Un secco richiamo a WhatsApp e uno altro altrettanto perentorio a Yahoo chiudono il mese di ottobre degli organismi istituzionali europei a guardia della protezione dei dati e della privacy. L’Article 29 Working Party (WP29) della Direzione Generale della Giustizia della Commissione Europea ha da un canto intimato a Yahoo in una lettera datata 27 ottobre di condividere informazioni circa la nota “fuga” di dettagli da mezzo miliardo di account e-mail avvenuta nel 2014 e dall’altro richiesto a WhatsApp, anche qui perentoriamente in una seconda lettera, sempre del 27 ottobre, di sospendere la condivisione dei dati dei suoi utilizzatori con “la famiglia di imprese che ruota attorno a Facebook” fino al momento in cui non possa essere assicurata la rispondenza dei dati “all’appropriata protezione legale”.

Nel primo caso, con Yahoo, facendo riferimento alla notizia apparsa su Tumblr in cui il capo della sicurezza denunciava il furto di dati personali di 500 milioni di utilizzatori, Il WP29 chiedeva una rapida ed esaustiva indagine con lo scopo di fornire ai titolari degli account violati dettagli circa i passi da intraprendere in seguito al furto di dati e come fronteggiarne le possibili conseguenze. Infine, il WP29 ha dichiarato di voler indagare anche sulle email scannerizzate per scopi di intelligence desiderando in particolare approfondire la base legale su cui Yahoo avrebbe operato. Il furto reso noto a settembre appartiene al passato e sarà difficile dopo due anni arginarne gli eventuali effetti per gli individui che ne sono stati vittime. “due anni in questo campo fanno due lustri in termini tecnici” ha sottolineato in una conversazione privata uno dei tecnici al lavoro sui casi nella Direzione Generale Giustizia.

Più interessante il taglio della lettera WhatsApp. Qui infatti, dopo avere rilevato che la comunicazione della condivisione di dati su larga scala con il gruppo Facebook potrebbe essere anche a fini pubblicitari o commerciali, il WP29 sottolinea come queste condizioni non fossero comprese fra quelle sottoscritte dagli utilizzatori al momento dell’apertura dei loro account WhatsApp. Senza contare le ripetute assicurazioni delle due società circa l’assenza d’intenzione di rendere fra loro sinergici i dati sinergici raccolti.

Ma questo è semplice. Maggiormente indicativo di possibili orientamenti legislativi futuri è il resto della lettera, che chiede espressamente e in maniera specifica a WhatsApp di illustrare dettagliatamente:

  • l’esatta categoria dei dati condivisi (esempi: nomi, numeri di telefono, indirizzi mail o postali)
  • la fonte dei dati (esempi: dal telefono dell’utilizzatore? o dati già registrati nei server WhatsApp?)
  • un elenco di quanti hanno ricevuto i dati e gli effetti del trasferimento dei dati sugli utilizzatori e su potenziali persone terze.

La lettera conclude dicendo che questa informazione così dettagliata è essenziale per il WP29 per valutare la correttezza del processo e la sua complicane alle procedure europee e comunica che Facebook ha già parzialmente relazionato rispetto allo stesso problema, ma chiede a WhatsApp di cessare ogni condivisione. [Un approfondimento e una messa in relazione con i quadri legislativi Europei e USA è in questo articolo di euractiv.com.]

Ora, tutto ciò può essere considerato limitato, troppo superficiale o evasivo. Tuttavia siamo davanti a un passo importante nella determinazione preventiva (dell’utilizzatore di un servizio/applicazione?) delle ricadute dei dati forniti. La prossima tappa dovrebbe essere quella dell’esplicitazione della destinazione dei dati per tipologia di algoritmo oppure per tappe di profilazione esplicitati in anticipo. E, altrettanto esplicitati, andrebbero i presupposti commerciali o di analisi socioeconomica su cui si basa o a cui sono destinati i risultati della profilazione o dell’algoritmo utilizzato.

SHARE