(yazan: Federica De Stefani, avukat ve Lombardiya Bölgesi Aidr başkanı) Clubhouse, sesli sohbet hizmeti sunan bir uygulamadır, yani belirli konularda gerçek zamanlı olarak konuşulabilecek odalar oluşturma olanağı sunar.
İletişim ve ağ kurma biçiminde devrim yaratan ve çok basit bir işlem sağlayan yeni bir sosyal ağ olarak görülüyor.
Her odanın içinde üyeler birbirleriyle yalnızca ses yoluyla etkileşime giriyor, fotoğraf yok, video yok, mesaj yok. Yeni milenyumun bir çeşit radyosu.
Clubhouse, bu sefer yasal nitelikteki başka bir yönüyle de dikkat çekti: Platform aslında kullanıcıların kişisel verilerinin işlenmesiyle ilgili çok sayıda kritik sorun sunuyor.
Bir yandan bu hala deneysel bir uygulama olsa da (Şubat başında 6 milyon kullanıcıya ilişkin tahminlere rağmen), veri işlemenin Avrupa veri koruma mevzuatının kişisel ilkelerini hesaba katmayan şekillerde gerçekleştiği görülüyor. İtalyan Garantör, platformun sahibi olan şirkete, GDPR ilkelerine uyulduğunun doğrulanması için resmi bir açıklama talebi gönderdi.
Henüz Beta Test aşamasında olduğundan sınırlı kitleye sahip bir uygulama olması (uygulama yalnızca IOS için mevcuttur ve yalnızca davetle erişilebilir) veri işleme yöntemlerini etkilemez ve belirli hususlarda gerekçe oluşturmaz. Bahsedildiği gibi çok sayıda eleştiriye yol açan seçimler.
Her şeyden önce, kişisel verilerin sanatın öngördüğü ve tasarladığı şekliyle işlenmesine ilişkin tam bir bilgi eksikliği bulunmaktadır. GDPR'nin 13. maddesinde, aynı yönetmelikte ilgili tarafa sağlanması zorunlu ve vazgeçilmez bilgiler olarak belirtilen unsurlara atıf tamamen yoktur.
Uygulama. kendi gizlilik politikası var, bunu söylemek gerekiyor, ancak esasen verilen bilgiler GDPR ilkelerine uygun değil.
Örneğin, Avrupa mevzuatına yapılan atıflarda olduğu gibi, işleme için geçerli bir yasal dayanak eksik olup, aksine yalnızca Kaliforniya kanunlarına atıf yapılmaktadır. Ayrıca, platformun sahibi olan şirketin Amerika merkezli olması nedeniyle, tıpkı Veri Koruma Görevlisi atamasının eksik olması gibi, Avrupa'da bir temsilcinin atanması da ihmal edilmiştir.
Kritik konular aynı zamanda, kullanıcıya bir nevi "al ya da bırak"ı empoze eden ve kullanıcıya neredeyse kabul edilmesi gereken bir tür "koşullar paketi" sunan sosyal ağın nasıl işlediğini de ilgilendiriyor. sanki Avrupa Tüzüğü'nün gerektirdiği rızanın ayrıntı düzeyinden uzak, ayrılmaz bir bütünmüş gibi.
Başka bir punctum dolens, telefon rehberine erişimle temsil edilir; bu, kullanıcı tarafından gönüllü olarak verilmeyen bir şeydir, çünkü bu verilere erişim olmadan kullanıcının, kişilerine iletmek üzere davetiye alması mümkün değildir. Bu durumda dahi rıza, GDPR'nin gerektirdiği özgür ve koşulsuz irade beyanı niteliğini taşımamaktadır.
Davet sistemi ve gönderilen ve alınan davetlerin alışverişi ile oluşturulan iletişim zinciri, yani gerçek bir ağ bile gizlilik açısından kritik sorunlar barındırmaktadır.
Kullanıcı, aslında kendisinin ve bağlantı kurduğu kişilerin adının gizlenmesinin imkansız olacağı, dolayısıyla iletişim halinde olduğu tüm kişilerin ve kullanıcılarının kimliğinin belirleneceği şekilde oluşturulan zincirin silinmez bir parçası olarak kalır. davet alışverişine dayalı olarak bunların olası profilleri.
Bir diğer kritik konu ise çeşitli odalarda gerçekleşen konuşmaların kaydedilmesidir.
Hatta platform, kullanım koşullarının bir kullanıcı tarafından ihlal edilmesine ilişkin bir anlaşmazlık durumunda "makul derecede gerekli" olarak tanımlanan bir süre boyunca kaydedilmesi ve saklanması ihtimali dışında, konuşmaları kaydetmediğini beyan ediyor. Ayrıca bu durumda tahmin, kullanılan terminolojiye ve özellikle platformun veri saklama süresine keyfi olarak karar verme gücüne bağlı olarak çeşitli şüphelere yol açmaktadır.
Ayrıca, depolama yöntemleriyle ilgili olarak Clubhouse'un gizlilik politikasında şu ifadenin yer alması oldukça endişe vericidir: “Hizmet'i riski size ait olmak üzere kullanırsınız. Kişisel Verileri korumak için ticari açıdan makul teknik, idari ve organizasyonel önlemleri uyguluyoruz”. Clubhouse, kullanıcı verilerini korumak için "ticari olarak makul" önlemler almayı taahhüt ettiğinden, platformu kullanmanın riski size aittir. Oldukça yüksek bir yorumsal çaba sarf edilse bile, platformun taahhüdünün, varsayılan olarak ve tasarım gereği GDPR'nin gerektirdiği gizlilikle karşılaştırılabileceği kesinlikle söylenemez.
Sonuç olarak, birçok sorun ve bunların ciddiyeti göz önüne alındığında, Garantör'ün kişisel verilerin korunmasına yönelik eyleminin, platformu kendi politikasını gözden geçirmeye ve bunu Avrupa Tüzüğü ilkelerine uyarlamaya iteceği umut ediliyor. diğer kullanıcıların, "en yeni nesil" uygulamalar tarafından bile verilerinin tabi tutulduğu işlemlere daha fazla dikkat etmeleri gerekiyor.