Iniziamo con la buona notizia: WhatsApp teoricamente non salva nessuna chat o immagine dei propri utenti sui suoi server. I messaggi, sempre teoricamente, sono anche crittografati, il che rappresenta un ulteriore punto a favore.

Ora la cattiva notizia! L’applicazione invia ogni singola voce della rubrica dei suoi utenti ai propri server, che naturalmente si trovano negli Stati Uniti, per sincronizzare i dati e controllare chi è già registrato, in modo da consentire agli utenti di connettersi tra loro con maggiore facilità. Questo significa che finiranno nelle mani di WhatsApp anche i dati provenienti da persone che non hanno mai voluto usare l’app.

In base al GDPR, questo non è generalmente più consentito. L’utente, in qualità di proprietario dello smartphone, dovrebbe chiedere l’autorizzazione a tutte le persone della sua rubrica prima che i loro dati vengano legalmente trasferiti ai server statunitensi.

Quindi è vietato l’uso di WhatsApp?

Secondo l’articolo 2, paragrafo 2c del GDPR, “il presente regolamento non si applica al trattamento dei dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico”.

Quindi, se usate l’app solo per scopi privati siete perfettamente in regola.

La questione sembra invece diversa per le aziende che utilizzano WhatsApp per comunicare con i clienti. In tal caso, a causa dei dati raccolti e memorizzati sui server statunitensi, il proprietario del telefono dovrebbe ottenere l’autorizzazione da tutta la sua rubrica.

Inoltre, dovrebbe esplicitare ai propri clienti (ma anche nel registro del trattamento dei dati previsto dal GDPR) che i loro dati finiscono su server al di fuori del Unione europea; ovvero dichiarare un livello di sicurezza dei dati dei pazienti trattati più basso, con un rischio più elevato di perdita e un uso non esattamente in linea con i principi del GDPR.

Cosa si può fare?

Un’azienda o uno studio professionale più o meno grande che vuole lavorare in sicurezza, ovvero azzerare rischi inutili (v. “privacy by design”, che è alla base del GDPR), dovrebbe smettere di utilizzare WhatsApp.

Il presente post è tratto da un articolo pubblicato sul website di Avira, uno degli antivirus più diffusi nel mondo.