Con un comunicato dello scorso 27 febbraio, l’Autorità Garante per la Protezione dei Dati Personali (il “Garante”) ha reso noto l’avvio di un’ indagine nei confronti della società Whatsapp Inc. (“Whatsapp”) relativamente all’omonima applicazione che consente di scambiare istantaneamente messaggi e immagini tra gli iscritti (la “Applicazione”). In particolare, sulla scorta delle investigazioni intraprese dalle Autorità per la privacy canadesi e olandesi, il Garante intende ottenere maggiori informazioni sul trattamento dei dati personali degli utenti italiani effettuato dalla società californiana.

Il rischio per la privacy considerato insito nell’Applicazione deriverebbe dal fatto che gli utenti, iscrivendosi al popolare servizio di instant messaging, permettono all’Applicazione di accedere a tutta la loro rubrica per segnalare se vi siano altri contatti che la utilizzano. In questo modo, tuttavia, vengono automaticamente immagazzinati da Whatsapp dati di soggetti terzi, per di più non tutti a loro volta utenti dell’Applicazione. (…)

Alla luce di ciò, il Garante ha scritto all’azienda d’oltreoceano chiedendo, in primis, di chiarire quali dati personali degli utenti vengono raccolti e usati, sia al momento dell’iscrizione, sia nel corso dell’erogazione dei servizi di messaggistica e condivisione file. Vengono inoltre richieste le modalità di conservazione e protezione adottate, nonché le misure di sicurezza utilizzate per impedire l’accesso a soggetti terzi non autorizzati. In secondo luogo, il Garante intende verificare che lo scambio di informazioni tra gli utenti risulti in qualche modo protetto. Per questo si chiede conto a Whatsapp della predisposizione di meccanismi idonei a far fronte ai cosiddetti attacchi “man in the middle”, volti a intercettare e acquisire il contenuto dei dialoghi degli utenti. Whatsapp dovrà altresì comunicare al Garante i tempi di conservazione dei dati raccolti, oltre al numero degli account attualmente riferibili a utenti italiani.

Come è noto, non è la prima volta che il Garante dispone indagini nei confronti di società straniere, nonostante i dubbi sulla sua giurisdizione su tali società: l’impossibilità di applicare il diritto nazionale in materia, deriverebbe, per i sostenitori di questa tesi, dal fatto che Whatsapp non è stabilita “nel territorio dello Stato “ come prescritto dall’art. 5 comma 1 del Codice sulla Protezione dei Dati Personali (D. Lgs. 196/2003, “Codice Privacy”). Nonostante ciò, il Garante sembra ritenere che gli smartphones sui quali viene installata l’Applicazione costituiscano, a tutti gli effetti, “strumenti” del responsabile del trattamento collocati nel territorio dello Stato, ciò che consentirebbe l’applicazione del Codice Privacy in base all’ art. 5 comma 2 del Codice. Quest’ultimo prevede infatti che il Codice si applichi anche al “trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea”.