WhatsApp, popolare servizio di messaggistica multi piattaforma per smartphone, è stato accusato dalle autorità canadese e olandese di violare le normative sulla privacy vigenti nei rispettivi paesi. L’indagine condotta dall’Office of the Privacy Commissioner of Canada (OPC) e dalla Dutch Data Protection Authority ha evidenziato che WhatsApp permette agli utenti di usare l’applicazione solo se viene garantito l’accesso all’intera rubrica. Sui server dell’azienda vengono quindi conservate anche le informazioni personali degli utenti che non usano il software.
L’indagine avviata lo scorso anno ha portato già a risultati abbastanza soddisfacenti, ma non tutte le problematiche sono state risolte. A settembre 2012 WhatsApp ha introdotto la crittografia per prevenire eventuali intercettazioni delle comunicazioni, in particolare mediante reti WiFi non protette (in precedenza i messaggi venivano trasmessi in chiaro). Inoltre, è stato rafforzato il processo di autenticazione, utilizzando una chiave generata casualmente, invece dei numeri che identificano univocamente il dispositivo, ovvero MAC (Media Access Control) e IMEI (International Mobile Station Equipment Identity). Gli utenti sono quindi invitati a scaricare l’ultima versione dell’applicazione.
Le richieste avanzate dalle due authority non sono state però completamente soddisfatte. Per facilitare lo scambio di messaggi tra gli utenti dell’app, WhatsApp preleva i dati dalla rubrica e li inserisce nell’elenco dei contatti. Dopo aver concesso l’autorizzazione, tutti i numeri di telefono vengono inviati ai server di WhatsApp, inclusi i numeri delle persone che non usano il servizio. Questa pratica viola le leggi sulla privacy vigenti in Canada e Olanda, in base alle quali le informazioni possono essere conservate solo a scopo di identificazione. I dati dei non-utenti devono essere cancellati.
Solo WhatsApp per iOS 6 consente di scegliere manualmente i contatti da inviare ai server dell’azienda californiana. Non dovrebbe essere difficile aggiornare le versioni per le altre piattaforme, includendo questa opzione. Entrambe le autorità vigileranno sul rispetto delle normative sulla privacy. La Dutch Data Protection Authority potrà eventualmente imporre una multa. L’Office of the Privacy Commissioner of Canada, invece, non ha poteri sanzionatori.