Mentre Clubhouse scala le classifiche dell’App store anche in Italia, il Garante per la protezione dei dati personali prende carta e penna e scrive alla piattaforma per vederci chiaro sull’uso che fa delle informazioni dei suoi iscritti. L’app più chiacchierata del momento, basata su un sistema di stanze dove ci si chiacchiera in tempo reale attraverso messaggi audio, è atterrata in Europa senza una politica della privacy adeguata alla regole comunitarie. Così, secondo quanto appreso da Wired, il Garante italiano ha spedito una richiesta formale per accertarsi che siano rispettati i diritti dei cittadini europei, come prescrive il Regolamento generale comunitario per la protezione dei dati personali (Gdpr).
Tra le varie cose, Clubhouse, che è disponibile solo per gli utenti di iPhone e solo su invito, dovrà chiarire quali sono le procedure con cui archivia i dati personali, che tempi di cancellazione ha, come utilizza l’accesso alla rubrica (imprescindibile per poter invitare nuovi amici a bordo) e se fa analisi biometriche delle tracce audio. Un sistema che potrebbe essere usato per ricostruire l’impronta vocale di chi parla sulla piattaforma.
Il garante ha dato quindici giorni per rispondere alla Alpha Exploration company di Oakland, California. Lanciata nell’aprile dello scorso anno negli Stati Uniti, reclutando vip del calibro della conduttrice e produttrice Oprah Winfrey e dell’attore Ashton Kutcher, e vincolata a un sistema di inviti, Clubhouse è diventata molto popolare anche in Europa all’inizio del 2021. E incursioni di big come il patron di Tesla, Elon Musk, o il fondatore di Facebook, Mark Zuckerberg, hanno moltiplicato lo scambio di inviti per iscriversi.
I nodi della app
Tuttavia, rimangono più ombre che luci sul trattamento dei dati del servizio, le cui regole sembrano carenti rispetto alle norme europee. Mancano molti punti fissi che il Gdpr impone, a cominciare dallo stesso riferimento a quel quadro regolatorio e le spiegazioni previste dall’articolo 13. Clubhouse cita solo le leggi della California, che pur essendo ispirate al regolamento europeo, non sono certo la stessa cosa. E non si fa menzione del responsabile per la protezione dei dati (dpo), la figura a cui è affidata la gestione di questa delicata partita.
La stessa architettura del social network, inoltre, rischia di esporre più dati del necessario. Uno dei pilastri di Clubhouse è l’accesso alla rubrica dei contatti. La app funziona su invito. E per poter invitare il link di accesso, l’utente deve aprire a Clubhouse la propria rubrica. Pena rimanere a bocca asciutta di pass per gli amici.
Secondo Johannes Caspar, il responsabile per la protezione dei dati di Amburgo, questa procedura è in violazione ai paletti del Gdpr. Peraltro con esiti tra il paradossale e l’inquietante: su Twitter Alex Blanford, ricercatore inglese sui diritti digitali, ha pubblicato gli screenshot di numeri di centri sanitari tramutati da Clubhouse in potenziali contatti da seguire sulla piattaforma. Usando i contatti in rubrica, il social network ha ricostruito anche gli “amici in comune”, creando così reti di persone che, per vari motivi, hanno i recapiti degli ambulatori tra i numeri salvati.
Il secondo problema è rappresentato dalle conseguenze di quella ragnatela di rapporti messi in bella vista. È pubblico il nome di chi ha garantito per il nuovo iscritto e non è possibile nasconderlo. Come si legge sulla newsletter Guerre di Rete, l’informatico forense Paolo Dal Checco in questo modo i profili “mostrano in modo perenne i collegamenti tra soggetti basati proprio sulla catena d’inviti”.
Anche perché, avendone in partenza due a disposizione, è lecito ipotizzare che l’invito si basi su “un elemento di fiducia o quantomeno di conoscenza reciproca, dato che s’invitano tendenzialmente numeri presenti nella propria rubrica”, osserva l’esperto. Così, se in un’indagine basata su tecniche di Osint (open-source intelligence) non riesce a risalire al proprietario di un numero, per Dal Checco “grazie a Clubhouse potrebbe essere possibile conoscere sia il suo profilo attualmente utilizzato da cui ricavare nomi, alias ecc. con cui avviare altre attività Osint, sia il soggetto che lo ha invitato in Clubhouse che rappresenta una rilevante fonte d’informazione da aggregare agli altri elementi in nostro possesso”.
Terzo nodo: il trasferimento dei dati verso gli Stati Uniti. Pratica ammessa dalla stessa piattaforma. Tuttavia gli accordi per l’interscambio di informazioni tra le due sponde dell’Atlantico, il cosiddetto Privacy Shield, sono stati invalidati dopo la sentenza Schrems II, che metteva in discussione la protezione dei dati personali degli europei trasferiti in server statunitensi.
Ancora: il Garante vuole vederci chiaro sugli strumenti per verificare l’età degli iscritti. Clubhouse dichiara di consentire solo a chi ha più di 18 anni di entrare, perciò l’autorità di piazza Venezia chiede ragguagli sulle procedure, anche attraverso il ricorso all’intelligenza artificiale, per accertare l’età e per espellere chi tenta di aggirare il limite. Sono le stesse domande che il Garante ha rivolto a TikTok, dopo che la morte di una bambina di 10 anni ha fatto emergere la sua iscrizione al social network, e, a cascata, ad altre piattaforme, tra cui Facebook e Instagram.
La paura per il riconoscimento vocale
Con più di due milioni di utenti attivi al mese e decine di migliaia di ore di connessione, inoltre, Clubhouse è diventato in breve tempo un enorme archivio di voci e stati d’animo. Una miniera d’oro per chi raccoglie informazioni di profilazione, rispetto alla quale il Garante esige maggiore chiarezza. Per questo nella lettera inviata all’azienda si chiede di chiarire prima di tutto in che modo i dati vengono conservati e protetti e quali sono i termini entro i quali è prevista la cancellazione delle tracce audio temporaneamente conservate dall’azienda. Inoltre, si chiede anche quali procedure siano previste per utilizzare i dati raccolti in sede di indagine giudiziaria (dato che Clubhouse dichiara di tenere traccia degli audio solo in caso di indagine) e – soprattutto – se dalle tracce vocali vengano estrapolati dati biometrici che potrebbero essere incrociati con altri file audio reperibili online (in modo simile a come già avviene con le immagini).
Infine, l’autorità identifica in modo specifico i termini di utilizzo delle informazioni raccolte anche dal punto di vista della profilazione a scopo commerciale, chiedendo all’azienda di definire in che modo avviene la profilazione degli utenti e la raccolta di informazioni da altri social network e, soprattutto, come possono gli utenti far valere il proprio diritto ad accedere a quelle informazioni ed eventualmente chiederne la cancellazione, come previsto dal Gdpr.
Fondata da Paul Davison, ex ingegnere di Google, e dallo startupper Rohan Seth, Clubhouse ha chiuso un primo round di finanziamenti da 12 milioni di dollari lo scorso maggio. A guidare la cordata il fondo di investimenti Andreessen Horowitz, che a gennaio ha versato altri 100 milioni di dollari. La startup avrebbe raggiunto una valutazione da un miliardo di dollari, che ne farebbe il nuovo unicorno della Silicon Valley. Con un vistoso difetto di privacy.