Clubhouse: le falle sulla sicurezza e i dubbi sul trattamento dei dati

Il fenomeno Clubhouse si è fatto spazio nell’opinione pubblica in poco tempo. L’app lanciata da Alpha Exploration Co. e dai creatori Paul Davison e Rohan Seth ha fin da subito trovato spazio tra gli utenti (fino a questo momento un bacino d’utenza limitato) che hanno coltivato il terreno fertile per aprire stanze e comunicare. Ma i dubbi sulla privacy avanzano e uno studio porta alla luce le falle di un social in espansione: perplessità che il garante della privacy italiano aveva già esternato alcuni giorni fa.

In un dossier lo Stanford Internet Observatory ha evidenziato ed esaminato i dubbi sulla sicurezza nell’utilizzo della piattaforma, facendo scattare l’allarme per i garanti della privacy di diversi paesi. Il rischio richiama una forte attenzione poiché la maggior parte dei dati degli utenti gravita attorno ad “Agora” una società cinese con sede a Shangai ma anche nella Silicon Valley, filo che conduce ad un eventuale utilizzo dei dati nel caso in cui il governo cinese decidesse di accedervi. Stesso governo che la scorsa settimana è intervenuto bloccando l’applicazione dopo che alcuni utenti cinesi erano riusciti a creare una “room” sui diritti umani, discutendo apertamente dei “campi di rieducazione nello Xinjiang“, delle proteste di Piazza Tienanmen del 1989 e delle esperienze personali dopo esser stati interrogati dalla polizia.

POTREBBE INTERESSARTI ANCHE >>> Covid, disabili cognitivi discriminati nel Regno Unito: “Non rianimateli”

Le perplessità convergono anche su un altro elemento chiave: i dubbi sulla crittografia obsoleta dell’app e il trattamento dei dati provenienti dalle rubriche degli utenti, che l’app assumerebbe e tratterebbe senza alcun allineamento con la tutela della privacy.

La privacy a rischio

Lo studio portato avanti dallo Stanford Internet Observatory descrive come ” il numero id clubhouse univoco di un utente e l’ID chat room vengono trasmessi in testo in chiaro e Agora avrebbe probabilmente accesso all’audio degli utenti, fornendo potenzialmente accesso al governo cinese. In almeno un caso, SIO ha osservato che i metadati della stanza vengono inoltrati ai server che riteniamo ospitati nella  Repubblica cinese e l’audio ai server gestiti da entità cinesi e distribuiti in tutto il mondo tramite Anycast. È anche probabile che sia possibile collegare gli ID Clubhouse con i profili utente. Descritto in lessico quotidiano la Cina avrebbe accesso ai dati a discrezione di come e quando volesse utilizzarli, senza alcun ostacolo.

POTREBBE INTERESSARTI ANCHE >>>WTO: alla direzione l’economista nigeriana Ngozi Okonjo-Iweala

Dal rapporto si evince come SIO abbia comunicato altre falle a Clubhouse in forma privata, dichiarando di garantirne la pubblicazione non appena scadrà una scadenza già stabilita. Si legge che “Agora ha sede congiuntamente negli Stati Uniti e in Cina, è soggetta alla legge sulla sicurezza informatica della Repubblica Popolare Cinese (RPC). In un deposito alla Securities and Exchange Commission degli Stati Uniti, la società ha riconosciuto che sarebbe stata tenuta a “fornire assistenza e supporto in conformità con la legge [RPC]”. A detta del rapporto Agora potrebbe quindi comunicare e fornire dati sulle conversazioni al governo Cinese nel caso in qui dovesse essere rilevata come minaccia nazionale.

POTREBBE INTERESSARTI ANCHE >>> India: arrestata Disha Ravi del movimento Fridays for Future

La società cinese Agora ha affermato di non memorizzare i metadati o l’audio delle conversazioni a “eccezione dell’uso che ne fa per monitorare la qualità della rete”. Chiudendosi poi in un “no comment” sulle accuse dello Stanford Internet Observatory. Dall’altra parte Clubhouse ha dichiarato di prestare massima attenzione nel trattamento dei dati impegnandosi “profondamente nella protezione dei dati e della privacy degli utenti”.

Le perplessità del garante della privacy italiano

Il garante della privacy italiano aveva già mosso diversi passi verso il chiarimento sulle condizioni di tutela dei dati da parte di Clubhouse; aveva in primo luogo avviato una richiesta formale per comprendere come l’azienda proteggesse i dati dei propri utenti. Clubhouse era arrivata sui dispositivi europei senza una chiara struttura in materia di tutela della privacy attinenti in materia comunitaria. In tal senso il Gdpr, (General data protection regulation), il regolamento europeo sulla protezione dei dati personali, fornisce chiari dettagli sulla protezione e il trattamento dei dati ma Clubhouse ha citato al momento sulla propria informativa solo quelli statunitensi, molto più scarne rispetto a quelle della comunità europea. Automatica quindi l’esclusione da parte della società che ha lanciato l’app, dell’Art. 13 GDPR in materia di protezione dei dati interno al Regolamento UE 2016/679.

In secundis bolle anche la questione per il trasferimento dei dati verso gli Stati Uniti, pratica che Clubhouse permette di fare. Bisogna però precisare che gli accordi per l’interscambio di informazioni tra Ue e Usa sono regolate dal “Privacy Shield”, ad oggi invalidato dal Schrems II, la sentenza della corte dell’Ue. 

Altro nodo riguarda i limiti di età, misura che il garante per la privacy italiano vorrebbe implementare. Adesso i legali dell’app hanno 15 giorni di tempo per rispondere e per apportare chiarimenti al garante e agli utenti.