cui, con riferimento ai trattamenti posti in essere dalla piattaforma Clubhouse, è stata contestata la violazione delle seguenti disposizioni del Regolamento Europeo 679/2016:
- a) artt. 5, par. 1, lett. a), 6 e 7, del Regolamento, per aver realizzato trattamenti per finalità di marketing, registrazione e condivisione con terzi degli audio, profilazione e condivisione delle informazioni sugli account, in carenza di un’idonea base giuridica che legittimi i trattamenti medesimi;
- b) art. 13 del Regolamento, per avere omesso di fornire, fino al 4 agosto 2021, le informazioni sul trattamento agli interessati che conferivano in propri dati personali;
- c) art. 14 del Regolamento, per avere omesso di fornire le informazioni sul trattamento ai soggetti le cui numerazioni telefoniche sono presenti nella lista contatti degli utenti che hanno acconsentito alla loro condivisione con Clubhouse;
- d) artt. 5, par. 1, lett. a) e 12, par. 1, del Regolamento, per aver reso, successivamente alla data di cui al punto b), informazioni sul trattamento in carenza dei requisiti di chiarezza, trasparenza e comprensibilità ivi previsti;
- e) artt. 5, par. 1, lett. e) e 13 del Regolamento, per avere fornito informazioni inidonee in ordine ai tempi di conservazione dei dati personali;
- f) artt. 13, par. 1, lett. a), del Regolamento, per non aver ritualmente indicato i recapiti del rappresentante designato;
- g) art. 27, par 4, del Regolamento per non aver designato un rappresentante dotato di idonee funzioni e competenze;
- h) art. 28 del Regolamento, per non aver ritualmente designato come responsabili del trattamento i fornitori di servizi ai quali i dati personali possono essere comunicati;
- i) artt. 5, par. 1, lett. f) e 32 del Regolamento, per aver implementato misure di sicurezza che, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche, non appaiono adeguate a garantire un livello di sicurezza adeguato al rischio medesimo;
- j) art. 35 del Regolamento, per avere omesso di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali, tenuto conto della ricorrenza dell’ipotesi di cui al paragrafo 3, lett. a), del richiamato art. 35.
All’esito dell’esame delle difese svolte dal social network il garante, con ordinanza ingiunzione del 6 ottobre 2022 ha accertato le violazioni contestate alla Società con riferimento ai punti a) (con esclusione della base giuridica riferita ai trattamenti connessi alle funzioni Clips & Replays), b), c), d), e), f), g) e j) dell’atto di avvio ha prescritto alla società proprietaria del social network di conformare i trattamenti alle disposizioni del Regolamento privacy e ha ordinato il pagamento della sanzione di 2 milioni di euro. Alla società è stato, altresì, vietato ogni ulteriore trattamento delle informazioni svolto per marketing e profilazione senza uno specifico consenso.
Le violazioni contestate sono numerose e vanno dalla scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici alla possibilità per gli utenti di memorizzare e condividere gli audio senza consenso delle persone registrate, alla profilazione e condivisione delle informazioni sugli account senza l’individuazione di una corretta base giuridica, ai tempi indefiniti di conservazione delle registrazioni effettuate dal social per contrastare eventuali abusi.