(por Federica De Stefani, abogada y responsable de Aidr Regione Lombardia) Clubhouse es una aplicación que ofrece un servicio de chat de audio, es decir, la posibilidad de crear salas para conversar, sobre temas específicos, en tiempo real.
Se ve como una nueva red social que revoluciona la forma en que nos comunicamos y trabajamos en red y proporciona una operación muy simple.
Dentro de cada sala, los miembros interactúan entre sí solo a través de audio, sin fotos, sin videos, sin mensajes. Una especie de radio del nuevo milenio.
Clubhouse también llamó la atención por otro aspecto, esta vez de carácter legal: la plataforma tiene, de hecho, numerosos problemas críticos relacionados con el procesamiento de los datos personales de los usuarios.
Si, por un lado, sigue siendo una aplicación experimental (a pesar de que las estimaciones a principios de febrero se refieren a 6 millones de usuarios), el tratamiento de los datos parece tener lugar de forma que no tienen en cuenta los principios de la legislación europea en materia de protección de datos. , tanto es así que el Garante italiano ha enviado una solicitud formal de aclaración a la empresa propietaria de la plataforma para verificar que se respetan los principios de la GDPR.
El hecho de que sea una aplicación con una audiencia limitada ya que todavía se encuentra en Beta Test (la aplicación solo está disponible para IOS y solo se puede acceder a ella por invitación) no afecta los métodos de procesamiento de datos y no constituye una justificación para ciertas elecciones que, como se mencionó, se prestan a numerosas críticas.
En primer lugar, la información sobre el procesamiento de datos personales según lo previsto y concebido por el art. 13 del RGPD, careciendo por completo de la referencia a aquellos elementos que en la misma norma se señalan como información indispensable y obligatoria a facilitar al interesado.
La aplicación. tiene su propia política de privacidad, esto hay que decirlo, pero en esencia la información que se proporciona no está en consonancia con los principios del RGPD.
Por ejemplo, falta una base legal válida para el procesamiento, como es la referencia a la legislación europea, haciendo, por el contrario, solo referencia a las leyes de California. Además, se omite la designación de un representante en Europa, dado que la empresa propietaria de la plataforma tiene su sede en América, así como la designación de un Delegado de Protección de Datos.
Los temas críticos también conciernen al mismo mecanismo a través del cual funciona la red social que impone una especie de "tomar o dejar" al usuario y con el que se le ofrece una especie de "paquete de condiciones" que debe ser aceptado como si se tratara de un unicum indivisible, lejos de esa granularidad de consentimiento que exige el Reglamento europeo.
Otro punctum dolens está representado por el acceso a la agenda telefónica, que es cualquier cosa menos voluntariamente otorgada por el usuario, ya que sin acceso a estos datos no es posible, por el mismo, obtener las invitaciones que se enviarán a sus contactos. También en este caso el consentimiento no cubre las características de manifestación libre e incondicional de voluntad requeridas por el RGPD.
Incluso el sistema de invitaciones y la cadena de contactos que se crea mediante el intercambio de invitaciones enviadas y recibidas, una red real, presenta algunas criticidades en cuanto a la privacidad.
El usuario, de hecho, sigue siendo parte imborrable de esa cadena que se crea ya que su nombre, así como el de sus contactos, sería imposible de ocultar, lo que conlleva la identificación de todos los sujetos con los que está en contacto y los posible perfilado del mismo en base al intercambio de invitaciones.
Otra criticidad está representada por la grabación de las conversaciones que tienen lugar en las distintas salas.
La plataforma declara, de hecho, no grabar las conversaciones, solo para brindar la posibilidad de grabarlas y almacenarlas, por un tiempo definido como "razonablemente necesario" en caso de disputa de la violación de las condiciones de uso por parte de un usuario. También en este caso, la disposición plantea varias dudas sobre la terminología utilizada y, en concreto, sobre la facultad de la plataforma para decidir arbitrariamente el tiempo de conservación de los datos.
Además, en cuanto a los métodos de conservación, la política de privacidad de Clubhouse es bastante desconcertante cuando leemos “Usted usa el Servicio bajo su propio riesgo. Implementamos medidas técnicas, administrativas y organizativas comercialmente razonables para proteger los Datos Personales ". Utiliza la plataforma bajo su propio riesgo, ya que Clubhouse se compromete a tomar medidas "comercialmente razonables" para proteger los datos del usuario. Incluso haciendo un esfuerzo interpretativo bastante alto, ciertamente no se puede decir que el compromiso de la plataforma sea comparable a la privacidad por defecto y por diseño requerido por el GDPR.
En conclusión, dados los múltiples problemas y la gravedad de los mismos, la esperanza es que la acción del Garante para la protección de datos personales empuje a la plataforma por un lado a revisar su política adaptándola a los principios de la normativa europea. Regulación, de otros usuarios para que presten más atención a los tratamientos a los que son sometidos sus datos incluso por las aplicaciones de "última generación".