WhatsApp ha aggiornato i termini del servizio e la privacy policy per il 2021: nulla di strano, ma i primi malumori già sono originati dal fatto che gli utenti hanno tempo fino all'8 Febbraio per accettarli o abbandonare l'app. Sicuramente il punto che più ha suscitato critiche è, però, l'annuncio della condivisione dei dati con le altre aziende di Facebook e partner, che per i gestori del servizio significa semplicemente "maggiore integrazione tra le varie aziende collegate a Facebook", ma per gli utenti (soprattutto europei) suona come un vero e proprio campanello d'allarme. Anche le autorità antitrust hanno drizzato le antenne rispetto a questa decisione.

Dalle parti di WhatsApp hanno immediatamente segnalato che per gli utenti europei e del Regno Unito queste modifiche non comporteranno alcuna modifica alle modalità di condivisione dei dati. Ed hanno fatto bene a sottolinearlo, perchè l'unico strumento che ci separa da un epocale (e forse senza precedenti) accentramento di dati personali è il GDPR.

E' infatti grazie al GDPR che in Europa non è consentita alcuna presa di posizione unilaterale sul trattamento dati personali a fini di marketing e profilazione, poichè una tale modalità impedirebbe all'interessato di poter concedere o negare il consenso in maniera libera, consapevole e informata. Fermo restando un punto: la Corte di Giusitizia Europea ha già dichiarato Facebook non in condizione di garantire il rispetto dei diritti degli utenti europei.

La nuova informativa in pillole
Le principali modifiche ai termini di servizi rigurdano proprio le modalità con cui vengono trattati i dati e i meccanismi con le quali le aziende che utilizzano WhastsApp Business possono usare i servizi di Facebook per gestire la chat.

L'elenco delle modifiche è visibile nel sito ufficiale di WhatsApp, dal quale si apprende che in data 4 Gennaio sono stati pubblicati 4 informative che specificano le novità:

• Aggiornamenti chiave;
• Termini di servizio;
• Informativa privacy;
• Codice europeo delle comunicazioni elettroniche.  

E si capisce al volo quanto il GDPR sia una peculiarità: le informative stesse tracciano un solco netto tra utenti europei e non. Ad esempio, in Europa l'iscrizione è vincolata al compimento dei 16 anni, mentre bastano 13 anni per gli utenti di tutte le altre parti del mondo.

Non solo: l'informativa europea manca completamente di una nota che invece è presente nelle altre informative, dal titolo "Operazioni a livello globale", poichè queste informazioni riguardano "soltanto" gli utenti che non risiedono in Europa. La nota semplicemente spiega all'utente non europeo che "WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook, che esternamente con i nostri partner e con le persone con cui l'utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy e dei nostri Termini."

Le informazioni controllate da WhatsApp potrebbero essere trasferite o trasmesse o archiviate e trattate negli Stati Uniti o in altri Paesi terzi al di fuori di quello in cui l'utente risiede per gli scopi descritti nella presente Informativa sulla privacy. WhatsApp utilizza l'infrastruttura globale e i data center di Facebook, inclusi quelli negli Stati Uniti."

Per gli utenti europei invece WhatsApp si è affrettata a ribadire, anche a mezzo stampa che “Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy. Non condividiamo i dati degli utenti dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”.

Il Reponsabile delle Policy per WhatsApp, Niamh Sweeney, è andato anche oltre, dal proprio account Twitter:
“Oggi Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook. Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la commissione per la protezione dei dati irlandese”.

Resta che già le modalità con cui è espressa la nuova privacy sono poco chiare e potrebbero aver ingenerato non pochi problemi anche nello spazio europeo: prima tra tutti la modalità con la quale viene richiesto all'utente di prestare il consenso alle nuove policy. In aperto contrasto con quanto previsto dalle Linee Guida dell'EDPB, l'utente non può rifiutare di prestare il consenso, dato che c'è solo un tasto "Accetto" e il click sulla X della chiusura comporta solo che la richiesta di consenso viene di nuovo mostrata al successivo accesso allìapplicazione. I dubbi comunque sono molto legati anche alle finalità: si specifica che i dati degli utenti saranno condivisi con tutte le società del gruppo Facebook, ma i motivi non sono affatto espressi chiaramente. Cosa significa infatti che tra aziende del gruppo Facebook e partner avverrà una condivisione dati per "agevolare, sostenere e integrare le nostre attività e migliorare i nostri servizi"? Che ne sarà poi dei dati di quegli utenti che, accettati Policy Privacy e Termini di Servizio di WhatsApp, vedranno i propri dati finire nelle mani di Facebook pur non essendo iscritti al famoso social?

Critiche sono da rivolgersi anche alla mancanza di granularità del consenso, dato che con un solo pulsante si accetta di cedere qualasiasi tipo di dato (dai dati personali ai dati di contatto a quelli di geolocalizzazione, ai media ecc...) per, nei fatti, qualsiasi tipo di finalità.

Insomma, c'è da aspettarsi che le polemiche su questa decisione di Facebook dureranno ancora per molto, districandosi intorno ad una faglia che pare spaccare ormai anche le big tech, ovvero quella di come bilanciare la protezione dei dati personali (e i diritti individuali dai quali origina) e la necessità delle aziende di monetizzare tali dati. 

Per approfondire > Facebook VS Apple: per il social la nuova Policy Privacy della Mela è troppo stringente e depotenzierà l'advertising

In tutta questa vicenda, però, c'è un fatto centrale che non deve scomparire dietro l'ondata di critiche e risposte: si deve registrare l'evidenza che il GDPR, in questa vicenda, ha funto da vero e proprio scudo intorno agli utenti dello spazio georgrafico europeo, dimostrando invece come la mancanza di una legislazione simile nel resto del mondo esponga i diritti degli utenti all'assoluto arbitrio delle big tech.