Videoconferenze e privacy. Il caso "Zoom"

17/04/2020 12:59


di Luca Iadecola – Avvocato del foro di Teramo, DPO, membro del comitato scientifico nazionale della Fondazione School University e Angelo Ruggiero, docente SSM, direttore scientifico del comitato scientifico nazionale della Fondazione School University


L'emergenza coronavirus ci ha costretto ad anticipare il futuro, obbligandoci a ripensare in fretta il nostro modo di lavorare e di intrattenere rapporti sociali. Ecco che in poche settimane è cresciuto esponenzialmente l'utilizzo delle piattaforme di videoconferenza. Dalla scuola, alle riunioni, ai webinar, persino la Giustizia italiana, finalmente, pare aver intrapreso la strada della dematerializzazione facendo a meno, quando possibile, della presenza fisica degli operatori del diritto in aula.


Alla luce di tutto ciò, lo smart working è divenuto pratica diffusissima, ed ha conosciuto in pochi giorni uno sviluppo molto rapido, pur essendo stato introdotto con la Legge n. 81/2017 era in sostanza sconosciuto agli Enti pubblici e alla maggior parte delle aziende italiane fino allo scorso mese di febbraio. Come ogni rivoluzione moderna che si rispetti, internet è stato strumento e palcoscenico del cambiamento. Google hangouts, skype, facetime, whatsapp e zoom sono le piattaforme più usate per rispondere a questo nuovo, crescente, bisogno.


Non tutti sanno, tuttavia, che queste piattaforme possono utilizzare per attività di profilazione, anche i dati audio e video di tutti i partecipanti alla conversazione, oltre ai files condivisi. In altre parole, le nostre conversazioni e lo scambio di files possono essere monitorate per carpire i nostri gusti e così fare profitto di queste preziose informazioni, profilandoci per offrirci servizi e pubblicità personalizzata.


A ciò abbiamo acconsentito in fase di iscrizione prestando il nostro consenso al trattamento dei dati, anche di quelli vocali (articolo 22 del Regolamento Europeo 679/2016 "gdpr"), così come specificato nelle informative per il trattamento dei dati (art.13 "gdpr"), ove viene chiaramente precisato che le piattaforme in questione potranno utilizzare tutte le informazioni che l'utente fornisce o crea durante l'utilizzo del servizio. Il riferimento è ai files audio ed alla documentazione eventualmente scambiata. Possono inoltre essere memorizzate anche la cronologia delle attività, i dati di geolocalizzazione dei vari dispositivi usati nonché i dati dei contatti.


Se poi, per iscriverci a queste piattaforme, abbiamo utilizzato l'account di un social network, abbiamo finito per autorizzare quest'ultimo ad incrociare i dati trattati con quelli della piattaforma di videoconferenza. Lo prevedono le informative privacy sia dei social network che delle varie piattaforme utilizzate.


I dati acquisiti, inoltre, possono essere ceduti a terze parti. Alcuni strumenti pubblicitari standard richiedono il consenso al trattamento dei dati personali, come Google Ads e Google Analytics.

Per questo, ad esempio, quando vengono installati i cookies sui nostri dispositivi, dobbiamo prestare il consenso. I dati possono essere condivisi con tutte le aziende che utilizzano i servizi delle piattaforme di videoconferenze online, che sono in grado di fornirci un servizio gratuito proprio grazie alle inserzioni pubblicitarie.


Se, quindi, l'aspetto della concessione dei nostri dati ai colossi del web spiega qual è la moneta con la quale ripaghiamo l'uso "gratuito" di questi servizi, per limitare il mercimonio dei nostri dati, l'unica arma (quella sì, gratuita) a nostra disposizione è la consapevolezza, a iniziare dagli accorgimenti da utilizzare sui propri devices per finire alla scelta delle piattaforme da usare per fare le videochiamate. In primo luogo sarà utile spendere del tempo per spulciare nelle impostazioni della privacy per minimizzare la raccolta dei dati. Occorrerà, ad esempio, acconsentire all'uso delle immagini salvate sul dispositivo o al collegamento con siti di terze parti solo se necessario e tenendo presente che è sempre possibile intervenire per revocare il consenso.


In secondo luogo è buona norma di sicurezza aggiornare il sistema operativo e l'antivirus del proprio dispositivo e utilizzare una VPN soprattutto se stiamo registrando una videoconferenza di lavoro. Evitiamo, infine, di utilizzare gli smart speaker o assicuriamoci che siano spenti (se necessario privandoli della corrente elettrica) se vogliamo essere sicuri che non si attivino per sbaglio, così come il Garante ha più volte ricordato (cfr. da ultimo scheda informativa marzo 2020 www.garanteprivacy.it/temi/assistenti-digitali ).

Attenzione anche alla scelta delle piattaforme su cui fare le videochiamate. Ciascuna ha le proprie politiche di gestione. Non tutte hanno dimostrato, nel tempo, di essere impenetrabili, com'è stato per la piattaforma Zoom. Numerose in questi giorni le notizie riguardanti problemi di gestione dei dati personali degli utenti, molti dei quali già risolti, dovute anche all'incremento esponenziale dei download che ha portato la piattaforma, nota al mercato americano, a essere conosciuta e apprezzata in tutto il mondo.


Il riferimento è a episodi di intromissione di persone non autorizzate durante i meeting, col conseguente pericolo di acquisizione di informazioni riservate, oltre che documenti privati condivisi durante la sessione. Il fenomeno, meglio noto come "Zoombombing" era causato dal fatto che sullo schermo di ogni partecipante compariva il numero ID del meeting. Era facile, condividendo una foto dello schermo, permettere a chiunque di collegarsi e disturbare la riunione. È notizia recentissima la risoluzione di questo problema attraverso la rimozione dell'ID pubblico e della password.


Lo stesso dicasi per l'aggiornamento della applicazione ios rilasciata per contrastare l'invio (non autorizzato) di informazioni (marca, modello, versione del sistema operativo del dispositivo in uso, data e ora, localizzazione, gestore telefonico adoperato) a Facebook anche con riguardo ad utenti non iscritti al popolare social network.


Qualche perplessità la desta ancora la politica di gestione delle videochiamate, che consente agli amministratori di vedere se i partecipanti hanno la finestra video Zoom attiva o meno per monitorare il loro livello di attenzione. L'ultima falla del sistema in ordine di tempo riguarda la facilità con la quale le registrazioni delle videochiamate possono essere facilmente trovate e visualizzate poiché i files hanno un nome facilmente riconoscibile e soprattutto, non sono criptati. Ciò vuol dire che se chi li salva sui server in cloud non adotta ulteriori garanzie di sicurezza, potrebbe finire per subire un data breach, ovvero una violazione di dati personali, essendo molto facile per chiunque trovarli: basta un motore di ricerca che indicizza anche i file sui server in cloud.


Ci si aspetta, quindi, che l'azienda americana corra in fretta ai ripari, così come ha fatto in passato, di fronte ai problemi già evidenziati dal governo americano. Pur senza dimenticare che la privacy a cui obbedisce Zoom, come da tradizione statunitense, è limitata al concetto di sicurezza, ma ha poco a che fare con la protezione dei dati personali come viene intesa in Europa, soprattutto grazie all'introduzione del "gdpr". Altro aspetto da tenere in considerazione quando si sceglie una piattaforma di videoconferenza.

Vetrina