Quante volte anche noi abbiamo detto la frase del titolo? Abbiamo scritto, inviato, ricevuto qualcosa utilizzando quel sistema di messaggistica che sembra il più usato al mondo? Rapido, comodo, a portata di pollice. Ma anche: opaco, poco controllabile, fuori da ogni tracciabilità formale.

WhatsApp e la privacy

E allora la domanda è lecita: possiamo fidarci?

Meta su un punto ci rassicura: la crittografia end-to-end protegge ogni messaggio, chiamata, file. Nessuno, nemmeno WhatsApp, può leggere o ascoltare cosa ci diciamo. Resta tra noi, il destinatario e, forse, tra i cento e passa membri di quel gruppo. Bene. Ma ci basta davvero? Perché, anche se il contenuto è blindato, tutto il resto resta in chiaro: orari, frequenza, numero e identità dei contatti, posizione geografica, tipo di dispositivo, sistema operativo. E questi metadati, da soli, bastano a profilare una persona molto più di quanto immaginiamo.

Leggi anche qui > WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

Ma non è finita qui. Le chiamate vocali e video raccolgono toni di voce, pause, modalità espressive. E se pensi che questi non siano dati biometrici, forse è il caso di aggiornare la definizione. Perché mentre noi parliamo, i sistemi possono raccogliere impronte vocali. E quando arriveranno i modelli multimodali completi — e arriveranno — la voce diventerà una firma digitale tanto quanto il volto o l’impronta.

L’informativa di WhatsApp è generica, e in certi punti fumosa. Il linguaggio è ambiguo e legalese mascherato da apparente semplicità, oltre a fare largo uso di frasi come “possiamo condividere”, “potremmo utilizzare”, “in determinate circostanze”, che non chiariscono quando, come e con chi i dati vengono realmente trattati o trasferiti. è anche generica nelle finalità spesso accorpate in blocchi larghi e indefiniti (“per migliorare il servizio”, “per prevenire abusi”, “per personalizzare l’esperienza”), che non permettono all’utente di capire concretamente cosa viene fatto con i suoi dati, né di opporsi selettivamente. Aggiungiamo che è poco trasparente nelle interconnessioni con le altre società di Meta e inadeguata perché non offre un consenso selettivo: tutto o niente.

Aspettiamo eventuali interventi del Garante ma, nel frattempo, chiediamoci cosa accade nelle imprese che veicolano documenti, informazioni riservate, coordinate di clienti e fornitori tramite WhatsApp, spesso attraverso gli smartphone personali dei dipendenti. Perché è qui che si apre una crepa, piccola all’inizio, ma potenzialmente disastrosa.

Approfondisci > Errore umano e protezione dei dati: perché basta una svista per compromettere l’intera azienda

Uno smartphone aziendale o personale che riceve via WhatsApp documenti contenenti dati personali, magari sensibili o appartenenti a categorie particolari, è a tutti gli effetti un luogo di trattamento. E se quel telefono non è protetto da politiche aziendali precise, da misure di sicurezza adeguate, da sistemi di gestione del ciclo del dato, allora non siamo più davanti a un semplice mezzo di comunicazione, ma a un punto critico di esposizione. E questo, sotto il profilo del GDPR, solleva una serie di problemi non trascurabili.

Innanzitutto, la mancanza di tracciabilità e documentazione. Chi ha ricevuto il file? Dove è stato archiviato? È stato inoltrato? È rimasto nella galleria immagini? L’azienda può davvero dimostrare di avere sotto controllo il trattamento?

Poi, il problema dell’autorizzazione interna. Se il dipendente riceve e gestisce dati personali tramite WhatsApp, è autorizzato formalmente a farlo? L’uso di quel canale è previsto nel mansionario, nel registro dei trattamenti, nelle policy interne? E il cliente - interessato, ne è consapevole?

Potrebbe interessarti > Aziende e dati: un circolo virtuoso

Infine, il nodo della responsabilità. In caso di violazione, furto dello smartphone, backup non cifrati, o semplice inoltro errato, chi risponde? L’azienda può ancora sostenere che “è successo su WhatsApp”, come se questo esonerasse dal rispetto del principio di accountability?

Conclusioni

Sono questioni delicate alle quali ogni impresa deve dare una risposta in relazione alla “sua” privacy policy e alla applicazione del GDPR in attesa, anche, di sapere se WhatsApp è solo un sistema di messaggistica o un vero e proprio social.