Il lavoro a casa e l’istruzione, complice l’attuale emergenza coronavirus hanno portato a un boom della videoconferenza, con in primis Zoom ad averne beneficiato. Ma le preoccupazioni sulla privacy e sulla sicurezza sollevano importanti domande: Zoom è sicuro ed è conforme al GDPR?
I problemi di sicurezza ruotano attorno alla recente scoperta di diverse vulnerabilità. I problemi di privacy invece si concentrano sulla mancanza di trasparenza dell’utente o sul concentramento di dati conservati da Zoom e su chi altro ha accesso ad esso. Ci concentreremo sulle questioni di privacy in questo articolo.
I problemi di conservazione dei dati e di accesso di terze parti sono stati sollevati dalla recente scoperta che l’app Zoom iOS passava dati a Facebook anche se l’utente iOS non aveva un account Facebook sul proprio smartphone. Per di più l’informativa sulla privacy di Zoom non indicava che ciò stesse accadendo.
Due sono le preoccupazioni evidenti: la mancanza di trasparenza e la distribuzione di informazioni a terzi senza il consenso dell’utente. “Questa è una chiara violazione del GDPR, e con la mancanza di trasparenza, Zoom dimostra di avere molte funzionalità sconosciute al partecipante, che catturano dati e informazioni che poi vengono registrati e trasmessi a soggetti terzi.
Il GDPR sostiene che il consenso per la raccolta di dati personali deve essere dato liberamente e che se c’è uno squilibrio di potere tra le parti, lo stesso consenso non potrà essere libero e di conseguenza valido. C’è già un precedente per questo. Nel settembre 2019, una scuola in Svezia è stata multata di 20.000 euro circa per l’utilizzo della biometria facciale per tracciare 22 studenti. I genitori avevano dato il loro consenso, ma l’autorità di regolamentazione della protezione dei dati ha stabilito che “il consenso non era su base giuridica valida dato il chiaro squilibrio tra l’interessato (gli studenti) e il responsabile del trattamento (la scuola)”.
Esiste poi la possibilità che questo stesso argomento possa essere applicato anche in ambito lavorativo, sia per impiegati che per discenti. Qualsiasi invito a una teleconferenza da parte di datori di lavoro e docenti è effettivamente un’istruzione con uno squilibrio di potere e pertanto in violazione del GDPR. È possibile per cui che molte teleconferenze dovute al COVID-19 siano tenute in violazione delle regole di consenso del GDPR.
Il consenso valido in caso di videoconferenze diventa ancora più importante e dovrebbe essere di livello superiore poiché i dati raccolti e registrati sono dati biometrici in grado di identificare gli individui – e in alcuni casi includeranno i bambini.
Zoom sembra fare sforzi per risolvere i problemi che sono stati sollevati nelle ultime settimane. In un blog pubblicato mercoledì, si legge: “Stiamo esaminando ognuno di essi e li affrontiamo il più rapidamente possibile. Ci impegniamo ad imparare da loro e a fare meglio in futuro”. Un’affermazione immediatamente gradita è “non vendiamo i dati dei nostri utenti, non abbiamo mai venduto i dati degli utenti in passato e non abbiamo intenzione di vendere i dati degli utenti in futuro”.
Il blog spiega la pressione della società. Dove l’anno scorso il numero massimo di partecipanti alla videoconferenze giornaliere era di circa 10 milioni, ora è più di 200 milioni, tra queste 90.000 scuole in 20 paesi. Ma i problemi preesistono all’attuale impennata in uso e non sono stati creati dalla crescita d’uso.
Zoom spiega inoltre che la piattaforma è stata progettata per gli utenti aziendali e l’afflusso di lavoratori a domicilio e scolari è stato una sorpresa. Ma la necessità di privacy e sicurezza non fa distinzioni tra corporazioni, singoli lavoratori a casa e scolari, quindi nessuno di questi argomenti ha alcuna attinenza con le questioni attuali. Anzi, sollevano piuttosto un’altra domanda poiché indicano una mancanza di privacy in base alla progettazione o al valore predefinito, che è un requisito previsto dal GDPR.
Uno dei miglioramenti su cui Zoom sta lavorando è quello di migliorare la sua trasparenza e chiarezza. Ha ammesso, in un blog separato, che ciò che ha commercializzato come crittografia end-to-end dei suoi servizi non è tale.
La crittografia utilizzata significa che la comunicazione tra il server Zoom e il partecipante è crittografata e non suscettibile a un attacco man-in-the-middle. End to end significa che la comunicazione è crittografata per tutto il tempo ed è inaccessibile a chiunque, anche al venditore. Senza la crittografia end-to-end invece, un fornitore ha la capacità tecnica di intercettare/registrare la comunicazione. E ciò non significa che il venditore faccia questo; ma Zoom non specifica neanche che non lo faccia.
Ciò solleva un’ulteriore domanda: poiché Zoom afferma chiaramente che obbedisce alle leggi nazionali USA per l’accesso del governo ai contenuti ed è operativo a livello globale, il governo degli Stati Uniti, tramite il CLOUD Act , avrà accesso a dati stranieri. Vale la pena quindi porsi qualche dubbio, dal momento che oltre a informazioni gioviali o commerciali potenzialmente sensibili, i contenuti potrebbero anche includere dati confidenziali (un consiglio di ministri?).
Non a caso Il 27 marzo, il primo ministro britannico Boris Johnson twittò di aver “appena presieduto il primo gabinetto digitale”, poche ore prima. Lo screenshot che ha condiviso chiarisce che si è tenuto su Zoom e mostra anche il numero ID della riunione Zoom. La divulgazione del numero ID potrebbe sembrare non così rilevante perché l’incontro era terminato e non vi era alcuna possibilità di “zoombombing” da parte di terzi.
Tuttavia, non sappiamo se l’host (Boris Johnson o il Cabinet Office) abbia chiesto che una copia fosse conservata da Zoom per riferimento futuro o se Zoom ne conservasse una copia per impostazione predefinita. In entrambi i casi, le agenzie di intelligence statunitensi ora potrebbero richiedere l’accesso a tutto ciò che è stato detto durante l’incontro.
Insomma, sembrano esserci sufficienti problemi di privacy (passati e presenti) per chiedersi se Zoom sia adeguatamente conforme al GDPR (o all’implementazione del GDPR Europeo). La nostra domanda invece è: ci sentiamo così sicuri a parlare dei nostri fatti con amici, parenti e colleghi per “Interposte persone”?
