I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-01-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96245' · pdf

Ordinanza ingiunzione nei confronti di Alpha Exploration Co. Inc. 6 ottobre 2022 [9828901]

abstract:



Documento annotato il 28.01.2023 Fonte: GPDP
Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • VEDI ANCHE
  • Ordinanza ingiunzione nei confronti di A
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. INTRODUZIONE
  • 2. ATTIVITÀ ISTRUTTORIA
  • 3. SUSSISTENZA DELLA GIURISDIZIONE EURO-
  • 4. LA SOCIETÀ E LE CARATTERISTICHE DEL
  • 5.LE VIOLAZIONI ACCERTATE
  • 5.1. Artt. 5, par. 1, lett. a), 6 e 7 de
  • 5.2. Artt. 5, par. 1, lett., a) ed e), 1
  • 5.3. Art. 27 del Regolamento
  • 5.4. Art. 28 del Regolamento
  • 5.5. Artt. 5, par. 1, lett. f) e 32 del
  • 5.6. Art. 35 del Regolamento
  • 6. MISURE CORRETTIVE
  • 7. ORDINANZA INGIUNZIONE PER L’APPLICA
  • TUTTO CIÒ PREMESSO IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 64 min

VEDI ANCHE Comunicato del 5 dicembre 2022

[doc. web n. 9828901]

Ordinanza ingiunzione nei confronti di Alpha Exploration Co. Inc. - 6 ottobre 2022

Registro dei provvedimentin. 377 del 6 ottobre 20922

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei Dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

PREMESSO

1. INTRODUZIONE

Il procedimento trae origine da una complessa attività istruttoria avviata d’ufficio a seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative alle modalità di Trattamento dei Dati personali posti in essere dal social network Clubhouse.

In data 19 febbraio 2021 l’Ufficio ha ricevuto anche una segnalazione da parte della XX, la quale ha sottolineato una serie di criticità di Clubhouse relative a profili di sicurezza, esercizio dei diritti, mancanza di un rappresentante nell’Unione europea, attività di profilazione, conservazione dei Dati personali (fascicolo n. XX).

Clubhouse è un social network basato esclusivamente su interazioni vocali che si svolgono in stanze di conversazione denominate room, disponibile al pubblico tramite una applicazione mobile (di seguito “App”) rilasciata in prima versione nel marzo 2020 per il sistema Android e nel settembre dello stesso anno per l’ambiente iOS.

L’App è gestita da una società statunitense, Alpha Exploration Co. Inc. (di seguito “Alpha Exploration” o la “Società”), con sede al 548 Market Street PMB 72878, San Francisco, California 94104, USA. La Società non è stabilita in alcuno Stato membro dell’Unione europea.

2. ATTIVITÀ ISTRUTTORIA

Con nota del 5 febbraio 2021 (prot. 7464/21) il Garante ha inviato una richiesta di informazioni alla Società, proprietaria e gestrice del social network, richiesta rinnovata, con modalità di spedizione tradizionale in un’ottica di massima tutela della parte, con nota del 25 febbraio 2021 (prot. 11378/21).

La Società ha risposto alla richiesta di informazioni con comunicazione dell’8 marzo 2021 (prot. 12877/21) in cui, in via preliminare, ha sostenuto l’insussistenza della giurisdizione italiana, atteso che:

- le operazioni di Trattamento connesse all’attività di social networking posta in essere da Clubhouse non rientrerebbero nella sfera di applicazione dell’art. 3, par. 2, lett. a), del Regolamento in quanto la Società non avrebbe avuto, quanto meno in origine, intenzione di offrire i suoi servizi nell’Unione europea; elementi di segno contrario non potrebbero essere desunti dal mero fatto che l’App fosse liberamente disponibile per il download negli store dei due principali sistemi operativi per dispositivi mobili; la Società non avrebbe mai promosso campagne pubblicitarie o di marketing nell’Unione europea.

- Nel merito, la Società ha riferito quanto segue:

- relativamente all’assenza delle informazioni di cui all’art. 13 del Regolamento nella privacy policy, tale carenza sarebbe da ricondurre alla scelta aziendale di offrire i propri servizi solo negli Stati Uniti d’America ma, considerata la grande espansione dell’App anche nel territorio europeo, l’informativa è stata successivamente implementata in maniera conforme al GDPR;

- riguardo alle basi giuridiche del trattamento, nessuna valutazione sarebbe stata effettuata al riguardo non ritenendosi la Società soggetta al Regolamento; sarebbe stato comunque dato mandato ad uno studio legale per esaminare la questione e, verosimilmente, le basi giuridiche sarebbero state l’esecuzione del contratto ed il legittimo interesse del Titolare e, qualora reputato necessario, il Consenso dell’interessato;

- quanto alle finalità del trattamento, tre sarebbero le finalità perseguite: 1) esecuzione del contratto come delineato nei termini di servizio, compresa l’attività di suggerimento di contenuti in base agli interessi dell’utente; 2) risoluzione dei cd. incidenti (ad es. bullismo, molestie, age verification); 3) miglioramento del servizio, implementazione di nuove funzionalità e adempimento ad obblighi legali;

- in merito ai destinatari o alle categorie di destinatari dei dati personali, le informazioni di carattere personale sarebbero condivise con fornitori di servizi, da identificare come responsabili del trattamento, tra cui software di streaming audio, invio di messaggi di testo di verifica, servizi di analisi e di hosting e servizi che consentono di gestire i messaggi degli utenti quando le persone si uniscono o abbandonano le stanze di conversazione;

- con riferimento ai periodi di conservazione, i Dati personali sarebbero conservati per tutto il tempo in cui l’utente dispone di un account Clubhouse, ad eccezione dei dati audio, i quali sarebbero eliminati quando termina la stanza di conversazione, a meno che non venga segnalata o rilevata una violazione relativa alla sicurezza o alla riservatezza della stessa. In tale ipotesi, l’audio verrebbe inviato ad un apposito team per gli opportuni accertamenti sull’incidente segnalato ed eliminato ad accertamento concluso;

- relativamente al riconoscimento e all’esercizio dei diritti di cui agli artt. da 12 a 22 del Regolamento, le richieste degli utenti, valutate conformemente alla legge applicabile, sarebbero inoltrabili all’indirizzo email support@alphaexplorationco.com, con riserva di implementazione di ulteriori misure;

- i dati audio non verrebbero trattati biometricamente;

- tutti i dati e le relative trasmissioni sarebbero cifrati, compresi i file audio relativi agli incidenti che potrebbero essere de-criptati solo sui server di Clubhouse;

- gli account di soggetti min orenni verrebbero sospesi con riserva di implementazione di ulteriori misure di age verification;

- non verrebbero applicati strumenti per adottare decisioni automatizzate ai sensi dell’art. 22 del Regolamento neppure nell’attività di moderazione con eventuale blocco dei soggetti che non rispettano le regole della comunità di Clubhouse.

Con nota del 16 marzo 2022 (prot. 15589/22) il Garante ha notificato alla Società l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e notifica delle presunte violazioni ai sensi dell’art. 166, co. 5, del Codice.

Con tale atto è stata contestata alla Società, con riferimento ai trattamenti posti in essere dalla piattaforma Clubhouse, la violazione delle seguenti disposizioni:

a) artt. 5, par. 1, lett. a), 6 e 7, del Regolamento, per aver realizzato trattamenti per finalità di marketing, registrazione e condivisione con terzi degli audio, Profilazione e condivisione delle informazioni sugli account, in carenza di un’idonea base giuridica che legittimi i trattamenti medesimi;

b) art. 13 del Regolamento, per avere omesso di fornire, fino al 4 agosto 2021, le informazioni sul Trattamento agli interessati che conferivano in propri dati personali;

c) art. 14 del Regolamento, per avere omesso di fornire le informazioni sul Trattamento ai soggetti le cui numerazioni telefoniche sono presenti nella lista contatti degli utenti che hanno acconsentito alla loro condivisione con Clubhouse;

d) artt. 5, par. 1, lett. a) e 12, par. 1, del Regolamento, per aver reso, successivamente alla data di cui al punto b), informazioni sul Trattamento in carenza dei requisiti di chiarezza, trasparenza e comprensibilità ivi previsti;

e) artt. 5, par. 1, lett. e) e 13 del Regolamento, per avere fornito informazioni inidonee in ordine ai tempi di conservazione dei dati personali;

f) artt. 13, par. 1, lett. a), del Regolamento, per non aver ritualmente indicato i recapiti del rappresentante designato;

g) art. 27, par 4, del Regolamento per non aver Designato un rappresentante dotato di idonee funzioni e competenze;

h) art. 28 del Regolamento, per non aver ritualmente Designato come responsabili del Trattamento i fornitori di servizi ai quali i Dati personali possono essere comunicati;

i) artt. 5, par. 1, lett. f) e 32 del Regolamento, per aver implementato misure di sicurezza che, tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche, non appaiono adeguate a garantire un livello di sicurezza adeguato al rischio medesimo;

j) art. 35 del Regolamento, per avere omesso di effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali, tenuto conto della ricorrenza dell’ipotesi di cui al paragrafo 3, lett. a), del richiamato art. 35.

La Società ha esercitato il proprio diritto di difesa, ai sensi dell’art. 166, co. 6, del Codice e dell’art. 13 del Regolamento del Garante n. 1/2019, mediante la presentazione di deduzioni scritte, trasmesse, a seguito della concessione di una proroga del termine previsto, con comunicazione del 16 maggio 2022 (prot. 26635/22), ed una audizione, svoltasi da remoto in data 10 giugno 2022 (verbale protocollato al n. 31149/22).

La posizione difensiva della Società, così come esposta nella memoria scritta ed in sede di audizione orale, sarà rappresenta nel dettaglio nei paragrafi successivi, in particolare nella sezione quinta del presente provvedimento relativa alle violazioni accertate.

3. SUSSISTENZA DELLA GIURISDIZIONE EURO-UNIONALE E COMPETENZA DEL GARANTE

L’art. 3 del Regolamento disciplina l’ambito di applicazione territoriale dello stesso, individuando presupposti differenziati a seconda che il Titolare del Trattamento risulti o meno stabilito nel territorio dell’Unione europea.

Nel caso in esame, Alpha Exploration non ha individuato uno stabilimento in Europa e pertanto, al fine di condurre una valutazione in ordine all’applicabilità della normativa europea in materia di protezione dei Dati personali al Trattamento posto in essere da Clubhouse, occorre verificare la sussistenza dei criteri di cui all’art. 3, par. 2, del Regolamento (cd. targeting). Tali criteri sono individuati nell’offerta di beni o servizi ad interessati che si trovano nell’Unione oppure nello svolgimento di un’attività di monitoraggio del loro comportamento, nella misura in cui quest’ultimo abbia luogo nell’Unione europea.

Preliminarmente si osserva che, ai fini dell’applicazione del criterio del targeting, i dati oggetto del Trattamento devono riguardare interessati nell’Unione. Nel caso di specie, il fatto che Clubhouse effettui un Trattamento di Dati personali di soggetti che si trovano nell’Unione europea e in particolare in Italia, sebbene inizialmente negato, è argomento non più contestato dalla Società nella memoria difensiva del 16 maggio 2022.

In tale scritto, infatti, viene sottolineato che, quando l’App è stata lanciata nel 2020, “i luoghi in cui si trovavano gli utenti […] non erano in funzione di alcuna attività di marketing promossa da Clubhouse né di scelte fatte dalla stessa, poiché dipendevano da quali utenti invitavano quali altre persone e dal luogo in cui capitava che si trovassero le persone invitate”. La base utenti in Europa, ed in Italia in particolare, sarebbe pertanto cresciuta in virtù della rapida diffusione spontanea dell’App, piuttosto che a seguito di azioni all’uopo mirate intraprese dalla Società. Sotto questo profilo la Società ha ribadito che Clubhouse non intendeva, nell’accezione di cui all’art. 3, par. 2, del Regolamento, nella fase iniziale della sua diffusione, offrire i suoi servizi ad interessati presenti sul territorio italiano.

La Società ha, tuttavia, precisato che, a partire dalla primavera del 2021, preso atto della situazione di fatto, ovverosia dell’ampia diffusione dell’App a livello globale (90.000 utenti attivi al mese in Italia nel mese di agosto 2021), ha deciso di avviare un’azione di progressivo adeguamento al Regolamento, iniziando a dotarsi “della capacità necessaria per onorare le richieste di accesso e cancellazione dei dati”.

In data 4 agosto 2021 è stata pubblicata una privacy policy aggiornata dedicata agli utenti SEE e contenete gli adempimenti previsti dal Regolamento in capo al Titolare del Trattamento (si veda, nel merito, la sezione 5.2 relativa alla violazione degli obblighi di trasparenza).

In sintesi, come testualmente espresso nella memoria difensiva sopra citata (cfr. pag. 5), la Società non contesta di essere soggetta al Regolamento in quanto “a partire da agosto 2021, Clubhouse si è impegnata in modo sostanziale facendo del suo meglio per rispettare gli obblighi stabiliti dal Regolamento il più velocemente possibile”, indipendentemente dal riconoscimento formale di un obbligo di legge.

Il Garante ritiene, pertanto, integrati i presupposti di applicabilità dell’art. 3, par. 2, lett. a), del Regolamento atteso che, come ammesso dalla stessa Società, Clubhouse offre i suoi servizi ad interessati nell’Unione e, pertanto, risulta sussistente la giurisdizione italiana.

Per quanto concerne la competenza dell’autorità di controllo italiana, il Garante osserva come il Trattamento posto in essere da Clubhouse sia pacificamente qualificabile come Trattamento transfrontaliero di Dati personali ai sensi dell’art. 4, par. 1, n. 23, del Regolamento in quanto idoneo ad incidere su interessati in più di uno Stato membro. Come noto, per tale tipologia di trattamenti, laddove il Titolare abbia individuato uno stabilimento, unico o principale, nell’Unione europea, trova applicazione il meccanismo di cooperazione descritto negli artt. 60 ss. del Regolamento la cui direzione viene affidata alla c.d. autorità di controllo capofila che coincide con l’autorità di controllo dello Stato membro in cui si trova il predetto stabilimento. Al contrario, nei casi nei quali manchi il presupposto di operatività di tale meccanismo, ossia la presenza in territorio europeo di uno stabilimento del Titolare del trattamento, il Titolare dovrà “interfacciarsi con le autorità di controllo di ciascuno Stato membro in cui opera per il tramite del rappresentante designato” (cfr. par. 3.3. delle Linee guida sull’Autorità di controllo capofila adottate dal Gruppo di Lavoro Articolo 29 il 13 dicembre 2016, revisionate il 5 aprile 2017 e fatte proprie dal Comitato per la protezione dei Dati personali in data 25 maggio 2018).

Nel caso di specie, come detto, Clubhouse è gestito da una società con sede negli Stati Uniti d’America che non ha stabilimenti nel territorio dell’Unione europea e, pertanto, sulla base di quanto previsto dall’art. 55, par. 1, del Regolamento, “ogni Autorità di controllo è competente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) regolamento nel territorio del rispettivo Stato membro”.

Tale disposizione è dunque idonea a fondare la competenza dell’autorità di protezione dati italiana in ordine alla valutazione, con riguardo al proprio territorio, della conformità al Regolamento posto in essere da Clubhouse e all’esercizio dei poteri ad essa riconosciuti dall’art. 58 del Regolamento.

4. LA SOCIETÀ E LE CARATTERISTICHE DEL SERVIZIO OFFERTO

Come riportato nella memoria difensiva del 16 maggio 2022, originariamente la Società, costituita solo dai due soci fondatori, rendeva disponibile l’App ad un numero ristretto di utenti scelti manualmente dagli stessi fondatori. Solo a settembre 2020 l’App è stata resa disponibile per iOS su Apple Store e il numero di utenti è passato dai circa 5.000 nel mese di settembre, a circa 115.000 (di cui il 90% costituito da utenti statunitensi) nel mese di novembre 2020. Da quel momento in poi, nel giro di tre mesi, il servizio ha avuto una rapida diffusione arrivando a 16 milioni di utenti attivi al mese.

A questo punto, l’organizzazione della Società ha cominciato a crescere, arrivando nell’ottobre 2020 a 80 dipendenti, e a strutturarsi, assumendo figure professionali per una gestione dedicata della sicurezza e del Trattamento dei dati personali. In particolare sono stati assunti l’Head of Security Engineering e il General Counsel, e sono stati costituite le funzioni Trust & Safety, Legal Operations e Policy and Public Affairs.

Tale organizzazione ha permesso alla Società di affrontare in maniera sistematica il tema delle misure di sicurezza e del confronto con le diverse normative privacy da osservare, vista la diffusione globale del servizio.   

Sotto il profilo funzionale, la peculiarità di Clubhouse, come accennato, è legata all’utilizzo della voce e delle conversazioni per fare network; dopo una prima implementazione limitata al sistema operativo iOS e basato su invito, l’App è stata resa liberamente utilizzabile e disponibile anche in ambiente Android. Gli utenti possono essere attivi, se scelgono di aprire una stanza tematica oppure passivi, se semplicemente accedono ad una stanza altrui in veste di ascoltatori. Inoltre, con l’aggiornamento della privacy policy del 6 gennaio 2022, gli utenti, utilizzando nuove funzionalità della piattaforma, possono a) conservare e registrare anche parte delle conversazioni sulla piattaforma e b) condividere le stesse registrazioni con terzi (funzionalità Clips & Replays). I file audio vengono, di regola, eliminati al termine della stanza di conversazione, ma possono essere conservati dalla Società per il tempo necessario alla risoluzione di una contestazione, qualora un cd. Incidente venga segnalato o rivelato nel corso di una conversazione.

5.LE VIOLAZIONI ACCERTATE

5.1. Artt. 5, par. 1, lett. a), 6 e 7 del Regolamento

Con riferimento alla prima delle contestazioni formulate dall’Ufficio, si deve richiamare ancora una volta la circostanza che nella privacy policy pubblicata sul sito della Società, fino al 4 agosto 2021, non vi era alcuna informazione resa dal Titolare ai sensi dell’art. 13 del Regolamento, in ragione della errata valutazione da parte di Alpha Exploration Co. circa la (non) applicabilità della normativa europea e italiana in materia di protezione dei Dati personali ai trattamenti svolti mediante la piattaforma Clubhouse.

Fermo restando quanto rappresentato al paragrafo 3 circa la sussistenza della giurisdizione euro-unionale e la correlata competenza del Garante, deve altresì considerarsi come nel caso in argomento non siano emersi elementi idonei che consentano alla Società di beneficiare dell’esimente (peraltro non espressamente invocata) della buona fede prevista dall’art. 3 della legge n. 689/1981, posto che, come sovente affermato dalla giurisprudenza (per tutte, Corte di Cassazione, sez. II Civile, ordinanza 12 ottobre 2018 – 28 febbraio 2019, n. 6018), “la responsabilità dell'autore dell'infrazione non è esclusa dal mero stato di ignoranza circa la sussistenza dei relativi presupposti, ma occorre che tale ignoranza sia incolpevole, cioè non superabile dall'interessato con l'uso dell'ordinaria diligenza […]. Per configurare l'esimente della buona fede, che rileva come causa di esclusione della responsabilità amministrativa, occorrono elementi positivi idonei ad ingenerare nell'autore della violazione il convincimento della liceità della sua condotta e risulti altresì che il trasgressore abbia fatto tutto il possibile per conformarsi al precetto di legge, onde nessun rimprovero possa essergli mosso”.

Invero, la Società avrebbe potuto correttamente configurare l’assetto degli obblighi e degli adempimenti correlati alla applicazione delle disposizioni in materia di protezione dei Dati personali in ambito europeo, come del resto ammesso da Alpha Exploration in sede di audizione, se si fosse avvalsa di legali e consulenti maggiormente integrati nei processi che erano in corso di sviluppo e se avesse monitorato con maggiore puntualità il mutamento di scenario giuridico che la repentina crescita delle adesioni alla piattaforma Clubhouse aveva determinato.

Con riferimento, invece, alla nuova privacy policy presente nella piattaforma Clubhouse, l’atto di avvio del procedimento ha evidenziato che i trattamenti per la finalità di “marketing diretto” non possono essere lecitamente effettuati sulla base di un meccanismo di manifestazione di Consenso implicito ovvero di “opt-out”, meccanismo presente nell’attuale assetto normativo soltanto con riferimento a ben individuati trattamenti e a specifiche finalità.

Allo stesso modo è stata considerata inidonea l’individuazione della base giuridica dell’interesse legittimo per il Trattamento dei file audio registrati e condivisi dagli utenti con altre parti. Sempre in tema di registrazioni audio, è stato osservato che non vi è una chiara individuazione della base giuridica che legittimi i trattamenti di registrazione e condivisione dei file mediante le funzionalità del servizio Clips & Replays.

L’atto di avvio del procedimento ha inoltre rilevato l’inidoneità dell’individuazione della base giuridica del legittimo interesse con riferimento all’utilizzo dei dati dell’account per consentire la condivisione del profilo dell’interessato e per suggerire tale profilo ad altri utenti, nonché alla Profilazione dell’interessato (migliorare e personalizzare l’esperienza, selezionare interessi, raccomandare stanze e utenti da seguire e club di interesse) con riferimento agli interessi, all’uso della piattaforma e alle connessioni.

Con riferimento alle sopra richiamate contestazioni in relazione ai trattamenti per “marketing diretto” la parte ha rappresentato, nella memoria difensiva, che Clubhouse non pubblica annunci pubblicitari sulla piattaforma e non svolge attività di marketing diretto se non dopo aver richiesto un Consenso in base al meccanismo del’’“opt-in”. Quanto alle notifiche push che Clubhouse invia agli utenti nell'Unione Europea, le stesse sono inviate al fine di condividere informazioni sul servizio e informare gli utenti di cosa sta accadendo sull’App cui si sono già iscritti (ad es., ricordare agli utenti che una stanza di conversazione sta per cominciare).

La parte ha sottolineato l’indispensabilità di tale servizio poiché “lo scopo di Clubhouse è connettere le persone attraverso delle conversazioni in piccole e grandi stanze virtuali. Nell’informare un utente, ad esempio, che un altro utente si è iscritto a Clubhouse, ha aperto una stanza virtuale o è disponibile ad una conversazione, Clubhouse sta condividendo informazioni fattuali che aiutano gli utenti a connettersi tra loro in modo più efficace. Clubhouse non sta pubblicizzando prodotti o servizi, sta semplicemente aiutando gli utenti a beneficiare al meglio del servizio cui si sono già iscritti indicando agli utenti cosa sta succedendo”.

Alpha Exploration si è comunque avveduta che quanto rappresentato nella privacy policy, utilizzando il termine “direct marketing” in modo improprio, poteva ingenerare confusione e ha pertanto dichiarato di aver provveduto a modificare il testo in modo da evitare riferimenti a tale attività.

Quanto ai trattamenti dei file audio, la Società ha evidenziato come tali file possano essere registrati e condivisi per due distinte finalità, e cioè per indagare su violazioni delle linee guida della comunità e per consentire agli utenti di salvare o condividere le registrazioni audio quando utilizzano la piattaforma attraverso le funzionalità Clips & Replays. Ha quindi ribadito la necessità di tali trattamenti per fornire i servizi previsti nelle condizioni contrattuali di Clubhouse e questa circostanza giustificherebbe l’uso della base giuridica contrattuale per questa finalità di trattamento. In ogni caso, la Società sarebbe impegnata ad aggiornare il testo dell’informativa supplementare per gli utenti europei al fine di migliorarne la trasparenza e rendere più facilmente comprensibile la parte relativa ai sopra indicati trattamenti.

Con riferimento, infine, ai trattamenti finalizzati alla Profilazione dei dati degli utenti e alla condivisione di tali profili, la Società ha ribadito l’approccio di Clubhouse, il cui scopo fondamentale è quello di creare una comunità consentendo agli utenti di condividere stanze virtuali in cui possono unirsi a conversazioni con altre persone. La Società sostiene che il profilo “identifica l'utente e consente ad altri utenti di sapere con chi si stanno connettendo o chi stanno invitando in una stanza virtuale”. I profili, secondo Alpha Exploration, sarebbero creati sulla base delle informazioni che gli utenti decidono liberamente di condividere e ciò sarebbe di ausilio agli altri utenti per “trovare persone che possono avere un interesse comune o una connessione. Questi profili e le finalità a cui servono sono il fondamento della comunità di cui l'utente decide di essere parte quando si iscrive a Clubhouse”. Gli utenti, quindi, possono scegliere che cosa vogliono condividere e pubblicare nel proprio profilo: “quando un utente seleziona un argomento, l’utente può decidere di rendere tale argomento visibile agli altri nel proprio profilo utente oppure di nasconderlo agli altri utenti e mantenerlo privato. Gli utenti hanno anche la possibilità di selezionare l’impostazione “profilo protetto" (“protected profile”). Quando questa impostazione è selezionata, il profilo completo dell’utente è visibile solo alle persone che l’utente ha approvato come follower. Quando un profilo è protetto, solo follower approvati possono vedere le stanze virtuali, i club ed i Replay nel profilo dell’utente”.

Sostiene ancora la Società che Clubhouse è un servizio personalizzato by design sempre al fine di aiutare gli utenti a connettersi e creare una comunità. Per personalizzare il proprio servizio in questo modo, è essenziale per Clubhouse “comprendere le interazioni degli utenti sulla piattaforma. In questo modo, Clubhouse è in grado di ottenere informazioni sufficienti per offrire un servizio in cui gli utenti possono facilmente sviluppare una comunità”. La Profilazione effettuata da Clubhouse non ha finalità pubblicitarie o di marketing ma costituisce “elemento intrinseco e atteso del servizio e crediamo che sia quindi necessario all’esecuzione del contratto con l’utente, vale a dire l’esecuzione dei Termini di Servizio”.

Conclude Alpha Exploration rappresentando che “quando un utente decide di unirsi a Clubhouse, è ragionevole che si aspetti di ricevere contenuto che rifletta i suoi interessi. Inoltre, è più probabile che l’utente apprezzi la piattaforma se fa una selezione attiva del tipo di contenuto che desidera vedere. Con questa premessa, ci sono valide ragioni per affermare che Clubhouse ha un interesse legittimo nello sviluppare questo tipo di esperienza personalizzata per i propri utenti e che tale interesse non è escluso dagli interessi dell’utente, dal momento che il relativo Trattamento di Dati personali è realizzato in modo trasparente e secondo le selezioni dell’utente al fine di soddisfare le aspettative dell’utente di ricevere un servizio personalizzato”.

Per valutare le argomentazioni difensive di Alpha Exploration è necessario analizzare i nuovi documenti relativi all’informativa e ai termini di servizio che la Società ha pubblicato nel proprio sito web il 16 maggio 2022.

Per quanto riguarda il Trattamento dei file audio, nello specifico quelli oggetto di contestazione sull’idoneità della base giuridica, e cioè i file creati dall’utente mediante l’attivazione della funzione Clips & Replays, deve osservarsi che in nessuna parte del documento sui termini di servizio è esplicitamente indicata l’esistenza di tale funzione, cosicché ricondurre il Trattamento dei contenuti dei file ad azioni necessarie per l’esecuzione del contratto appare non conforme con quanto dalla Società stessa dichiara nelle condizioni di servizio.

Sempre con riferimento ai file audio, il documento dei termini di servizio, al punto 3.C, riporta che Clubhouse registra le conversazioni in tutte le stanze per “monitorare” eventuali violazioni, al fine di analizzare e contrastare eventuali abusi. Se un utente segnala (o i sistemi automatizzati della piattaforma rilevano) potenziali violazioni, la registrazione viene conservata per un tempo - non predefinito - ma necessario a indagare sulla potenziale violazione. In caso contrario, viene cancellata, di regola entro 10 min uti. La Società fa presente, nel richiamato documento, che le voci registrate, così come gli altri “contenuti dell’utente” (“user content”), intesi come tutto ciò che l’utente dice, pubblica o rende disponibile, possono essere utilizzati in qualsiasi modo “coerente” con la privacy policy.

Per quanto riguarda i trattamenti riconducibili alla finalità di profilazione, come indicata dalla Società in sede di memoria difensiva e di audizione (nella quale è stato ribadito che “in una piattaforma sociale aperta all’interazione fra più utenti, è necessario all'esecuzione del contratto con l’utente procedere ad un’analisi dell’interazione degli utenti con la piattaforma per giungere ad una personalizzazione intrinseca e organica dei servizi e dei contenuti, idonea a soddisfare le esigenze della base di utenti di sapere cosa succede sulla piattaforma, vale a dire quali conversazioni sono aperte, a quali conversazioni partecipare”), il documento sui termini di servizio indica, al punto 2, che la piattaforma Clubhouse utilizza le informazioni sui contenuti preferiti e sulle attività svolte nelle stanze per consigliare altri utenti, club o contenuti.

I contenuti resi disponibili dall’utente, inoltre, possono formare oggetto di accesso, esame, valutazione e cancellazione da parte della Società, in qualsiasi momento e per qualsiasi motivo, anche per fornire e sviluppare i servizi della piattaforma.

Quanto alla privacy policy di Clubhouse, in primo luogo si deve prendere atto che, nonostante ciò che è stato rappresentato davanti all’Autorità in occasione dell’audizione e, ancor prima, con la memoria difensiva, permane il riferimento ai trattamenti di Dati personali svolti con finalità di marketing diretto, per i quali opererebbe il meccanismo dell’“opt-out” già oggetto di contestazione. Pur tenendo nel debito conto quanto dichiarato dalla Società in ordine alla circostanza che la stessa non effettua attività di marketing, deve evidenziarsi che l’informativa è il documento che rende note le scelte del Titolare e che costituisce la premessa giuridica alla raccolta dei dati e ai conseguenti trattamenti. Le informazioni in ordine al marketing diretto, pertanto, allo stato degli atti, costituiscono la dichiarazione in ordine a finalità, modalità e base giuridica del predetto trattamento, riguardo al quale si devono confermare le osservazioni circa la sua illiceità già espresse in sede di contestazione.

Con riferimento ai trattamenti relativi alle registrazioni contenute nei file audio, realizzati mediante l’utilizzo della funzione Clips & Replays, va notato che nella integrazione del documento sulla privacy policy destinata agli utenti dell’Unione Europea vi è un ampio elenco di “justifications for data processing” che espone l’orientamento di Alpha Exploration in ordine alla base giuridica dei diversi trattamenti.

In tale elenco è inserito il riferimento al Trattamento effettuato relativo al salvataggio da parte degli utenti delle registrazioni delle conversazioni, Trattamento che viene ricondotto, come specificato in sede di audizione, alla base giuridica di cui all’art. 6, par. 1, lett. b), del Regolamento (“trattamento è necessario all’esecuzione di un contratto di cui l'interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”). Tale base giuridica viene indiscriminatamente ricondotta a tutti gli utenti della piattaforma, sia al soggetto amministratore della stanza pubblica nella quale si svolge la conversazione, sia agli altri soggetti che partecipano alla conversazione, pur avendo questi ultimi un ruolo e, soprattutto, delle facoltà diverse rispetto agli amministratori. Nella privacy policy, al punto B, viene specificato, in merito ai Replays che: “We record conversations in public rooms and make them available to other users where the room creator instructs us to do so by enabling the “Replay” feature. When Replays are enabled, the recording will be stored by Clubhouse and may be made available to other users on Clubhouse at the room creator’s instruction. Replays may also be available outside of Clubhouse” [grassetto redazionale]; con riferimento ai Clips si legge, invece: “Users may also record portions of conversations when a room creator enables the “Clips” feature. When Clips are enabled, anyone in the room is able to generate a video file on the user’s local iOS or Android device that contains the last 30 seconds of audio material from the room, and a graphic depicting the room title and speakers. This video file is not transmitted to Clubhouse or stored by Clubhouse. Rather, it is saved on the user’s local device, where it can be posted to other online platforms or sent to other people through SMS, other apps or other communication tools”. [grassetto redazionale]. Da quanto sopra si evince, dunque, che nel caso dei Replays la Società conserva le registrazioni, in deroga alla regola della eliminazione immediata, mantenendole a disposizione dell’amministratore della room, il quale potrà decidere l’eventuale utilizzo successivo, compresa la diffusione. Senza entrare nel merito dell’esatta allocazione delle co-responsabilità tra la piattaforma e gli amministratori (a cui dovrà applicarsi il Regolamento laddove non risulti applicabile la cd. eccezione domestica di cui all’art. 2, par. 2, lett. c), è indiscutibile che la Società tratta i dati degli utenti che partecipano ad una conversazione registrata nella misura in cui conserva i loro dati per metterli a diposizione degli amministratori. Clubhouse sarà, pertanto, tenuto nell’effettuazione di tale trattamento, al rispetto dei principi di correttezza e trasparenza, di cui all’art. 5, par. 1, lett. a), del Regolamento. In particolare la Società dovrà indicare con precisione, nei termini di servizio, le condizioni contrattuali applicabili agli utenti, distinguendo le prerogative appannaggio degli amministratori e le salvaguardie predisposte a favore degli utenti partecipanti. In tale contesto, appare preminente il dettato del considerando 78 del Regolamento che richiama il dovere dei produttori a progettare e realizzare i rispettivi prodotti tenendo conto proprio della regolamentazione sulla protezione dei dati personali, incluso il principio di trasparenza.

Nelle memorie difensive prodotte da Alpha Exploration sono riportati i riquadri informativi predisposti dalla piattaforma al fine di informare e rendere chiaro l’attivazione della funzionalità di registrazione Replays. A ben vedere, però, la funzionalità appare, da un lato poco evidenziata, e dall’altro presente solo all’interno della stanza mentre, sotto un profilo di piena consapevolezza degli utenti in entrata, sarebbe stato più opportuno evidenziare il pop-up in un momento precedente l’accesso alla stanza medesima. Tale soluzione permetterebbe a ciascun utente di decidere, prima di entrare in una stanza, se parteciparvi o meno, anche in considerazione della circostanza che la conversazione in corso è oggetto di registrazione. Diversamente, si sarebbe costretti ad entrare in una stanza per scoprire se la funzione Replays è attiva o meno.

Con riferimento, invece, alle registrazioni delle conversazioni effettuate dalla Società per finalità di indagine su eventuali violazioni delle linee guida della comunità di Clubhouse. Sul punto Alpha Exploration ha confermato che la Base giuridica del trattamento risiede nel legittimo interesse del Titolare di cui all’art. 6, par. 1, lett. f), del Regolamento (“il Trattamento è necessario per il perseguimento del legittimo interesse del Titolare del Trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”).

Al riguardo deve richiamarsi quanto indicato nel considerando n. 47 del medesimo Regolamento, laddove si evidenzia che “gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del Titolare del Trattamento qualora i Dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore Trattamento dei dati personali” e ancora che “costituisce parimenti legittimo interesse del Titolare del Trattamento interessato trattare Dati personali strettamente necessari a fini di prevenzione delle frodi”.

In base alla richiamata disposizione e al citato considerando e all’interpretazione della Corte di Giustizia dell’Unione europea (cfr., sentenza  C 13/16 - Rīgas satiksmea), costituisce parametro necessario per la valutazione della sussistenza del legittimo interesse del Titolare a trattare dati dell’interessato prescindendo dalla sua preventiva manifestazione di consenso, la circostanza che gli interessi, i diritti e le libertà fondamentali dell’interessato non siano prevalenti rispetto a tale interesse e, elemento non secondario, che i dati trattati siano “strettamente necessari” per la finalità perseguita, in particolare se la stessa è riconducibile alla prevenzione di condotte illecite.

Nel caso in argomento, le sopra richiamate condizioni non appaiono sussistere, in primo luogo perché il trattamento, in base a quanto indicato nella privacy policy, non si attiverebbe solo su segnalazione da parte degli utenti di comportamenti concreti e lesivi delle regole della comunità, realizzati da altri soggetti, ma anche (e soprattutto) in via preventiva su ogni stanza e su ciascuna conversazione che verrebbe registrata e monitorata mediante sistemi automatizzati (“We record conversations in all rooms to monitor for violations of our Community Guidelines or our Terms of Service, or for otherwise illegal or illicit activity. If a user or our automated systems flag potential violations, we will retain the recording as long as reasonably necessary to investigate the potential violation”).

È evidente la sproporzione fra un monitoraggio così diffuso e pervasivo, nel quale, peraltro, la segnalazione di eventuali comportamenti illeciti è rimessa, in prima battuta, a processi decisionali automatizzati (monitoraggio che incide peraltro sui diritti di libertà di riunione, di associazione e di espressione del pensiero dei quali la Costituzione italiana riconosce l’inviolabilità in base a quanto stabilito dagli artt. 17, 18 e 21), e la finalità di prevenire e contrastare eventuali comportamenti non conformi alle linee guida della comunità, quasi che il solo far parte di un’associazione (di una comunità, come nel caso di specie) consenta alla medesima di “ascoltare” tutte le conversazioni di ogni associato, per confermarne in ogni istante l’aderenza con le norme statutarie.

Se a ciò si aggiunge che, per i trattamenti di cui sopra, svolti mediante processi automatizzati, non sono stati forniti, né agli interessati, né, tantomeno, all’Autorità informazioni in ordine ai criteri e alla logica utilizzata, cosicché non è dato sapere quali e quante conversazioni vengano conservate dal Titolare per le ulteriori verifiche, deve concludersi che tali trattamenti, dei quali si può anche obiettare della legittimità in radice, certamente non possono essere sorretti da una base giuridica che prescinda dal Consenso libero, inequivoco, specifico e informato dell’interessato.

Sotto questo profilo, pertanto, deve confermarsi quanto contestato alla Società nell’atto di avvio del procedimento amministrativo.

Infine, per quanto riguarda i trattamenti svolti mediante profilazione, deve anzitutto osservarsi che, contrariamente a quanto indicato in precedenza, Alpha Exploration ha rappresentato nella memoria difensiva e nell’audizione che gli stessi sarebbero sorretti dalla base giuridica di cui all’art. 6, par. 1, lett. b), del Regolamento (esecuzione di un contratto) e non da quella relativa al perseguimento di un interesse legittimo del titolare.

Orbene, se nel documento sui termini di servizio (che costituisce la base contrattuale dell’utente) vi è un costante richiamo agli “user content” e all’utilizzo che la Società può fare di tali contenuti (che si ribadisce, sono intesi in una accezione estremamente ampia, e cioè tutto ciò che l’utente dice, pubblica o rende disponibile), nella tabella  delle basi giuridiche riportata nella integrazione europea della privacy policy, non vi è traccia di tale definizione, cosicché diviene estremamente complesso, anche per un utilizzatore accorto della piattaforma, riuscire a creare un qualche collegamento fra quanto rappresentato nei termini di servizio e quanto dichiarato nell’informativa.

Da una lettura combinata, e non certo agevole, dei due documenti, si evince che i dati che potranno formare oggetto di Trattamento per consentire la personalizzazione dei prodotti, la creazione di un profilo che consenta ad altri utenti di invitare l’interessato nelle proprie stanze e l’invio di suggerimenti in ordine a utenti, club o altri contenuti ritenuti rilevanti per l’interessato medesimo, sono quelli relativi agli interessi selezionati, all’attività svolta mediante la piattaforma, ai cd. “user content”, alle informazioni sull’account, alle informazioni “biografiche” (intese come informazioni personali aggiuntive, foto del profilo, cenni sulla propria vita, tutte informazioni che Alpha Exploration si riserva il diritto di “richiedere”, senza tuttavia rappresentare le conseguenze di un eventuale mancato riscontro da parte dell’utente).

Non può, nel caso in argomento, non richiamarsi quanto indicato nelle “Linee guida 2/2019 sul Trattamento di Dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”, adottate dal Comitato europeo per la protezione dei Dati personali in data 16 ottobre 2019 , in cui si rappresenta che “spesso i servizi online raccolgono informazioni dettagliate sulle modalità di interazione degli utenti con il loro servizio. Nella maggior parte dei casi, la raccolta di dati relativi a parametri organizzativi concernenti un servizio o di dettagli relativi al coinvolgimento degli utenti non può essere considerata necessaria per la prestazione del servizio, in quanto il servizio può essere fornito in assenza del Trattamento di tali dati personali. Tuttavia un prestatore di servizi può fondare tale Trattamento su basi giuridiche alternative quali il legittimo interesse o il consenso. Il comitato europeo per la protezione dei dati non ritiene che l’articolo 6, paragrafo 1, lettera b), costituisca in via generale una base giuridica appropriata per un Trattamento svolto ai fini del miglioramento di un servizio o dello sviluppo di nuove funzioni nel contesto di un servizio esistente. Nella maggior parte dei casi, un utente stipula un contratto per avvalersi di un servizio esistente. Sebbene la possibilità di apportare miglioramenti e modifiche a un servizio sia spesso sistematicamente inclusa nei termini contrattuali, tale Trattamento non può essere considerato oggettivamente necessario, in via generale, all’esecuzione del contratto stipulato con l’utente”.

Quanto sopra riportato completa e specifica le osservazioni contenute nelle “Linee guida sul Processo decisionale automatizzato relativo alle persone fisiche e sulla Profilazione ai fini del regolamento 2016/679”, adottate il 3 ottobre 2017 e modificate in data 6 febbraio 2018 dal Gruppo di lavoro ex art. 29 per la protezione dei dati e nel Parere reso dal medesimo Gruppo il 9 aprile 2014 in tema di basi giuridiche del trattamento, le quali ribadiscono che la disposizione in ordine alla base giuridica contrattuale “deve essere interpretata rigorosamente e non contempla le situazioni in cui il Trattamento non è effettivamente necessario all’esecuzione di un contratto, bensì imposto unilateralmente all’interessato dal Responsabile del trattamento. Inoltre, il fatto che alcuni trattamenti di dati siano coperti da un contratto non significa automaticamente che tali trattamenti siano necessari alla sua esecuzione”.

Il discrimine va ricercato nella necessità dell’attività di Profilazione ai fini della esecuzione del contratto, necessità che nel caso in argomento non si ravvisa posto che ciascun utente può unirsi alla comunità di Clubhouse anche senza esporre informazioni aggiuntive rispetto a quelle necessarie per la creazione dell’account e senza consentire ad Alpha Exploration di effettuare autonome elaborazioni in ordine alle modalità delle sue interazioni con la piattaforma. Tali autonome elaborazioni, peraltro, potrebbero portare alla creazione di un profilo differente da quello percepito dall’interessato (giacché modalità e logica della Profilazione non risultano esplicitate nella privacy policy) cosicché la partecipazione alla vita della comunità potrebbe risultare viziata o indebitamente condizionata/influenzata.

Nella tabella sulle basi giuridiche riportata nella integrazione europea alla privacy policy si legge, inoltre, che le informazioni sull’account, quelle biografiche aggiuntive richieste dalla piattaforma e quelle sull’uso della piattaforma e sulle attività possono essere utilizzate al fine di sviluppare e migliorare i prodotti Clubhouse. La base giuridica del predetto Trattamento risiederebbe nel legittimo interesse del titolare. A tale riguardo deve osservarsi che, in assenza di ulteriori specificazioni, che pure sarebbero necessarie, se il Trattamento si svolge mediante operazioni di Profilazione lo stesso appare in tutto sovrapponibile a quello finalizzato al miglioramento della partecipazione dell’interessato alla comunità e, in tale caso, l’individuazione di una differente base giuridica che prescinde dal Consenso dell’interessato risulta costituire una forma di elusione delle disposizioni e delle linee guida sopra richiamate. Se il Trattamento ha connotati differenti e non prevede lo svolgimento di operazioni di profilazione, lo stesso dovrebbe essere esplicitato nel dettaglio al fine di consentire all’interessato e all’Autorità di valutare gli interessi in campo e l’eventuale prevalenza dei medesimi rispetto ai diritti, alle libertà fondamentali e agli interessi degli utenti.

Ciò anche tenuto conto di quanto indicato nel “Parere 6/2014 sul concetto di interesse legittimo del [titolare] del Trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE” (oggi art. 6, par, 1, lett. f), del Regolamento), reso dal Gruppo di lavoro ex art. 29 per la protezione dei dati, nel quale si rappresenta che “il fatto che il [titolare] del Trattamento abbia tale interesse legittimo nel Trattamento di determinati dati non significa che possa necessariamente invocare l’articolo 7, lettera f), come fondamento giuridico per il trattamento. La legittimità dell’interesse del [titolare] del Trattamento dei dati è solo un punto di partenza, uno degli elementi che devono essere analizzati ai sensi dell’articolo 7, lettera f). La possibilità di invocare l’articolo 7, lettera f), dipenderà all’esito del test comparativo”, come sopra richiamato (cd. triple test, nell’interpretazione della CGUE sopra citata).

Alla luce delle osservazioni di cui sopra devono confermarsi integralmente le violazioni degli artt. artt. 5, par. 1, lett. a), 6 e 7 del Regolamento formulate nell’atto di avvio del procedimento.

5.2. Artt. 5, par. 1, lett., a) ed e), 12, par. 1, 13 e 14 del Regolamento

Con l’atto di avvio del procedimento del 7 marzo 2022 è stata contestata ad Alpha Exploration la violazione delle disposizioni in tema di informativa, ai sensi degli artt. 5, par. 1, 12, 13 e 14 del Regolamento,

- per avere omesso di fornire, fino al 4 agosto 2021, le informazioni sul Trattamento agli interessati che conferivano i propri dati personali,

- per avere omesso di fornire le informazioni sul Trattamento ai soggetti le cui numerazioni telefoniche sono presenti nella lista contatti degli utenti che hanno acconsentito alla loro condivisione con Clubhouse,

- per aver reso, successivamente al 4 agosto 2021, informazioni sul Trattamento in carenza dei requisiti di chiarezza, trasparenza e comprensibilità ivi previsti

- per aver fornito informazioni inidonee sui tempi di conservazione dei dati degli utenti.

Quanto alla contestazione circa l’omessa informativa fino alla data del 4 agosto 2021, deve richiamarsi quanto constatato al punto 5.1, e cioè che tale omissione è stata causata da un’errata valutazione del Titolare del Trattamento in ordine alla normativa applicabile in relazione agli interessati che si trovano nell’Unione, ma che tale circostanza non consente di applicare alla Società l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di bona fede.

Per quanto riguarda l’omessa informativa relativa ai trattamenti di Dati personali costituiti dalle numerazioni telefoniche dei non utenti, nell’atto di contestazione era stato osservato che “Clubhouse raccoglie i dati dei cd. “contatti” presenti nella rubrica dei device dei propri utenti, memorizzati sotto forma di valori hash derivati dai numeri di telefono. Tale raccolta consente agli utenti di connettersi con le persone che conoscono, e di invitare gli amici a unirsi a loro su Clubhouse. La piattaforma raccoglie anche i nomi degli amici che l’utente decide di invitare a unirsi a Clubhouse. Tale raccolta di dati, pur prevedendo un Consenso da parte dell’utente, viene svolta senza fornire ai soggetti terzi (gli “amici” dell’utente presenti nella sua lista contatti), alcun tipo di informazione in ordine ai trattamenti che verranno effettuati sui loro dati (numero di telefono e nominativo)”.

Nella memoria difensiva del 16 maggio 2022 Alpha Exploration ha ribadito che i dati delle numerazioni telefoniche dei non utenti, acquisiti mediante la sincronizzazione dei propri contatti che l’interessato può operare sulla piattaforma Clubhouse, sono sottoposti a processo di Pseudonimizzazione e non sono quindi nella disponibilità della Società. Ha quindi evidenziato di aver inserito, sin dal 6 gennaio 2022, una apposita menzione nell’integrazione alla privacy policy al fine di dare adeguate informazioni ai non utenti, informazioni poi integrate nell’attuale versione dell’informativa, nella quale si dà atto che “l’unica informazione che Clubhouse conserva è un valore di hash derivato dal numero di telefono. Clubhouse non raccoglie i nomi o qualsiasi altra informazione associata ai tuoi contatti e non condividiamo o rendiamo disponibile a terzi i valori di hash che raccogliamo”.

Al riguardo, nel dare atto dello sforzo di Alpha Exploration di rendere maggiormente chiare le informazioni rese agli interessati e nel ribadire che anche la conservazione di dati pseudonimizzati costituisce trattamento, si osserva che le informazioni inserite nella privacy policy raramente possono essere apprese da soggetti che non sono utenti della piattaforma e quindi appare necessario, al fine di non rendere l’adempimento sull’informativa ai non utenti alla stregua di un mero formalismo, che la Società compia un ulteriore passo per fornire agli interessati un’informativa conforme al dettato normativo. In questo senso appare utile evidenziare che l’art. 14, par. 3, lett. b), del Regolamento consente di fornire l’informativa “nel caso in cui i Dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato” e che, pertanto, nel caso in cui Clubhouse dovesse inviare l’invito ai non utenti per unirsi alla comunità, potrebbe essere utilmente inserito nel testo dell’invito un link che rimandi ad una specifica informativa resa nell’interesse dei non utenti, da inserire separatamente nel sito web, nonché una indicazione sull’origine del messaggio, al fine di consentire al Destinatario di operare in autonomia ogni pertinente approfondimento.

Quanto poi alla contestazione in ordine alla violazione di cui all’art. 12 del Regolamento, nell’atto di avvio del procedimento era stato osservato che “anche nella versione aggiornata della privacy policy appaiono non correttamente configurati alcuni rilevanti aspetti del Trattamento dei Dati personali e risulta inoltre non chiara la valenza della parte generale del predetto documento rispetto alle specifiche informazioni fornite per gli utenti europei, cosicché l’informativa non assume quei connotati di chiarezza, trasparenza e comprensibilità previsti dall’art. 12, par. 1 del Regolamento”.

Al riguardo la parte ha rappresentato di aver aggiornato recentemente entrambi i documenti (privacy policy e integrazione per gli utenti che si trovano nell’Unione) per migliorare la comprensibilità delle due parti e che la privacy policy indica specificatamente che la stessa si applica globalmente, mentre l’integrazione ha funzione di informativa supplementare da leggere in coordinamento con la prima: “considerate nel complesso, la privacy Policy e l’Informativa Supplementare forniscono agli utenti tutte le informazioni prescritte”.

Anche in questo caso si deve dare atto dello sforzo compiuto dalla Società per rendere maggiormente comprensibile l’informativa, tuttavia deve rilevarsi che le criticità emerse in sede di contestazione non sembrano essere state superate, in primo luogo per quanto già emerso al punto 5.1, in tema di interesse legittimo (laddove non sono indicati nel dettaglio gli elementi di cui all’art. 13, par. 1, lett. d), del Regolamento), oltre che per le scarse informazioni rese con riferimento ai procedimenti decisionali automatizzati e alla profilazione. Inoltre, come evidenziato con riferimento alla funzionalità Clips & Replays, le informazioni rese nella privacy policy relativamente alla base giuridica contrattuale non trovano corrispondenza con quanto indicato nel documento relativo ai termini di servizio. Sugli aspetti qui richiamati non si ritiene debbano essere adottate specifiche prescrizioni poiché, allo stato degli atti, i predetti trattamenti risultano illegittimi in radice, con riferimento agli aspetti relativi alla compatibilità della base giuridica con il quadro normativo di riferimento.

Con riferimento alla contestazione relativa alla mancata indicazione dei periodi di conservazione dei dati, la Società, in sede di istruttoria, ha rappresentato che i Dati personali vengono conservati per tutto il tempo in cui l’utente dispone di un account Clubhouse, ovvero per un periodo più lungo in caso di reclamo o se la Società ritiene che vi sia una prospettiva di contenzioso.

Con riferimento ai file audio, sono risultate, in particolare, carenti le informazioni sui tempi di conservazione in tutte le ipotesi che non rientrano nelle verifiche delle violazioni segnalate.

La Società, nell’informativa, ha dichiarato, genericamente, che per determinare il periodo di conservazione appropriato per i dati personali, sono presi in considerazione la quantità, la natura e la sensibilità delle informazioni, il rischio potenziale di danno dall’uso non Autorizzato o dalla divulgazione dei dati stessi, gli scopi del Trattamento e i requisiti legali applicabili.

Nella memoria difensiva Alpha Exploration ha fatto presente che il Regolamento non impone una indicazione analitica e puntuale dei periodi di conservazione dei dati, ammettendo che possa essere impossibile rendere tale informazione, ma prescrive che nell’informativa sia almeno presente una esposizione dei criteri utilizzati per determinare i suddetti periodi.

Afferma Alpha Exploration che “nel caso di specie, l’utente è informato che Clubhouse conserva i Dati personali per il tempo in cui l’utente mantiene un account Clubhouse. Ne consegue che l'utente ha il controllo del periodo di conservazione e non è possibile sapere in anticipo quando un utente potrebbe chiudere il proprio account o chiedere a Clubhouse la cancellazione dei propri dati personali”. La Società ha rappresentato di aver comunque aggiornato il testo della sezione relativa alla conservazione dei dati della privacy policy e dell’informativa supplementare “per riflettere in modo più accurato i periodi di conservazione dei dati per le diverse finalità sopra descritte al fine di aumentare la trasparenza delle nostre pratiche di conservazione dei dati e soddisfare le osservazioni di codesta Autorità”.

Al riguardo si rileva che dalle informazioni rese da Alpha Exploration nell’ultima versione della privacy policy e dell’informativa integrativa per gli utenti che si trovano nell’Unione, non si riesce ancora ad evincere quali siano i dati che sono soggetti alla disciplina di carattere generale, che prevede la conservazione fino al momento dell’eventuale chiusura dell’account, e quali dati invece siano, invece, soggetti ad un regime di conservazione differenziato. In particolare, non è stato chiarito quali dati possano essere oggetto di conservazione prolungata in caso di contenzioso (anche potenziale) e se per l’eventuale cancellazione di tali dati si faccia riferimento ai termini di prescrizione civilistica (e di quale Paese) o ad altre circostanze. Con riferimento ai file audio, realizzati su richiesta dell’utente mediante l’attivazione della funzione Clips & Replays, appare necessario chiarire agli utenti che tali file sono, di regola, conservati fino alla eventuale chiusura dell’account da parte dell’utente che li ha generati a meno che lo stesso non ne chieda la cancellazione.

Anche in questo caso, pertanto, trovano conferma le contestazioni formulate nell’atto di avvio del procedimento, dovendosi ritenere violati gli artt. 5, par. 1, lett., a) ed e), 12, par. 1, 13 e 14 del Regolamento.

5.3. Art. 27 del Regolamento

L’art. 13, par. 1, lett. a), del Regolamento prescrive che il Titolare indichi, tra l’altro, i dati di contatto del rappresentante, mentre l’art. 27, par. 4 del Regolamento prevede che il ruolo di quest’ultimo sia di interlocutore, al fianco o al posto, del titolare.

Il Garante con l’atto di contestazione ha prospettato la violazione dell’art. 13, par. 1, lett. a), in combinato disposto con l’art. 27 del Regolamento, nella parte in cui l’informativa non fornisce i dati di contatto del rappresentante.

Inoltre, è stata rilevata anche una presunta violazione dell’art. 27, par. 4 del Regolamento in relazione alle funzioni e al ruolo svolto in concreto dal rappresentante designato.

Nella memoria difensiva del 16 maggio 2022, la Società ha affermato di aver Designato la società VeraSafe Ireland Ltd (di seguito “VeraSafe”) come rappresentante e di aver regolato i relativi rapporti in base ad un accordo scritto. In particolare, la Società ha precisato di aver conferito a VeraSafe il potere di ricevere, comunicare e, a seguito di consultazione con Alpha Exploration, rispondere alle comunicazioni ricevute da un’autorità di controllo o da un interessato.

La Società ha inoltre rappresentato:

- di aver adempiuto al proprio obbligo informativo di cui all’art. 13, par. 1, lett. a) inserendo nella privacy policy il link che riporta ad un modulo che rappresenta il punto di contatto con VeraSafe;

- di aver reso più chiara l’informativa integrativa precisando che VeraSafe può essere contattata, in aggiunta ad Alpha Exploration, attraverso un modulo elettronico oppure un apposito indirizzo email;

- che nella pagina web di VeraSafe sono fornite le informazioni in merito alla gestione delle richieste.

In merito a quanto sostenuto dalla Società, si rileva quanto segue:

- tra i contatti indicati nell’informativa integrativa prodotta (cfr. allegato 2 della memoria del 16 maggio 2022), sezione Notice to European and Brazilian Data Subjects, è indicato il solo indirizzo fisico di VeraSafe, senza riferimenti all’email di quest’ultima;

- la formulazione delle informazioni fornite dalla Società nella sottosezione Controller and Representative della privacy policy appare ambigua, nella parte in cui si legge “Please note any communications directed to these representatives should also be directed to Clubhouse as the data controller” [enfasi aggiunta]. Infatti, il testo sembra suggerire all’interessato la necessità di inviare la comunicazione non solo al rappresentante ma anche al Titolare del Trattamento dei dati, come se ciò costituisse un onere aggiuntivo e necessario;

- sempre nella sezione Notice to European and Brazilian Data Subjects è disponibile un link che rimanda ad un form online della pagina https://verasafe.com/public-resources/contact-data-protection-representative che VeraSafe dedica genericamente ai contatti con gli interessati che intendano scrivere ad uno dei diversi titolari che rappresenta; accedendo al predetto form si atterra nella pagina web di VeraSafe in cui sono fornite alcune informazioni (A quick summary of how your inquiry will be handled) sulle funzioni e sul ruolo del rappresentate. Tali informazioni appaiono disallineate rispetto al dettato normativo, atteso che VeraSafe si definisce come un mediatore (facilitator), ovverosia con un profilo più limitato rispetto alla previsione dell’art. 27, par. 4, del Regolamento che qualifica, invece, il rappresentante come un vero e proprio interlocutore che agisce in nome e per conto del titolare.

Alla luce di quanto sopra si ritiene che l’attuale formulazione della privacy policy non sia conforme al disposto di cui all’art. 13, par. 1, lett. a), del Regolamento in quanto nei dettagli di contatto non viene espressamente indicato l’indirizzo di posta elettronica del rappresentante, costringendo l’interessato a consultare una differente pagina web - soggetta, tra l’altro, ad una diversa privacy policy – e compilare un modulo elettronico predisposto dal rappresentante non dedicato esclusivamente all’attività prestata a favore di Clubhouse.

Inoltre, si ritiene integrata anche la violazione dell’art. 27, par. 4, del Regolamento in quanto il ruolo di VeraSafe appare, allo stato, non correttamente delineato, atteso che la figura del rappresentante introdotta dal Regolamento non può essere intesa come mediatore o facilitatore (ovverosia un soggetto che mette in relazione due o più parti per agevolare il raggiungimento di un obiettivo, senza essere vincolato ad alcuna di esse da rapporti di collaborazione, di dipendenza o di rappresentanza) ma, come specificato nel considerando 80 del Regolamento, ma deve essere un soggetto che agisce per conto del Titolare con riguardo agli obblighi che a questi derivano dal Regolamento. L’ambiguità del ruolo di VeraSafe è confermata anche dalla scarsa chiarezza della privacy policy nella misura in cui prevede che gli interessati debbano inviare ogni comunicazione congiuntamente sia al rappresentante che al titolare, in tal modo svuotando totalmente il significato della designazione di un rappresentante nell’Unione europea.

5.4. Art. 28 del Regolamento

In merito ai destinatari o alle categorie di destinatari dei dati personali, nella memoria del 16 maggio 2022 Alpha Exploration ha riferito che i Dati personali degli utenti possono essere comunicati a fornitori di servizi, da identificare come responsabili del trattamento.

Tale circostanza appare confermata da quanto indicato nella privacy policy, nella quale si rappresenta che i dati degli utenti possono essere condivisi con società e altri soggetti che forniscono servizi per conto di Alpha Exploration o collaborano a gestire l’App (nelle attività di hosting, analisi, supporto clienti, consegna di email e SMS).

L’art. 28 del Regolamento disciplina la figura del Responsabile del Trattamento ed i rapporti tra quest’ultimo ed il titolare. In particolare, il Terzo paragrafo specifica che i trattamenti effettuati da un Responsabile sono regolati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincola il Responsabile al Titolare e che stipula la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento.

A seguito dell’atto di contestazione, la Società ha comunicato (cfr. allegato 4 alla memoria del 16 maggio 2022) l’elenco dei soggetti che operano in qualità di responsabili del Trattamento chiarendo che gli stessi agiscono sulla base delle istruzioni impartite dalla Società.

Sulla base delle informazioni fornite si ritiene che non sussistano gli estremi per ritenere integrata la violazione dell’art. 28 del Regolamento, ma si considera necessario, al fine di rendere più trasparente e completa l’informativa, che il Titolare inserisca un link che rimandi all’elenco prodotto affinché lo stesso, debitamente aggiornato, sia liberamente consultabile da parte degli interessati.

5.5. Artt. 5, par. 1, lett. f) e 32 del Regolamento

Alpha Exploration ha dichiarato, nella nota dell’8 marzo 2021 in riscontro alla richiesta di informazioni dell’Ufficio, che i dati audio raccolti nell’ambito di Clubhouse non vengono trattati biometricamente e che non vengono applicati strumenti di decisione automatizzata ai sensi dell’art. 22 del Regolamento, neppure con riferimento all’attività di moderazione ed eventuale blocco degli utenti che non rispettano le regole della comunità di Clubhouse.

Per contro, in un primo momento, la Società ha fornito indicazioni del tutto generiche in merito alle misure di sicurezza adottate per proteggere i dati. Con la memoria difensiva del 16 maggio 2022, invece, la Società ha puntualmente illustrato le principali misure di sicurezza adottate, sia per la tutela dei file audio, sia a livello di infrastruttura e sicurezza dei sistemi adottati.

In particolare, Alpha Exploration ha riferito, in dettaglio, quali misure tecnico-informatiche ha adottato per la cifratura statica (per i cd. Reply e per le registrazioni conservate per finalità di fiducia e sicurezza) ed in trasmissione dei dati audio raccolti, nonché per la cifratura dei Dati personali degli utenti, compresi i messaggi privati diretti.

Per quanto concerne la sicurezza del sistema operativo, la Società ha precisato, nella citata memoria e durante l’audizione del 10 giugno 2022, che i primi ingegneri di Clubhouse provenivano da una società FinTech “dove sono stati formati accuratamente nelle pratiche di secure coding e nello sviluppo di applicazioni e sistemi sicuri”.

Le misure di sicurezza implementate da Alpha Exploration comprendono il controllo degli accessi (registrati) basato sui ruoli e vari livelli di privilegi, autenticazioni multi-factor, tecniche di cifratura e di secure coding, strumenti di monitoraggio e di alerting, procedure di valutazione del rischio, testing, sistemi di risposta ad incidenti e attività formativa del personale a cadenza annuale. Tali misure vengono periodicamente riviste ed aggiornate. Con riferimento specifico all’App, sin dal suo lancio gli ingegneri di Clubhouse hanno disegnato e realizzato l’ambiente ed il sistema operativo “utilizzando un singolo linguaggio di programmazione eseguito utilizzando una singola API […] al fine di ridurre l’introduzione di vulnerabilità, consentire uno sviluppo più veloce di patches o aggiornamenti all’App e facilitare un processo più semplice per mantenere un inventario software attuale”.

Nella memoria difensiva del 16 maggio 2022, inoltre, sono state illustrate nel dettaglio le misure adottate per monitorare l’attività sulla rete e l’integrità degli account degli utenti, comprensive di un penetration test, un programma di bug bounty e un canale Slack.

Da ultimo, si osserva che in sede di audizione in data 10 giugno 2020, la Società ha rappresentato che le tre linee di intervento attualmente prioritarie sono: 1) contrasto allo spam abuse; 2) crescita del team che si occupa di sicurezza informatica; 3) rispetto by design della sicurezza di ogni nuova funzionalità dell’App; la Società ha, inoltre, ribadito di adottare i più alti standard del settore in relazione al numero di dipendenti e all’area in cui opera.

Dall’analisi delle informazioni condivise, ed effettuato un confronto tecnico interno, il Garante, ritiene che le misure adottate siano conformi a quanto previsto dagli artt. 5, par. 1, lett. f), e 32 del Regolamento.

5.6. Art. 35 del Regolamento

L’Autorità ha dedicato un paragrafo del proprio atto di contestazione alla necessità di svolgere una valutazione di impatto da parte della Società. Infatti, l’art. 35 del Regolamento prevede che quando un Trattamento di Dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Con provvedimento n. 467 dell’11 ottobre 2018, il Garante ha pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, par. 4, del Regolamento (doc. web n. 9058979). Nell’ambito di tale elenco, sono compresi i trattamenti che comportano la Profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso applicazioni, relative ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.

Le attività svolte dalla Società rientrano in modo pacifico nelle tipologie di Trattamento che necessitano di una valutazione di impatto, visto che si concretizzano in un’attività di Profilazione degli utenti del servizio relativo alle preferenze degli stessi. Si aggiunga che, tra i dati trattati, possono rientrare anche quelli di soggetti min ori il cui Trattamento sarebbe non occasionale.

Nella propria memoria difensiva, la Società ha argomentato in ordine al mancato adempimento di cui all’art. 35 del Regolamento richiamando genericamente aspetti sulle attività di Profilazione che escluderebbero ogni forma di Trattamento intrusivo, salvo poi confermare di avere in lavorazione una valutazione di impatto “che valuti il rischio della personalizzazione organica di Clubhouse”.

Tale ultima dichiarazione, seppur apprezzata dal Garante, non sminuisce la gravità del Trattamento svolto in assenza della valutazione di impatto, atteso che la norma richiamata richiede espressamente che l’obbligo sia adempiuto prima di procedere al trattamento, e proprio in ragione dei possibili rischi elevati per i diritti e le libertà delle persone fisiche.

Sulla base delle informazioni fornite si ritiene, pertanto, integrata la violazione dell’art. 35 del Regolamento e si ritiene necessaria la conclusione in tempi rapidi del documento valutativo in questione.

6. MISURE CORRETTIVE

Sulla base delle considerazioni di cui sopra, accertate le violazioni contestate alla Società con riferimento ai punti a) (con esclusione della base giuridica riferita ai trattamenti connessi alle funzioni Clips & Replays), b), c), d), e), f), g) e j) dell’atto di avvio del procedimento n. 15589/22 del 16 marzo 2022, si rende necessario prescrivere ad Alpha Exploration, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento al fine di conformare i trattamenti alle disposizioni del Regolamento stesso, di:

- integrare i termini di servizio mediante l’inserimento della descrizione delle funzioni Clips & Replays, con specifico riferimento alle prerogative degli amministratori ed alle salvaguardie predisposte a favore degli utenti che partecipano alle room;

- integrare l’informativa con riferimento alle basi giuridiche, specificando con maggiore dettaglio quale base giuridica si applichi ad ogni specifica finalità di trattamento;

- introdurre una funzionalità che consenta di apprendere della eventuale registrazione di una chat prima dell’ingresso nella relativa stanza; 

- prevedere un meccanismo in base al quale, nel caso in cui Clubhouse debba inviare un invito ad unirsi alla comunità, indirizzato a soggetti non ancora utenti i cui dati sono stati acquisiti dalle rubriche telefoniche degli utenti, nel testo dell’invito sia inserito un link che rimandi ad una specifica informativa resa nell’interesse dei non utenti, da inserire separatamente nel sito web, nonché una indicazione sull’origine del messaggio, al fine di consentire al Destinatario di operare in autonomia ogni pertinente approfondimento;

- integrare l’informativa, con riferimento ai tempi di conservazione dei dati, specificando quali siano i dati che sono soggetti alla disciplina di carattere generale, che prevede la conservazione fino al momento dell’eventuale chiusura dell’account, e quali dati, invece, siano soggetti ad un regime di conservazione differenziato;

- integrare l’informativa indicando l’indirizzo di posta elettronica di contatto del rappresentante Designato ai sensi dell’art. 27 del Regolamento;

- integrare l’informativa inserendo un link che rimandi all’elenco dei responsabili del Trattamento nominati ai sensi dell’art. 28 del Regolamento, mantenendo tale elenco debitamente aggiornato;

- specificare, nell’atto di designazione del rappresentante ai sensi dell’art. 27 del Regolamento, funzioni e limiti del rappresentante medesimo, ai sensi del paragrafo 4 del medesimo articolo e del correlato considerando 80;

- effettuare una valutazione d’impatto sui trattamenti dei Dati personali effettuati mediante la piattaforma Clubhouse, nelle forme previste dall’art. 35 del Regolamento.

Si rende altresì necessario:

- imporre alla Società, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, il divieto di ogni ulteriore Trattamento svolto con finalità di marketing diretto, Profilazione e condivisione delle informazioni sugli account, per l’inidoneità della base giuridica di cui all’art. 6, par. 1, lett. f), del Regolamento;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Alpha Exploration della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

7. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA E DELLE SANZIONI ACCESSORIE

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Alpha Exploration della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a euro 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, preso atto dei dati sulla capacità economica della Società, come forniti dalla medesima, deve prendersi in considerazione l’importo fisso stabilito dalle richiamate norme, ammontante a euro 20.000.000.

Per la quantificazione in concreto della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a), del Regolamento) in ragione della specificità del settore di attività di Alpha Exploration che, operando quale social network di dimensione mondiale, ha la possibilità di incidere, con i suoi trattamenti, in rilevanti porzioni della vita privata delle persone fisiche, nei loro diritti e nelle loro libertà. Sotto questo profilo appaiono connotate di elementi di particolare gravità la scelta iniziale di Alpha Exploration di non fare riferimento alla normativa dettata dal Regolamento e la successiva impostazione che, pur tenendo conto del quadro normativo vigente in ambito europeo, ha sviluppato un sistema di trattamenti le cui basi giuridiche in nessun caso sono correlate al Consenso inequivoco, libero, specifico e informato dell’interessato;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a), del Regolamento), in ragione del carattere permanente e ancora in essere di molte delle condotte contestate e la constatazione che nel corso del periodo preso in esame, nonostante l’interlocuzione con l’Autorità, molte delle criticità non risultano essere state risolte;

3) quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a), del Regolamento) tenuto conto che la base degli utenti di Clubhouse, stando a quanto dichiarato dalla Società stessa, ammontava, nel marzo 2021, a 16 milioni di soggetti a cui devono aggiungersi i cd. “non utenti” i cui dati, segnatamente il numero di utenza telefonica, sono soggetti a Trattamento da parte di Alpha Exploration;

4) quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b), del Regolamento) in considerazione della circostanza che nel periodo dell’istruttoria si è sviluppata un’ampia e significativa interlocuzione con l’Autorità nel corso della quale sono stati illustrati al Titolare gli elementi maggiormente critici del complessivo Trattamento svolto da Alpha Exploration; ulteriore elemento per la valutazione della condotta della Società risiede nella circostanza che talune indicazioni rappresentate in sede di memoria difensiva, quale l’eliminazione del riferimento al marketing diretto nell’informativa, sono risultate poi non corrispondenti al vero, denotando anche in questo caso una gestione quantomeno superficiale e negligente dell’assetto dei trattamenti e delle correlate basi giuridiche;

5) quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c), del Regolamento), con riferimento alle ripetute riformulazioni del testo della privacy policy e dell’inserimento di una specifica sezione integrativa dedicata agli interessati che si trovano nel territorio dell’Unione Europea;

6) quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f), del Regolamento) nel corso dell’istruttoria preliminare, che ha consentito di acquisire informazioni complete e puntuali sul complesso dei trattamenti e di esaurire l’iter procedimentale in tempi ragionevolmente contenuti, avuto anche riguardo alla collocazione extra-europea del titolare;

7) quale fattore ulteriore da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k), del Regolamento), la capacità economica della Società, come desunta dai dati forniti dalla medesima.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione, si ritiene debba applicarsi alla Società la sanzione amministrativa del pagamento di una somma di euro 2.000.000,00 (due milioni), pari al 10 % del massimo edittale.

Nel caso in argomento si ritiene che debba trovare applicazione la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e del numero di soggetti coinvolti, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il Trattamento descritto nei termini di cui in motivazione da parte di Alpha Exploration.

Ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, prescrive alla Società di:

- integrare i termini di servizio mediante l’inserimento della descrizione delle funzioni Clips & Replays con specifico riferimento alle prerogative degli amministratori ed alle salvaguardie predisposte a favore degli utenti che partecipano alle room;

- integrare l’informativa con riferimento alle basi giuridiche, specificando con maggiore dettaglio quale base giuridica si applichi ad ogni specifica finalità di trattamento;

- introdurre una funzionalità che consenta di apprendere della eventuale registrazione di una chat prima dell’ingresso nella relativa stanza; 

- prevedere un meccanismo in base al quale, nel caso in cui Clubhouse debba inviare un invito ad unirsi alla comunità, indirizzato a soggetti non ancora utenti i cui dati sono stati acquisiti dalle rubriche telefoniche degli utenti, nel testo dell’invito sia inserito un link che rimandi ad una specifica informativa resa nell’interesse dei non utenti, da inserire separatamente nel sito web, nonché una indicazione sull’origine del messaggio, al fine di consentire al Destinatario di operare in autonomia ogni pertinente approfondimento;

- integrare l’informativa, con riferimento ai tempi di conservazione dei dati, specificando quali siano i dati che sono soggetti alla disciplina di carattere generale, che prevede la conservazione fino al momento dell’eventuale chiusura dell’account, e quali dati invece siano soggetti ad un regime di conservazione differenziato;

- integrare l’informativa indicando l’indirizzo di posta elettronica di contatto del rappresentante Designato ai sensi dell’art. 27 del Regolamento;

- integrare l’informativa inserendo un link che rimandi all’elenco dei responsabili del Trattamento nominati ai sensi dell’art. 28 del Regolamento, mantenendo tale elenco debitamente aggiornato;

- specificare, nell’atto di designazione del rappresentante ai sensi dell’art. 27 del Regolamento, funzioni e limiti del rappresentante medesimo, ai sensi del paragrafo 4 del medesimo articolo e del correlato considerando 80;

- effettuare una valutazione d’impatto sui trattamenti dei Dati personali effettuati mediante la piattaforma Clubhouse, nelle forme previste dall’art. 35 del Regolamento.

Ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone alla Società il divieto di ogni ulteriore Trattamento svolto con finalità di marketing diretto, Profilazione e condivisione delle informazioni sugli account, per l’inidoneità della base giuridica di cui all’art. 6, par. 1, lett. b) e f) del Regolamento;

Ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, e dell’art. 157 del Codice invita altresì il Titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

ORDINA

a Alpha Exploration Co., Inc., con sede al 548 Market Street PMB 72878, San Francisco, California 94104, USA, di pagare la somma di euro 2.000.000,00 (due milioni) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000.000,00 (due milioni), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi degli art7. 166, comma 7, del Codice, e 16 del Regolamento del Garante n. 1/2019, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il Titolare del Trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 ottobre 2022

IL PRESIDENTEStanzione

IL RELATOREScorza

IL SEGRETARIO GENERALEMattei


Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis

Testo del 2023-01-28 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Ordinanza ingiunzione nei confronti di Alpha Exploration Co. Inc. 6 ottobre 2022 [9828901] e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza