Il Codacons ha presentato un esposto al Garante della Privacy per denunciare la raccolta non autorizzata dei dati degli utenti attraverso la funzionalità di backup presente in WhatsApp. Secondo l’associazione, anche se l’impostazione “Backup su Google Drive” è disattivata, l’app per Android effettua ugualmente la copia dei file senza il consenso degli utenti.
Backup senza permesso degli utenti?
WhatsApp per Android consente di salvare messaggi e contenuti multimediali sia localmente sul dispositivo che su Google Drive, in modo da ripristinarli quando viene reinstallata l’app. Questi backup non sono protetti dalla crittografia end-to-end (ma lo saranno presto), quindi potrebbero essere intercettati. Il Codacons afferma che la procedura di copia viene avviata ugualmente anche se l’utente imposta su Mai l’opzione “Backup su Google Drive”.
Secondo l’associazione, il problema si ripresenta anche se l’app viene cancellata e reinstallata. Dopo aver effettuato alcune prove non abbiamo tuttavia riscontrato lo stesso inconveniente. Disattivando il backup su Google Drive, i dati vengono copiati solo localmente, quando si tocca il pulsante “Esegui backup”. In seguito alla richiesta di informazioni, WhatsApp ha risposto che “gli utenti possono eseguire ulteriori backup locali sul proprio dispositivo, ma non possono disattivare il backup standard“.
Il Codacons ritiene che non viene rispettata la volontà degli utenti di non salvare i dati, pertanto viene effettuato “un trattamento dati senza il consenso dell’interessato, per finalità non volute dall’utente ed oltre il tempo necessario rispetto alle finalità dello stesso“. Si tratterebbe quindi di un “rischio potenziale enorme per i consumatori, poiché i proprietari dello smartphone dove si attiva il backup obbligatorio dei dati sono esposti, contro la loro volontà, ad un possibile rischio di data breach“.
Il Codacons ha chiesto al Garante di avviare un procedimento per “inibire comportamenti lesivi dei diritti degli utenti e ordinare all’azienda di conformarsi alle disposizioni europee in tema di privacy“. WhatsApp deve soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del GDPR, altrimenti verrà avviata una class action per conto degli utenti italiani che hanno scaricato l’app sullo smartphone.