Home>Garante>Internet, Provvedimenti, Social Network, Telecomunicazioni>WhatsApp: divieto di cessione dei dati degli utenti a Facebook

WhatsApp: divieto di cessione dei dati degli utenti a Facebook

Registro dei provvedimenti
n. 462 del 4 ottobre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;

VISTO il  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, Regolamento);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTO il decreto legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;

Vista la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. FATTO

Il 25 agosto 2016 WhatsApp Inc. – società con sede in 650 Castro Street, Suite 120-219, Mountain View, California, 94041 (USA), acquisita nel 2014 da Facebook Inc. con sede in 1601 Willow Rd, Menlo Park, California 94025 (USA) – ha modificato “termini e informativa sulla privacy” dei propri servizi di messaggistica. La modifica riguardava la messa a disposizione a  Facebook di una serie di informazioni concernenti i singoli account WhatsApp.

Nella stessa data del 25 agosto 2016 WhatsApp Inc. ha reso pubblici, tramite il proprio blog (https://blog.whatsapp.com/), i termini essenziali dell’operazione, dichiarando che il trattamento dei dati personali anche degli utenti italiani WhatsApp da parte di Facebook sarebbe stato riconducibile sostanzialmente a tre finalità, che, come successivamente meglio specificato, si possono individuare nelle seguenti:

a) “Business Analysis Analytics”: con questa espressione Facebook intende un’attività di de-duplicazione degli account sulle varie app del gruppo (sia WhatsApp, ma anche Facebook e Instagram) allo scopo di individuare gli utenti unici attivi su di esse; con la stessa espressione, Facebook intende anche un’attività di analisi della frequenza e delle caratteristiche di utilizzo delle sue applicazioni (inclusa WhatsApp), quest’ultima tuttavia condotta su base anonima e aggregata;

b) “System Security Purpose”: finalità di sicurezza e antispam che permetterebbe a WhatsApp di condividere e ricevere informazioni relative a account abusivi, pericolosi o illeciti che siano attivi nelle società del gruppo Facebook;

c) “Targeted Advertising Purpose”: utilizzo dei dati degli utenti WhatsApp per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.

Con specifico riferimento alla terza finalità, Whatsapp ha invitato i propri utenti a manifestare la loro adesione alla comunicazione dei dati a Facebook  entro 30 giorni specificando che l’eventuale diniego avrebbe comportato l’interruzione del servizio.

In particolare, le modifiche introdotte sono state illustrate prospettando all’utente due opzioni:

a. accettare senz’altro le nuove condizioni cliccando su apposito campo contenente l’indicazione “Accetto”,  o

b. cliccare sul link “leggi”, azione che consentiva di accedere ad una schermata denominata “Aggiornamenti chiave”, contenente un rinvio “all’Informativa privacy” (un documento di 17 pagine consultabile mediante lo scorrimento del testo: c.d. “scroll”); in questo caso, all’atto dell’apertura della schermata “Aggiornamenti chiave”, risultava già preselezionata l’opzione, con il seguente testo: «Condividi le informazioni del mio account WhatsApp con Facebook per migliorare le mie esperienze con le inserzioni e i prodotti di Facebook. Le tue chat e il tuo numero di telefono non verranno condivisi su Facebook a prescindere da questa impostazione».

2. ISTRUTTORIA DEL GARANTE

I fatti si sono verificati prima dell’applicabilità del Regolamento, e quindi sotto la vigenza della Direttiva 95/46/CE e del Codice non ancora modificato dal d.lgs. n. 101/2018.

In data 27 settembre 2016 l’Autorità ha inviato una richiesta di informazioni a WhatsApp Inc. e Facebook Inc., che è stata da questi congiuntamente riscontrata il 17 ottobre successivo.

Sono state quindi richieste alcune informazioni supplementari nel corso di un incontro tenutosi il 20 ottobre 2016 e mediante una specifica nota del 28 successivo; ad esse è stata fornita risposta con missiva dell’11 novembre 2016.

In via preliminare, nella risposta del 17 ottobre 2016, Facebook Ireland (indicata da Facebook Inc. quale titolare del trattamento dei dati degli utenti italiani),  precisando di rispondere in via collaborativa anche per conto di WhatsApp Inc., ha comunicato che la condivisione dei dati per la finalità di carattere pubblicitario (v. ante punto 2, lett. c) sarebbe stata sospesa. Secondo tale Società, inoltre, detta condivisione, potrebbe anche non necessitare di un consenso specifico da parte degli utenti, potendosi fondare su basi giuridiche alternative, come ad esempio gli “interessi legittimi” previsti dall’art. 7 (f) della Direttiva 95/46/CE; inoltre, con specifico riferimento alla disciplina italiana, ai sensi dell’art. 24, comma 1, lettera i-ter), del Codice, le società appartenenti allo stesso gruppo possono condividere i dati personali per finalità amministrativo-contabili specificate all’art. 34, comma 1-ter), del Codice, purché queste finalità siano rese note agli utenti tramite l’informativa.

Nel corso dell’istruttoria, WhatsApp ha poi precisato che i dati oggetto di possibile condivisione con Facebook sono riconducibili alle seguenti tipologie:

a. numero di telefono cellulare dell’utente;

b. determinate informazioni sul dispositivo: i codici di rete e di nazionalità del cellulare, informazioni sulla piattaforma, la versione dell’applicazione utilizzata e flags per permettere il rilevamento dell’accettazione dell’aggiornamento e delle scelte di controllo fatte;

c. le informazioni sull’”ultimo accesso” dell’utente;

d. la data di registrazione dell’account WhatsApp.

3. ISTRUTTORIA DELLA TASK FORCE

Nel frattempo, sulla medesima vicenda il Gruppo Articolo 29 (WP29), ha costituito una Task Force, presieduta dall’Autorità Inglese (ICO), nell’ambito della quale sono stati messi in evidenza gli aspetti critici dell’informativa in questione. Dette criticità sono state rappresentate a WhatsApp Ireland dalla Autorità Irlandese.

Nell’ambito di tale istruttoria si è tenuto un incontro a Londra, il 25 gennaio 2018, con i rappresentanti delle due società e Whatsapp ha inviato due lettere, datate 4 febbraio e 8 giugno 2018. In tali occasioni, quest’ultima ha fra l’altro affermato quanto segue:

a. per le finalità di carattere pubblicitario, la condivisione dei dati “da titolare del trattamento a titolare del trattamento” non sarebbe avvenuta e sarebbe stata sospesa a tempo indeterminato; nel caso in cui la stessa dovesse aver corso, ciò avverrebbe comunque in costante confronto con l’autorità irlandese, operante, nella prospettiva del Regolamento, quale Lead Supervisory Authority;

b. per la finalità di safety & security, la condivisione dei dati sarebbe avvenuta esclusivamente sulla base di una relazione “da titolare del trattamento a responsabile del trattamento”; WhatsApp ha però manifestato la propria intenzione di procedere a tale condivisione – dopo l’applicabilità del Regolamento –  anche sulla base del rapporto “da titolare del trattamento a titolare del trattamento”, applicando come base giuridica, a seconda dei casi, il legittimo interesse, le esigenze contrattuali, gli interessi vitali o l’interesse pubblico, considerato che tale trasmissione sarebbe necessaria per proteggere la sicurezza degli utenti di Facebook e del pubblico in generale; in questa ipotesi, comunque – ha precisato – si procederebbe caso per caso (ad esempio per individui previamente identificati nel caso di un rischio specifico) e a seguito di ulteriori impegni e consultazioni con l’Autorità irlandese;

c. per le finalità di business analytics, la condivisione dei dati sarebbe avvenuta esclusivamente sulla base di una relazione “da titolare a responsabile” e, alla luce di ciò, Facebook non potrebbe utilizzare i dati per finalità relative alle attività proprie, ma solo per quelle di WhatsApp.

OSSERVA

4. VALUTAZIONI DI MERITO

Le risultanze istruttorie hanno evidenziato che le società in questione agiscono quali autonomi titolari del trattamento (cfr. le note pervenute in atti, nonché Blog WhartApp, 25 agosto 2016 e “Informazioni legali su Whatsapp-società affiliate”, in https://www.whatsapp.com.legal/); le stesse, peraltro, non hanno comprovato una diversa configurazione, ai sensi del Codice, del rapporto intercorrente tra di loro (ad esempio, fornendo un contratto dal quale potesse sia pure desumersi un rapporto di titolare-responsabile ex art. 29 del Codice medesimo).

Da ciò consegue che il flusso di dati personali riferiti degli utenti italiani di WhatsApp nell´ambito del gruppo di società facente capo a Facebook si configura come comunicazione a terzi, operazione che è possibile effettuare lecitamente solo ove, prima di attivare il flusso di dati tra le società, il titolare (WhatsApp) abbia acquisito il consenso informato dei singoli interessati (artt. 13 e 23 del Codice) o si sia in presenza di uno dei presupposti di esonero del consenso previsti dall´art. 24 del Codice.

Dall’istruttoria svolta e dagli esiti dei lavori della Task Force è emerso che le modalità con cui WhatsApp ha acquisito il consenso per il trasferimento dei dati degli utenti italiani a Facebook non possono essere considerate conformi agli articoli 13, 23 e 24 del Codice, in quanto:

a) l’informativa relativa alla condivisione non rispetta il principio di correttezza e. soprattutto, appare inidonea in quanto non contiene tutti gli elementi tassativamente previsti dall’art. 13 del Codice, con riferimento ai seguenti tre profili:

i. nel messaggio di notifica viene solo comunicato un generico cambiamento della cd. privacy notice, non evidenziandosi in alcun modo l’elemento sostanziale che ha reso necessario modificare le informazioni agli interessati (vale a dire la condivisione con Facebook dei dati relativi all’account WhatsApp);

ii. non è di agevole comprensibilità, anche nell’informativa integrale, quali siano i dati oggetto di comunicazione a Facebook;

iii. le finalità perseguite dal trattamento in questione risultano vaghe, specie laddove fanno riferimento a un preteso “miglioramento delle esperienze con le inserzioni e i prodotti di Facebook”, mentre si tratta di consentire, tra le altre, a operazioni di carattere pubblicitario effettuate, evidentemente, nell’interesse di Facebook;

b) il consenso non può ritenersi espressamente, specificamente e liberamente manifestato, poiché risulta essere stato richiesto:

i. mediante un modello imperniato sul principio dell’opt-out (casella di spunta già “flaggata”) (cfr. ex pluribus provv. 4 luglio 2013, in www.gpdp.it, doc. web n. 2542348; ordinanze-ingiunzioni 1° ottobre 2015 doc. web n. 4611905, 5 marzo 2015, doc. web n. 4203055, 11 giugno 2015, doc. web n. 4243173, 18 dicembre 2014, doc. web n. 3750400 – nonché Gruppo WP29, Parere n. 15/2011);

ii. prospettando, in caso di mancata adesione, l’interruzione di un servizio ormai divenuto di generale utilizzo, ossia una conseguenza sproporzionata rispetto alle esigenze di funzionamento dello stesso (come peraltro confermato dal fatto che tale comunicazione di dati non ha poi avuto luogo, senza alcuna compromissione delle attività di WhatsApp);

c) il requisito del legittimo interesse del titolare non appare configurabile nel  caso di specie, atteso che ai sensi dell’art. 24, comma 1, lett. g), del Codice, oltre non essere stata attivata la procedura di bilanciamento degli interessi coinvolti a cura di questa Autorità, non sono stati comunque forniti idonei elementi di valutazione per poter verificare, ad esempio, se il trattamento perseguisse effettivamente il legittimo interesse dichiarato (tra gli altri, la sicurezza); se fosse necessario per la realizzazione dell’interesse, cioè contribuisse alla sua realizzazione, meglio di altre possibili soluzioni meno invasive; se, infine, tale trattamento, oltre ad essere idoneo e necessario, fosse finalizzato alla produzione di un beneficio nella realizzazione del legittimo interesse (in ipotesi, aumento della sicurezza) la cui importanza sia superiore allo svantaggio arrecato agli interessati (sul punto cfr. il parere del WP29 del 19 aprile 2014, n. 6/2014)

d) infine, non si ritiene parimenti applicabile l’art. 24, comma 1, i-ter), del Codice, proprio alla luce delle finalità perseguite, come dichiarate dalle società, che esulano dall’ambito di applicazione della norma.

Ove Whatsapp intenda, nella vigenza del Regolamento, effettuare i predetti trattamenti prescindere dal consenso e invocare, invece, le diverse basi giuridiche ora indicate, in alternativa al consenso, dall’art. 6, par. 1, lettere da b) a f), del Regolamento, l’Autorità di controllo capofila di cui agli artt. 60 e ss. del Regolamento, in cooperazione  con questa Autorità dovrà valutare l’integrale rispetto della disciplina applicabile.

5. CONCLUSIONI

Alla luce degli esiti istruttori, il consenso degli utenti italiani ottenuto da WhatsApp alla comunicazione dei dati personali che li riguardano a Facebook è da ritenersi acquisito in violazione degli artt. 13 e 23, del Codice, nonché in assenza di un’altra base giuridica equipollente dallo stesso prevista, e quindi i dati così trattati non possono essere utilizzati ai sensi dell’art. 11 del Codice. Pertanto, l’ulteriore comunicazione deve essere vietata, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, al pari di ogni altro trattamento derivante dall’eventuale avvenuta comunicazione da parte di WhatsApp a Facebook.

Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIO’ PREMESSO, IL GARANTE: 

ai sensi dell’art. 58, par. 2, lett. f), del Regolamento vieta a WhatsApp di comunicare i dati dei propri utenti il cui consenso sia stato ottenuto con le modalità sopra indicate e a Facebook di effettuarne comunque ogni ulteriore trattamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e art. 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 ottobre 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

2018-11-29T11:15:24+00:00 4 ottobre 2018|Internet, Provvedimenti, Social Network, Telecomunicazioni|