Il 6 agosto 2023, Stack Diary ha pubblicato un articolo in cui si evidenziava che Zoom includeva nei suoi termini di servizio (ToS) clausole con implicazioni di vasta portata per la raccolta e l'utilizzo dei dati personali.
In particolare, alcune parti dei ToS di Zoomimplicavano l'utilizzo di informazioni personali per addestrare modelli di apprendimento automatico e di intelligenza artificiale (AI).
Non solo questo sembra violare diverse leggi dell'Unione Europea, ma si è anche diffuso rapidamente, scatenando un'enorme protesta da parte dell'opinione pubblica.
Zoom ha risposto con un post sul blog e ha modificato due volte i propri ToS, ma abbiamo ancora qualche domanda.
Approfondiamo la polemica su Zoom termini di servizio .
Perché Zoom termini di servizio è stato controverso?
Quando si crea un account Zoom , secondo il testo introduttivo dell'accordo sui termini di servizio , si accettano e si è legalmente vincolati da tutti i termini e le condizioni.
Si legge in grassetto:
"l'accettazione del presente Contratto crea un contratto legalmente vincolante tra l'utente e Zoom".
Ma il 6 agosto Stack Diary ha rivelato parti dei termini di Zoom, implicando l'utilizzo di dati personali in modi che potrebbero violare leggi come il Regolamento generale sulla protezione dei dati (GDPR).
Di seguito è riportata una schermata dei ToS Zoom così come apparivano il 6 agosto, recuperati da archive.org.
I colori evidenziati che ho aggiunto rappresentano diversi requisiti legali relativi al GDPR a cui farò riferimento nel corso di questo articolo:
- Blu: La definizione diZoomdi Dati sul contenuto del cliente e di Dati generati dal servizio.
- Verde: Base giuridica di Zoomutilizzata per giustificare il trattamento dei Dati sui contenuti dei clienti e dei Dati generati dal servizio.
- Giallo: Scopo diZoomper l'elaborazione dei dati sui contenuti dei clienti e dei dati generati dal servizio.
La sezione evidenziata in giallo della parte 10.4 di questi termini di servizio afferma che l'azienda può utilizzare le informazioni degli utenti per addestrare la propria IA e altri moduli di apprendimento automatico, come Zoom IQ.
Due paragrafi sopra, nella sezione verde del punto 10.2, Zoom ha dichiarato di avere il consenso come base legale per la raccolta dei tipi di dati specifici.
c'era solo un problema: Zoom non aveva mai ottenuto il consenso legale degli utenti, una violazione diretta dell'articolo 4 del GDPR.
Nella prossima sezione analizzeremo più in dettaglio come ciò abbia violato le leggi sulla privacy dell'UE.
ToS di ZoomPossibile violazione del GDPR
La versione iniziale dei ToS di Zoomdefiniva due tipi di dati:
- Contenuto del cliente (definito nella sezione 10.1)
- Dati generati dal servizio (definiti nella sezione 10.2)
Le definizioni esatte sono riportate nelle sezioni evidenziate in blu nella schermata che ho condiviso sopra.
Ma essenzialmente, i Contenuti dei clienti rappresentavano i dati dei clienti e degli utenti finali generati utilizzando la piattaforma di Zoomche si qualificano legalmente come informazioni personali.
Sono incluse informazioni come dati, contenuti, file, documenti e altri materiali che gli utenti possono caricare o fornire durante l'utilizzo dei servizi di Zoom.
Al contrario, i ToS definiscono i dati generati dal servizio come:
... qualsiasi dato telemetrico, dati sull'utilizzo del prodotto, dati diagnostici e contenuti o dati simili che Zoom raccoglie o genera in relazione all'utilizzo dei Servizi o del Software da parte dell'utente o dei suoi Utenti Finali".
Chiamati anche metadati, questo tipo di informazioni può includere i dati personali definiti dall'articolo 4 del GDPR, come sostenuto da recenti casi giudiziari, come quello di Digital Rights Ireland.
A seguito di queste definizioni, è stato stilato un elenco di scopi per i quali Zoom può utilizzare tali dati, tra cui "sviluppo di prodotti e servizi", "marketing" e, in particolare, "apprendimento automatico e intelligenza artificiale".
Tuttavia, secondo l'articolo 4 del GDPR, il consenso legale significa:
qualsiasi indicazionelibera, specifica, informata e inequivocabile della volontà dell'interessato con la quale egli, mediante una dichiarazione o un'azione affermativa chiara, esprime il proprio consenso al trattamento dei dati personali che lo riguardano".
I ToS di Zoomdel 6 agosto non hanno in alcun modo seguito adeguatamente questa definizione legale, ecco perché:
- La sezione 10.2 dei ToS contiene un elenco di scopi per i quali l'utente ha dato il proprio consenso, nel qual caso il consenso non può essere considerato "specifico".
- Zoom non ha mai chiesto all'utente di fornire il proprio consenso "affermativamente" attraverso un'azione (nel mondo della privacy dei dati, questo si chiama consenso opt-in).
- Infine, si può sostenere che in questo scenario il consenso non poteva essere "liberamente dato", in quanto l'utente che si rifiutava aveva solo un'alternativa: non utilizzare i servizi di Zoom(TechCrunch).
Esecuzione non necessaria di un contratto da parte di Zoom
Tecnicamente, l'esecuzione di un contratto è una base legittima specifica per il trattamento dei dati come definito dal GDPR.
Il GDPR consente a un responsabile del trattamento di trattare i dati personali in quanto "necessari all'esecuzione di un contratto".
Questo potrebbe valere per Zoom?
Per usare un secondo punto evidenziato dall'articolo di Stack Diary, la Sezione 10.4 di Zoomassicura una "licenza perpetua, mondiale, non esclusiva, esente da royalty, sub-licenziabile e trasferibile ..." su qualsiasi uso dei dati del Contenuto del cliente.
Zoom ha giustificato questa scelta come "necessaria per fornire i servizi", tra cui il supporto e il miglioramento dei servizi, il marketing, l'analisi, la garanzia di qualità, l'apprendimento automatico e l'intelligenza artificiale.
In altre parole, stanno elaborando i Contenuti del cliente per eseguire un contratto.
In questo caso, però, è molto probabile che le finalità elencate da Zoom non si qualifichino come necessarie: marketing, analisi, apprendimento automatico e intelligenza artificiale non sono essenziali per i servizi di comunicazione di Zoom.
Il ToS di Zoompotrebbe costituire una violazione della direttiva ePrivacy
Oltre a violare la definizione di consenso di cui all'articolo 4 GDPR, Zoom violerebbe anche un'altra legge dell'UE, la Direttiva ePrivacy.
In particolare, l'articolo 5 della direttiva ePrivacy vieta:
"l'ascolto, l'intercettazione, la memorizzazione o altri tipi di intercettazione o sorveglianza delle comunicazioni e dei relativi dati di traffico da parte di persone diverse dagli utenti, senza il consenso degli utenti interessati..."
La Direttiva ePrivacy utilizza la stessa definizione legale di consenso del GDPR e, come ho già spiegato, Zoom non ha soddisfatto adeguatamente le linee guida relative al consenso opt-in.
Come ha risposto Zoom ?
Dopo l'effetto valanga della stampa negativa, Zoom ha rapidamente aggiornato i termini di servizio entro 24 ore e ha pubblicato un post sul blog per rispondere alla controversia.
Tuttavia, le modifiche erano ancora inadeguate e hanno portato a un terzo aggiornamento che ci ha lasciato con diverse domande e preoccupazioni.
Nella prossima sezione, tratterò entrambe le versioni dei loro ToS e spiegherò perché sono ancora inquietanti.
Un primo tentativo di conformità non riuscito
Dopo le reazioni negative dei consumatori e della stampa, Zoom ha rapidamente aggiornato i suoi ToS il 7 agosto 2023.
Alla fine della sezione 10.4 è stata aggiunta una breve dichiarazione che specifica quanto segue:
"Nonostante quanto sopra, Zoom non utilizzerà contenuti audio, video o chat del cliente per addestrare i nostri modelli di intelligenza artificiale senza il consenso dell'utente".
Per i posteri, di seguito è riportato uno screenshot di questa versione di breve durata dei ToC Zoom , ancora una volta recuperato da archive.org.
Sebbene questo fosse destinato a chiarire la situazione, in realtà ha posto nuovi problemi.
In primo luogo, questa dichiarazione si applica solo ai Contenuti del Cliente.
Di conseguenza, la raccolta dei Dati generati dal servizio basata sulla definizione illegale di consenso di Zoomrimarrebbe non conforme alle leggi sulla privacy dell'UE.
In secondo luogo, questa affermazione implica che l'elaborazione dei Contenuti del cliente da parte di Zoomnon si baserà sulla base legittima del GDPR di "Esecuzione del contratto" (cosa impossibile per cominciare).
Invece, si basano esplicitamente sul consenso, che abbiamo già stabilito non essere valido.
Gli attuali termini di servizio di Zoome la questione dei metadati
La terza volta è quella buona, giusto? Beh, forse non tanto nel caso dei ToS Zoom .
L'11 agosto 2023, Zoom ha aggiornato nuovamente i suoi termini, facendo finalmente marcia indietro sull'Intelligenza Artificiale.
Di seguito è riportata una schermata della versione attuale della Sezione 10.
Vediamo rapidamente cosa è cambiato.
Innanzitutto, noterete che la sezione è complessivamente molto più breve. Non si parla più dell'utilizzo dei dati per l'apprendimento automatico e l'intelligenza artificiale, a parte il testo in grassetto della sezione 10.2 che recita:
Zoom non utilizza alcuno dei contenuti audio, video, chat, condivisione dello schermo, allegati o altre comunicazioni del cliente (come i risultati dei sondaggi, la lavagna e le reazioni). comunicazioni, come i Contenuti del cliente (come i risultati dei sondaggi, le lavagne e le reazioni) per addestrare i modelli di intelligenza artificiale Zoom o di terzi".
Abituatevi a questa frase, perché ora compare due volte nella loro Informativa sulla privacy, che regola anche il modo in cui accedono, elaborano e utilizzano le informazioni personali dei loro utenti.
Inoltre, Zoom ha eliminato la maggior parte del linguaggio relativo al consenso e ha imposto all'utente la responsabilità di informare i propri "Utenti finali" su qualsiasi legge applicabile che richieda di ottenere il consenso per l'uso da parte di terzi.
Sebbene questa possa essere considerata una soluzione soddisfacente per gli utenti di Zoom che non desiderano che i loro dati vengano utilizzati per la modellazione dell'intelligenza artificiale, rimane il problema dei dati generati dal servizio, o metadati.
I metadati possono essere dati personali nella misura in cui possono ricondurre a un individuo, e le condizioni attuali danno a Zoom ilcontrollo totale su di essi.
Poiché i metadati possono essere dati personali, questi termini non sono conformi alle leggi sulla privacy dell'UE, come il GDPR e la direttiva ePrivacy.
Come già osservato in precedenza, le entità ai sensi del GDPR devono elaborare questi metadati solo dopo aver ottenuto un consenso attivo e opt-in, non il consenso implicito che Zoom descrive nella sua politica aggiornata.
La prossima sezione è un approfondimento della mia collega ed esperta fellow privacy dei dati, Masha Komnenic, che ha altre informazioni sulla versione attuale dei termini di servizio di Zoom.
l'esame dell'utilizzo dei dati di Zoomper le funzioni IQ solleva preoccupazioni sulla privacy
La sezione 10.1 dei termini di servizio di Zoomdefinisce il "Contenuto del Cliente" come comprendente varie forme di dati e materiali generati o forniti dagli utenti in relazione ai loro servizi.
Tuttavia, un'analisi più approfondita delle loro pratiche di utilizzo dei dati per fornire le funzioni di Zoom IQ solleva diversi problemi di privacy che meritano attenzione.
Approfondiamo questi temi.
Potenziale violazione della privacy tramite metadati e dati personali
Sebbene Zoom specifichi di non utilizzare contenuti audio, video, chat o altri tipi di comunicazione per l'addestramento dei suoi modelli di intelligenza artificiale, l'enfasi posta dall'azienda sui "contenuti dei clienti" crea una scappatoia che potrebbe causare problemi di privacy.
Zoom sostiene che i suoi dati non rientrano tra i dati personali, il che potrebbe non essere valido.
Anche i metadati associati ai contenuti dei clienti possono contenere informazioni sensibili e personali, ed è preoccupante che Zoom non affronti esplicitamente questo potenziale di violazione della privacy.
Inoltre, la necessità di raccogliere tali dati per l'addestramento dei modelli di intelligenza artificiale, soprattutto quando i dati disponibili pubblicamente possono servire allo scopo, solleva validi interrogativi sulle loro pratiche di raccolta dei dati.
Modelli di intelligenza artificiale di terze parti e conservazione dei dati
Le funzioni di Zoom IQ utilizzano anche modelli AI di terze parti, il che aggiunge ulteriore complessità alla piattaforma.
Secondo i termini, le terze parti possono conservare temporaneamente i dati dei clienti per "motivi di fiducia e sicurezza" o per "motivi di conformità legale".
Ma questo potrebbe portare a potenziali problemi di sorveglianza, in particolare per quanto riguarda la raccolta di informazioni sulle conversazioni.
l'attuale clausola suggerisce che le terze parti possono condividere i dati con il governo degli Stati Uniti se necessario, creando una possibile via per l'intrusione nella privacy senza chiare limitazioni o misure di riparazione.
l'importanza di essere utenti vigili di Internet
In conclusione, sebbene Zoom affermi di non utilizzare direttamente i contenuti delle comunicazioni degli utenti per l'addestramento dei suoi modelli di intelligenza artificiale, le ambiguità dei suoi termini sollevano notevoli problemi di privacy.
l'ampia categorizzazione del "Contenuto del cliente" e la possibilità che i metadati contengano dati personali sottolineano la necessità di misure di protezione dei dati più rigorose e di una possibile ridefinizione dell'ambito del Contenuto del cliente.
Inoltre, il coinvolgimento di modelli di intelligenza artificiale di terze parti e la conservazione temporanea dei dati da parte di queste entità per vari scopi solleva validi interrogativi sulla sicurezza e sulla privacy delle interazioni degli utenti sulla piattaforma.
Come utenti, dobbiamo essere vigili sul modo in cui le nostre informazioni personali vengono trattate e spingere per una maggiore chiarezza e responsabilità nelle pratiche di trattamento dei dati.
Cosa possiamo imparare dalla controversia sui ToS Zoom
Zoom ha insegnato ai proprietari di aziende una cosa fondamentale, che qui a Termly cantiamo da anni: ai consumatori interessa ciò che fate con i loro dati personali.
Non potete ingannare i vostri utenti o aggiungere subdoli paragrafi alle vostre politiche legali nella speranza che ciò vi consenta di raccogliere ed elaborare i dati personali in modo da eludere le leggi sulla protezione dei dati.
I vostri clienti sono attenti; se li mettete in difficoltà come Zoom, le conseguenze sono terribili.
Come potete dimostrare di essere un'azienda attenta e rispettosa della privacy? Ecco alcuni suggerimenti:
- Pubblicate un'informativa sulla privacy che sia accurata, facile da capire e conforme alle leggi sulla privacy dei dati applicabili.
- Assicuratevi che anche i dettagli dei termini di servizio siano conformi alle leggi vigenti.
- Siate onesti su quali cookie internet utilizzate e su cosa fanno, e date ai vostri utenti la possibilità di scegliere.
- Rendete più semplice per i vostri consumatori la presentazione di richieste di intervento in merito ai loro diritti sulla privacy. Un modo per farlo è utilizzare il modulo DSAR.
- Ottenere il consenso esplicito degli utenti (e non inserire di nascosto un linguaggio di consenso implicito).
- Consentite ai vostri utenti di cambiare facilmente idea e di ritirare (o di optare nuovamente per) il consenso in qualsiasi momento.
- Disporre di sistemi di sicurezza per proteggere l'integrità e la riservatezza dei dati personali raccolti, elaborati e utilizzati.
Riassunto
Viviamo in un'epoca in cui uno scandalo sui termini di servizio può far crollare da un giorno all'altro la reputazione di un colosso delle videoconferenze come Zoom , un servizio che un tempo era il punto di riferimento per quasi tutti gli utenti online, a livello personale e professionale.
Una cosa è certa: le persone leggono le vostre politiche legali.
Il modo in cui presentate le informazioni e raccogliete, elaborate e utilizzate i dati personali è importante.
Tutti usiamo lo stesso Internet, quindi perché non farlo nel modo giusto? Come sempre, Termly è qui per aiutarvi.
