Clubhouse, social app degli audio (ad oggi scaricabile solo da Apple Store) ha superato i dieci milioni di download a livello globale, ma pone delle preoccupazioni per il suo sistema crittografico.

Chi utilizza i social, se non ha scaricato la app, di certo ne avrà, quantomeno, sentito parlare. Si tratta di una “drop-in audio chat” come si auto-definisce su Apple Store che ha conosciuto un successo molto rapido e l’elevato numero di download ha attirato le attenzioni anche dei ricercatori sulla privacy.

Il problema principale è che gli Id univoci degli utenti e delle chat room sono trasmessi in modalità non crittografata, rendendo dunque disponibile l’accesso ai metadati delle conversazioni ad Agora, la società che gestisce il backend. Un metadato è un’informazione che descrive un insieme di dati e la funzione principale di un sistema di metadati è quella di consentire la ricerca, la localizzazione, la selezione, la gestione di raccolte di documenti grazie all’intermediazione di banche dati e cataloghi.

Incrociando quei dati è quindi possibile risalire agli autori dei messaggi audio.

Inoltre, pone dei punti di domanda il fatto che proprio l’infrastruttura backend della piattaforma sia gestita da una società che ha base a Shanghai (Agora).

Se le autorità cinesi richiedessero l’accesso ai dati, motivandolo con un generico “ragioni di sicurezza”, Agora sarebbe legalmente tenuta a individuare e archiviare i messaggi per aiutare il governo cinese.

In una risposta al rapporto dell’Osservatorio di Stanford, Clubhouse ha riferito di essere profondamente impegnata nella protezione dei dati e della privacy degli utenti.

Un altro problema relativo a questa app, è che ad oggi manca ogni riferimento ai diritti dell’interessato ai sensi del GDPR, il Regolamento Europeo sulla protezione dei dati, che tutela i dati personali dei cittadini europei. Vi è poi un’altra criticità: manca la possibilità di poter fornire un consenso esplicito al trattamento dei dati: privacy e termini di servizio vengono accettati con un solo click, in evidente violazione del principio di specificità del consenso. Tradotto: o si accettano tutte le condizioni, o non è possibile iscriversi.

Tra l’altro, c’è un altro aspetto problematico in questa vicenda e che va messo sotto la giusta attenzione: il timbro e il tono della voce sono a tutti gli effetti dati biometrici, perché si riferiscono a una caratteristica fisica dell’individuo, in grado di individuare e identificare in modo quasi univoco un interessato.

Si tratta dunque di dati biometrici e, pertanto, in quanto dati particolari sono soggetti a maggiori tutele rispetto a quelle che valgono per i dati personali comuni.

Quando all’interno di una piattaforma social, o un’applicazione, manca la chiarezza sull’utilizzo dei nostri dati personali, nei timpani dell’utente consapevole dovrebbe suonare un campanello d’allarme. In una democrazia, la riservatezza è una caratteristica importante del principio di libertà di espressione e dare importanza ai propri dati è una forma di cura verso se stessi.