nuona privacy policy di WhatsApp: è legale?
Buongiorno, ho letto (quasi) con attenzione la nuova privacy policy di WhatsApp e a me sembra che ci sia un problema legale, a meno che non ci sia qualche accordo che deroga alle conseguenze della sentenza della Corte di Giustizia Europea nella causa Schrems. Chiedo a chi ne sa molto di più di me qui in lista se c'è qualcosa che mi sfugge o effettivamente c'è un problema. Se c'è un problema forse va denunciato?!?!?! Dunque... https://www.whatsapp.com/legal/updates/privacy-policy Quasi in fondo alla pagina c'è scritto: Operazioni a livello globale WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook, che esternamente con i nostri partner e con le persone con cui l'utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy e dei nostri Termini. Le informazioni controllate da WhatsApp potrebbero essere trasferite o trasmesse o archiviate e trattate negli Stati Uniti o in altri Paesi terzi al di fuori di quello in cui l'utente risiede per gli scopi descritti nella presente Informativa sulla privacy. WhatsApp utilizza l'infrastruttura globale e i data center di Facebook, inclusi quelli negli Stati Uniti. Tali trasferimenti sono necessari ed essenziali per consentirci di fornire i Servizi descritti nei nostri Termini e per gestire e offrire a livello globale i nostri Servizi. Per i trasferimenti a paesi terzi, utilizziamo le clausole contrattuali standard approvate dalla Commissione europea (qui è disponibile una spiegazione di tali clausole) oppure ci basiamo sulle decisioni di adeguatezza della Commissione europea relative ad alcuni paesi con le quali la Commissione europea riconosce che un paese o un territorio terzo, oppure una o più aree specifiche all'interno di tali paesi terzi assicurano un adeguato livello di protezione oppure utilizzano meccanismi equivalenti forniti in conformità con le leggi applicabili in materia di protezione dei dati, se applicabili. Per il trasferimento dei dati dallo Spazio economico europeo (SEE) agli Stati Uniti, ci basiamo sulle clausole contrattuali standard. Nelle FAQ del COMITATO EUROPEO PER LA PROTEZIONE DEI DATI a proposito delle conseguenze della sentenza Schrems, raggiungibili dal sito del garante della privacy, oltre ad un'altra serie di risposte, si legge: 4) Trasferisco dati a un importatore di dati statunitense aderente allo scudo per la privacy, cosa devo fare adesso? I trasferimenti sulla base di tale quadro giuridico *sono illegali*. Qualora desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile alle condizioni di seguito indicate. URL: https://www.garanteprivacy.it/documents/10160/0/FAQ+dell%27EDPB+sulla+senten... Quindi, se capisco bene, la privacy policy che WhatsApp si accinge a far accettare a milioni di utenti Europei è illegale. Qualcun* mi può confortare o smentire in questa mia deduzione? vi ringrazio molto m -- Maurizio "Graffio" Pillole di informazione digitale - https://pillole.graffio.org/ "C.I.R.C.E. - https://circex.org" AvANa - https://avana.forteprenestino.net/
On 10/05/21 08:55, graffio wrote: [...]
Qualcun* mi può confortare o smentire in questa mia deduzione?
Non sono un esperto, tutt'altro. Penso, però, che esista una gerarchia di prevalenza delle leggi, per cui in Europa, AL MOMENTO, e sottolineo __al momento__, non sarebbe applicabile la policy di WhatsApp. Ma per un utente accettare, ADESSO, significa aver fatto il passo che servirà a Facebook DOPO, ossia quando la situazione legale lo consentirà. Del resto, per quale motivo WhatsApp sta chiedendo l'accettazzione ANCHE in Europa oltre che nel resto del mondo??? NON ACCETTIAMO I TERMINI E USCIAMO DA WHATSAPP!! Festeggiamo tutti e tutte insieme in lista Nexa il 15 maggio!!! D.
Il 2021-05-10 07:42 D. Davide Lamanna ha scritto:
On 10/05/21 08:55, graffio wrote: [...]
Qualcun* mi può confortare o smentire in questa mia deduzione?
Non sono un esperto, tutt'altro.
Penso, però, che esista una gerarchia di prevalenza delle leggi, per cui in Europa, AL MOMENTO, e sottolineo __al momento__, non sarebbe applicabile la policy di WhatsApp. Ma per un utente accettare, ADESSO, significa aver fatto il passo che servirà a Facebook DOPO, ossia quando la situazione legale lo consentirà.
Concordo sul fatto che prima o poi ci sarà una deroga, ma al momento (qui ed ora) se è vero che è illegale WhatsApp NON potrebbe proporre servizi in cui chiede ai suoi utenti di accettare una policy che non è legale. Non capisco... Qualcun* degli esperti legali presenti in lista ha un'idea più precisa? m p.s. capisco che la questione sia tediosa, ma se è effettivamente illegale forse sarebbe il caso di intraprendere qualche azione. -- https://pillole.graffio.org
In data lunedì 10 maggio 2021 11:00:59 CEST, graffio ha scritto:
Qualcun* degli esperti legali presenti in lista ha un'idea più precisa? La sentenza Schrems II rende nulla la base giuridica "Privacy Shield". Se un utente da' il suo consenso, il trasferimento dei suoi dati extra UE ha quel consenso come base giuridica. Il problema è più complesso quando si usa il servizio in qualità di titolare del trattamento. m.c.
Grazie mille Marco. Quindi se capisco bene, una volta che l'utente accetta che WhatsApp possa trasferire in USA i propri dati rende il trasferimento dei dati legale. grazie m Il 10/05/21 13:57, Marco Ciurcina ha scritto:
In data lunedì 10 maggio 2021 11:00:59 CEST, graffio ha scritto:
Qualcun* degli esperti legali presenti in lista ha un'idea più precisa? La sentenza Schrems II rende nulla la base giuridica "Privacy Shield". Se un utente da' il suo consenso, il trasferimento dei suoi dati extra UE ha quel consenso come base giuridica. Il problema è più complesso quando si usa il servizio in qualità di titolare del trattamento. m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Maurizio "Graffio" Pillole di informazione digitale - https://graffio.noblogs.org/ "C.I.R.C.E. - https://circex.org" AvANa - https://avana.forteprenestino.net/
In data lunedì 10 maggio 2021 14:13:00 CEST, graffio ha scritto:
Grazie mille Marco. Quindi se capisco bene, una volta che l'utente accetta che WhatsApp possa trasferire in USA i propri dati rende il trasferimento dei dati legale. Si, per WA. Per l'utente, se non è titolare del trattamento di terzi.
Se mi domandassi "quando l'utente non è titolare del trattamento di terzi"? Ti dovrei ricordare che, ai sensi dell'art. 2.2, lett. c), il GDPR non si applica ai trattamenti "effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico" e che però questa disposizione va interpretata restrittivamente. Insomma, è molto facile che l'utente si trovi ad usare WA in qualità di titolare del trattamento: se dovessi dargli un consiglio prudenziale dovrei dirti di non usare mai WA. :-) m.c.
grazie m
Il 10/05/21 13:57, Marco Ciurcina ha scritto:
In data lunedì 10 maggio 2021 11:00:59 CEST, graffio ha scritto:
Qualcun* degli esperti legali presenti in lista ha un'idea più precisa?
La sentenza Schrems II rende nulla la base giuridica "Privacy Shield". Se un utente da' il suo consenso, il trasferimento dei suoi dati extra UE ha quel consenso come base giuridica. Il problema è più complesso quando si usa il servizio in qualità di titolare del trattamento. m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Marco Ciurcina <ciurcina@studiolegale.it> writes: [...]
Insomma, è molto facile che l'utente si trovi ad usare WA in qualità di titolare del trattamento: se dovessi dargli un consiglio prudenziale dovrei dirti di non usare mai WA.
Vi informo che qui è partita la ola :-) Grazie infinite Marco, in due frasi hai spieganto la questione in modo ineccepibile e comprensibile a tutti. Grazie anche a graffio di aver posto la questione! [...] Saluti, Giovanni. -- Giovanni Biscuolo Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché.
Scusate, siccome sono un po testone... Vorrei essere sicuro di aver capito bene con un paio di esempi. 1. il titolare del trattamento dei dati del gruppo whatsapp di condominio è l'amministratore di condominio o la persona che è l'amministratore del gruppo? 2. Il medico di base è il titolare del trattamento dei dati quando invia una ricetta tramite whatsapp? Grazie e scusate l'insistenza. m Il 10/05/21 14:57, Giovanni Biscuolo ha scritto:
Marco Ciurcina <ciurcina@studiolegale.it> writes:
[...]
Insomma, è molto facile che l'utente si trovi ad usare WA in qualità di titolare del trattamento: se dovessi dargli un consiglio prudenziale dovrei dirti di non usare mai WA. Vi informo che qui è partita la ola :-)
Grazie infinite Marco, in due frasi hai spieganto la questione in modo ineccepibile e comprensibile a tutti.
Grazie anche a graffio di aver posto la questione!
[...]
Saluti, Giovanni.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Maurizio "Graffio" Pillole di informazione digitale - https://graffio.noblogs.org/ "C.I.R.C.E. - https://circex.org" AvANa - https://avana.forteprenestino.net/
Il 11/05/21 09:00, graffio ha scritto:
Scusate, siccome sono un po testone... Vorrei essere sicuro di aver capito bene con un paio di esempi.
1. il titolare del trattamento dei dati del gruppo whatsapp di condominio è l'amministratore di condominio o la persona che è l'amministratore del gruppo? 2. Il medico di base è il titolare del trattamento dei dati quando invia una ricetta tramite whatsapp?
Grazie e scusate l'insistenza. m Condivido il quesito, perchè estremamente interessante
Il 10/05/21 14:57, Giovanni Biscuolo ha scritto:
Marco Ciurcina<ciurcina@studiolegale.it> writes:
[...]
Insomma, è molto facile che l'utente si trovi ad usare WA in qualità di titolare del trattamento: se dovessi dargli un consiglio prudenziale dovrei dirti di non usare mai WA. Vi informo che qui è partita la ola :-)
Grazie infinite Marco, in due frasi hai spieganto la questione in modo ineccepibile e comprensibile a tutti.
Grazie anche a graffio di aver posto la questione!
[...]
Saluti, Giovanni.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Maurizio "Graffio" Pillole di informazione digitale -https://graffio.noblogs.org/ "C.I.R.C.E. -https://circex.org" AvANa -https://avana.forteprenestino.net/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Enio GemmoTDF Member #339-Ubuntu User #27206-FSFE #4057 Telegram @geenio TDF enio.gemmo@libreoffice.org LibreItalia enio@libreitalia.it PEC enio.gemmo@pec.it GPG Key ID - 0xF50EA5CCFC9E C670 069C 125B 47C9 5377 36B0 48BA F50E A5CC
In data martedì 11 maggio 2021 09:03:51 CEST, geenio ha scritto:
Il 11/05/21 09:00, graffio ha scritto:
Scusate, siccome sono un po testone... Vorrei essere sicuro di aver capito bene con un paio di esempi.
1. il titolare del trattamento dei dati del gruppo whatsapp di condominio è l'amministratore di condominio o la persona che è l'amministratore del gruppo? mm.. quanti danni fa la logica binaria.. in certi casi casi, potrebbero essere titolari tutti e due.
2. Il medico di base è il titolare del trattamento dei dati quando invia una ricetta tramite whatsapp? In generale, si (salvo casi eccezionali, da valutare in concreto).
Un'informazione che trovo utile aggiungere. Mi pare che WA renda disponibile una versione professional (con assunzione degli obblighi ex art. 28 GDPR?); ma non ne conosco le condizioni: non so se siano GDPR & Schrems II compliant. m.c.
Grazie e scusate l'insistenza. m
Condivido il quesito, perchè estremamente interessante
Il 10/05/21 14:57, Giovanni Biscuolo ha scritto:
Marco Ciurcina<ciurcina@studiolegale.it> writes:
[...]
Insomma, è molto facile che l'utente si trovi ad usare WA in qualità di titolare del trattamento: se dovessi dargli un consiglio prudenziale dovrei dirti di non usare mai WA.
Vi informo che qui è partita la ola :-)
Grazie infinite Marco, in due frasi hai spieganto la questione in modo ineccepibile e comprensibile a tutti.
Grazie anche a graffio di aver posto la questione!
[...]
Saluti, Giovanni.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Premetto che NON sono un legale e potrei dire cose fortemente inesatte. Le dico, pero', _esplicitamente_ per favorire la discussione su questi temi (discussione che, a mio avviso, spesso si preferisce non fare) Il 11/05/21 09:00, graffio ha scritto:
[...] 1. il titolare del trattamento dei dati del gruppo whatsapp di condominio è l'amministratore di condominio o la persona che è l'amministratore del gruppo?
La questione e' piu' complessa, in quanto coinvolge N soggetti: A - i "condomini", cui i "dati trattati" si riferiscono; B - un soggetto "S" che ha creato un gruppo WhatsApp e ne è l'"amministratore" (del gruppo); C - l'amministratore di condominio, che è iscritto al gruppo di cui al punto B; D - WhatsApp (Facebook) che consente alle persone A) e C) di scambiarsi i dati di A) attraverso la piattaforma WhatsApp. In questo (complesso) contesto, a mio parere il focus principale non deve essere quello del "trasferimento" dei dati, quanto, quello di "chi ha accesso a cosa, e cosa ne fa". In dettaglio: i - è ovvio che l'amministratore di condominio debba essere autorizzato dai condomini, perchè verrà a sapere che alcuni di questi sono "morosi", hanno "problemi con il Comune", etc. etc.; ii - se la morosità del condomino X viene calcolata dall'amministratore + viene evidenziata in giallo su un PDF + il PDF viene girato al gruppo WhatsApp.... allora è caos: l'amministratore _NON_ poteva "trattare" quel dato (morosità) come ha fatto (broadcast su WA) e chi lo riceve (per errore; i condomini) _NON_ puo' in alcun modo "usarlo" (perche' non esiste nessuna "autorizzazione al trattamento" specifica in tal senso; il dato, quindi, va cancellato istantaneamente); iibis - se l'owner del gruppo WA si accorge che nel gruppo "gira" un documento con dati "personali" e.... si prende la liberta' di eliminare il messaggio, mi viene da pensare che il caos aumenta: il tizio si auto-elegge a "censore", preconfigurando una attivita' di "trattamento" che richiederebbe una autorizzazione esplicita; Rispetto al tema di cui all'oggetto, il caos aumenta ancora perche': iii - è evidente che Facebook cattura + processa tutti i messaggi in transito sul proprio network. Di fatto, questo configura un ulteriore trattamento Le privacy-policy di WA afferiscono unicamente alla sfera del punto iii) e nulla hanno a che vedere con il resto del (complicato) quadro.
2. Il medico di base è il titolare del trattamento dei dati quando invia una ricetta tramite whatsapp?
Il medico è certamente responsabile del trattamento dei tuoi dati sanitari, perché è lui che deve garantirne l'uso "adeguato" (aka: non deve inviare ai giornali la notizia che tu sei sottoposto a chemioterapia; che fra 6 mesi diventerai cieco; o che la vista ti si è abbassata al punto tale da rendere difficile la pratica di rinnovo della patente, alla scadenza). Tutto questo, INDIPENDENTEMENTE DA WHATSAPP. Poi, il fatto che lui scansioni una ricetta (rossa) con una prescrizione per una scatola di viagra e la mandi via WhatsApp.... aumenta il caos: gli algoritmi di FB scopriranno che nella "vostra" comunicazione c'era una scatola di Viagra. Capisce che era "viagra" e... comincia a martellarti con promozioni di un certo tipo... magari broadcast-ando tale notizia ai partner commerciali... E, di nuovo, è quest'ultimo aspetto che... è impattato dal cambio di privacy-policy. Chiudo dicendo che so di NON averti risposto.... ma spero di aver fatto un po' chiarezza sul quadro generale. Bye, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
On Tue, May 11, 2021 09:31:10 AM +0200, Damiano Verzulli wrote:
ii - se la morosità del condomino X viene calcolata dall'amministratore + viene evidenziata in giallo su un PDF + il PDF viene girato al gruppo WhatsApp.... allora è caos:
scusate, senza scomodare il GDPR, che differenza c'e' fra fare come sopra e consegnare a tutti, a riunione di condominio, o nella buca delle lettere, copie cartacee del bilancio di condominio dove non c'e' l'evidenziatura gialla, ma e' scritto chiaramente per quanto ogni condomino deve ancora pagare? "chiedo per un amico" :-) Marco -- Help me to continue my digital awareness blogging: https://stop.zona-m.net/christmas-2020-fundraising/
Il 11/05/21 10:35, M. Fioretti ha scritto:
On Tue, May 11, 2021 09:31:10 AM +0200, Damiano Verzulli wrote:
ii - se la morosità del condomino X viene calcolata dall'amministratore + viene evidenziata in giallo su un PDF + il PDF viene girato al gruppo WhatsApp.... allora è caos: scusate, senza scomodare il GDPR, che differenza c'e' fra fare come sopra e consegnare a tutti, a riunione di condominio, o nella buca delle lettere, copie cartacee del bilancio di condominio dove non c'e' l'evidenziatura gialla, ma e' scritto chiaramente per quanto ogni condomino deve ancora pagare? Credo che la differenza sta nel fatto che il foglio non viene fotografato e postato su facebook ? o sbaglio?
"chiedo per un amico" :-) Marco
-- Enio GemmoTDF Member #339-Ubuntu User #27206-FSFE #4057 Telegram @geenio TDF enio.gemmo@libreoffice.org LibreItalia enio@libreitalia.it PEC enio.gemmo@pec.it GPG Key ID - 0xF50EA5CCFC9E C670 069C 125B 47C9 5377 36B0 48BA F50E A5CC
Il 11/05/21 10:39, geenio ha scritto:
Il 11/05/21 10:35, M. Fioretti ha scritto:
On Tue, May 11, 2021 09:31:10 AM +0200, Damiano Verzulli wrote:
ii - se la morosità del condomino X viene calcolata dall'amministratore + viene evidenziata in giallo su un PDF + il PDF viene girato al gruppo WhatsApp.... allora è caos: scusate, senza scomodare il GDPR, che differenza c'e' fra fare come sopra e consegnare a tutti, a riunione di condominio, o nella buca delle lettere, copie cartacee del bilancio di condominio dove non c'e' l'evidenziatura gialla, ma e' scritto chiaramente per quanto ogni condomino deve ancora pagare? Credo che la differenza sta nel fatto che il foglio non viene fotografato e postato su facebook ? o sbaglio?
Diciamo che: * se l'amministratore usa "la carta", il problema (della compliance del trattamento) è solo suo.... * se l'amministratore posta tutto su WA, il problema (della compliance del trattamento) è sia suo, che si FB/WA. Occhio, pero': IANAL. Bye, DV
"chiedo per un amico" :-) Marco
-- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Il 11/05/21 10:35, M. Fioretti ha scritto:
On Tue, May 11, 2021 09:31:10 AM +0200, Damiano Verzulli wrote:
ii - se la morosità del condomino X viene calcolata dall'amministratore + viene evidenziata in giallo su un PDF + il PDF viene girato al gruppo WhatsApp.... allora è caos: scusate, senza scomodare il GDPR, che differenza c'e' fra fare come sopra e consegnare a tutti, a riunione di condominio, o nella buca delle lettere, copie cartacee del bilancio di condominio dove non c'e' l'evidenziatura gialla, ma e' scritto chiaramente per quanto ogni condomino deve ancora pagare?
Secondo me, _NESSUNA_, in quanto il "dato personale" è quello della tua morosità, ed il fatto che: a) venga scritto su carta e messo nella buca, piuttosto che... b) venga inviato via WA ad un "gruppo" è un dettaglio (rispetto alla tutela del _TUO_ dato). Il punto b) _AGGIUNGE_ un layer di complessità, in quanto il mezzo (Whatsapp) effettua un trattamento.... che quindi va reso "compliant". Questo aspetto non compare nel frammento di messaggio che hai quotato, ma era riportato esplicitamente (punto iii, mi pare). Bye, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
participants (7)
-
D. Davide Lamanna -
Damiano Verzulli -
geenio -
Giovanni Biscuolo -
graffio -
M. Fioretti -
Marco Ciurcina