Partiamo dai fondamentali: ClubHouse è una nuova piattaforma social piuttosto particolare nella quale un sistema di stanze permette agli utenti di chiacchierare esclusivamente tramite messaggi vocali audio. Ha recentemente superato gli 8 milioni di download su iOS e l'effetto dirompente sembra destinato a durare ancora a lungo. Al punto che, nonostante sia pensata solo per iOS, l'app ha registrato un milione di download anche da parte di utenti Android, rimasti poi delusi dallo scoprire di aver scaricato un'appplicazione omonima ma completamente differente. La consacrazione della nuova piattaforma è arrivata con Elon Musk, che ha deciso di comparire in una delle stanze della piattafroma a Gennaio per presentare i suoi futuri progetti, ma anche coi i rumors che vedono Zuckerberg già impegnato a produrne una copia (per Android?)

I numeri sembrano bassi se confrontati alle cifre registrate da altri social, ma ClubHouse sta conquistando il suo spazio. Presenta però differenze con gli altri social, fondamentalmente due:

• la prima è che, appunto, è riservato ad iOS;
• la seconda è che per usare l'app non basta avere un iPhone e installare l'app. C'è infatti un ulteriore vincolo, ovvero quello di dover ricevere un invito da un utente già presente. Però tali inviti non sono illimitati: ogni utente può invitare, inizialmente, solo 2 utenti. Il numero di inviti a disposizione aumenta col tempo.

Alla luce di questi due vincoli, 8 milioni di download in due mesi è un vero record. Una meteora? Un boom favorito dalla pandemia o davvero la comunicazione si sta spostando sempre più verso l'audio contro le (talvotla odiate) chat di testo? Difficile dirlo: l'unica cosa certa è che ancora una volta privacy e sicurezza sono a rischio. Al punto che il nostro Garante per la protezione dei dati personali ha deciso di occuparsi della faccenda: ClubHouse infatti non rispetta nessuna normativa rispetto alla tutela dei dati degi utenti, non quella americana, non il GDPR ma solo la legge nazionale californiana in tema.

Gli elementi di criticità sono vari:

• non ci sono verifiche sull'età degli utenti. Sul tema ricordiamo che neppure TikTok lo prevedeva, ma giusto in questo periodo il social cinese è alle prese con la risoluzione del problema, su imposizione diretta del nostro Garante;
• le conersazioni audio che si svolgono nelle varie stanze vengono archiviate e conservate per un tempo che non specificato: la giustificazione è che tali archivi saranno utili in caso vengano commesse violazioni;
• il social non si assume alcuna responsabilità riguardo a come gli utenti utilizzano la piattaforma.

Il GDPR manca all'appello
Infine tocca registrare come, in tutta la documentazione privacy che ClubHouse mette a disposizione degli utenti, non sia mai citato e non si faccia mai riferimento al GDPR. L'unico riferimento, come detto poc'anzi, è alla legge californiana in materia, perchè in California ha sede la società che ha sviluppato l'app. L'app insomma non rispetta alcuna delle previsioni che il GDPR impone a difesa della privacy e della sicurezza dei dati personali dei cittadini europei.

Ad esempio è totalmente ignorati l'art 13 GDPR, dato che non sono riportate informazioni relative al trattamento dati, ma anche l'art 37. è apertamente violato, laddove non viene menzionato alcun responsabile della protezione dei dati (DPO). Nessuna misura di sicurezza idonea a utela degli utenti e dei dati è stata implementata: l'informativa è chiara e spiega che le misure rispondono a standard ed esigenze esclusivamente commerciali. Ugualmente non è prevista la raccolta di alcun consenso specifico per il trasferimento dei dati di cittadini europei verso paesi extra UE (intenendo gli USA in questio caso).

Inoltre non c'è alcuna disciplina nel trattamento di dati estremamente sensibili come quelli biometrici: questo social si basa e vive sulla voce dei suoi utenti, ma non è chiaro come questi dati siano utilizzati. Non è specificato neppure che fine facciano i contatti dell'utente al momento in cui viene concesso l'accesso alla rubrica. In generale non vengono indicate le basi giuridiche sulle quali poggia il trattamento dati e, anzi, sono apertamente violati principi quali minimizzazione e limitazione del trattamento, oltre che la liceità dello stesso perchè garantito
da un adeguato consenso.

E la cybersecurity?
Anche da questo punto di vista l'app sembra estremamente carente: è di qualche giorno fa la notizia che i ricercatori della Stanford Internet Observatory hanno individuato un grave bug che potrebbe consentire a chiunque di connettere l'ID di ClubHouse alle informazioni profilo dell'utente. ID utente e identificativo delle chatroom sono trasmessi in forma non criptata.

L'intervento del Garante
Il Garante, come per TikTok, è dovuto intervenire direttamente a riconferma di un ruolo di viglianza che ormai si fa sempre più centrale: Alpha Exploration, l'azienda che ha sviluppato la piattaforma, si è vista recapitare un lunghissimo elenco di spiegazioni e richieste per verificare la conformità con la normativa vigente in Europa. 15 i giorni che il Garante ha concesso per rispondere a tutti i questiti sottoposti.