App mobile: perché parlare di privacy e come adeguarsi?

App mobile: perché parlare di privacy e come adeguarsi?

Pubblicato da Roberta Rapicavoli il 12/10/2016 in Thinking

Il mercato delle app mobile è in continua crescita e offre sicuramente delle importanti opportunità di business per chi vuole offrire servizi di vario genere tramite tali strumenti.

Su App Store il numero di app disponibili ha superato a giugno i 2 milioni, mentre a settembre 2016 sul Play Store sono presenti oltre 2,3 milioni di applicazioni.
Anche il numero di download continua a crescere: nel 2016 gli utenti hanno scaricato oltre 224 milioni di app e si prevede per il 2017 un ulteriore incremento.

statista -number-of-mobile-app-downloads-2009-2017

 

Quando si decide di sviluppare un’app si deve sicuramente pensare agli aspetti tecnici – relativi alla concreta realizzazione dell’applicazione – ed organizzativi – legati alla sua gestione e promozione – ma deve attribuirsi altrettanto rilievo anche agli aspetti legali –  relativi alla conformità dell’app alla normativa vigente e alla corretta regolamentazione dei rapporti con chi sviluppa l’applicazione e con l’utente che la utilizza.

Tra i profili normativi da considerare, già nella fase di progettazione e sviluppo dell’app, vi sono quelli relativi alla protezione dei dati personali, il cui trattamento è ammesso nel rispetto di quanto prescritto dal D. Lgs. 196/2003 (“Codice Privacy”) – che continua a essere la normativa di riferimento, nonostante l’entrata in vigore, nel mese di maggio del 2016, del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 679/2016), che si applicherà però dal 25 maggio 2018.

Perché occorre considerare la normativa in materia di privacy in relazione alle app?

La disciplina in materia di privacy trova applicazione nel caso di trattamento di dati personali, ossia di quei dati che identificano o consentono di identificare una persona fisica.

Attraverso l’installazione e l’utilizzo di un’app mobile possono essere trattati molteplici dati personali conferiti dall’utente – si pensi alla fase di registrazione e al conferimento di dati identificativi, quali:

  • nome;
  • cognome;
  • età;
  • e-mail o numero di telefono.

Ma si pensi anche alle numerose informazioni di carattere personale archiviate sul dispositivo mobile cui l’applicazione accede quando l’utente installa o utilizza l’app – così, ad esempio, per i dati della rubrica o le immagini presenti sul dispositivo.

Per tale motivo, quando si sviluppa un’app mobile non si può prescindere dal considerare i principi e gli obblighi prescritti dalla normativa in materia di protezione dei dati personali, il cui rispetto è necessario per evitare di incorrere in sue violazioni e conseguenti sanzioni e responsabilità.

Quante delle applicazioni presenti sugli app store sono conformi alla normativa privacy?

Nonostante vi sia una maggiore consapevolezza da parte di sviluppatori e di coloro che mettono a disposizione degli utenti app mobile, sono ancora molteplici le applicazioni non conformi alla normativa privacy.

Tali indicazioni trovano conferma nei risultati relativi ai Privacy Sweep Day degli ultimi anni – iniziativa promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi – in occasione dei quali il Garante Privacy italiano ha esaminato, nel 2014, le app del settore medico o del wellness e, nel 2015, le app e i siti dedicati ai minori, individuando gravi profili di rischio per la privacy a fronte delle numerose violazioni riscontrate.

Violazioni che – si segnala per completezza – comportano sanzioni amministrative e/o responsabilità penali, per cui, chi intende sviluppare un’applicazione deve prestare attenzione a rispettare quanto prescritto dalla normativa privacy, al fine di evitare di incorrere nelle conseguenze legate alla sua violazione.

Quali in concreto gli aspetti da considerare perché l’app e il relativo trattamento di dati sia conforme alla normativa privacy?

Per essere sicuri che la propria app sia conforme alla normativa vigente in fatto di privacy e trattamento dei dati ci sono alcuni aspetti che dovrebbero essere tenuti in considerazione, e cioè:

  • Esaminare se occorra trattare informazioni personali e verificare quali siano i dati realmente necessari;
  • Predisporre un’informativa chiara e completa per l’utente;
  • Verificare se i trattamenti da effettuare richiedano specifico consenso dell’utente;
  • Accertare se il trattamento che si intende effettuare possa presentare dei rischi per cui richiedere la verifica preliminare;
  • Verificare se sia necessaria la notificazione al Garante Privacy;
  • Adottare le misure per garantire la sicurezza dei dati trattati attraverso l’app.

1. Esaminare se le funzionalità offerte dall’app e le finalità perseguite rendano necessario un trattamento di dati personali e verificare quali siano in concreto i dati effettivamente necessari

In base ai principi di necessità e proporzionalità previsti dal codice privacy, occorre ridurre al minimo il trattamento dei dati e gestire le sole informazioni personali che siano effettivamente necessarie per le finalità perseguite.

In concreto allora, nel decidere se e quali dati acquisire attraverso l’app, occorre considerare le finalità per cui gli stessi andrebbero gestiti, prestando attenzione a non richiedere o accedere a informazioni eccedenti rispetto agli scopi perseguiti e dichiarati.

Così, nel caso di un’app che si limiti a fornire agli utenti i volantini delle offerte dei supermercati di una certa città, potrebbe non essere necessario richiedere dati dell’utente, né accedere alle informazioni del dispositivo, a meno che l’app non offra ulteriori funzionalità e non vi siano specifiche finalità che ne richiedano la conoscenza (si pensi, ad esempio, all’ipotesi in cui si volessero far visualizzare le offerte disponibili negli esercizi presenti nella zona in cui l’utente sia localizzato – con conseguente necessità di accedere ai dati di localizzazione quando l’app è in uso – oppure all’eventualità in cui si volessero utilizzare i dati dell’utente per finalità di marketing).

Occorre quindi valutare, caso per caso, se e quali dati dover trattare e sviluppare l’app in modo che il trattamento sia limitato ai casi in cui si renda necessario e ai soli dati che occorre conoscere e trattare per le finalità perseguite.

2. Predisporre apposita informativa con cui indicare all’utente quali siano i dati trattati attraverso l’app e quali le caratteristiche del trattamento

In base all’obbligo informativo previsto dal codice privacy, il titolare (cioè chi decide in ordine al trattamento dei dati e alla loro gestione) è tenuto a fornire all’interessato una serie di informazioni.

In concreto, l’utente che scarica e utilizza l’app deve sapere:

  • chi è il titolare del trattamento;
  • quali gli eventuali ulteriori soggetti che possono conoscere i dati acquisiti (in qualità di responsabili o incaricati);
  • le modalità con cui le informazioni vengono gestite (se, ad esempio, si utilizzano sistemi in cloud per la loro archiviazione, se è previsto il trasferimento di dati in Paesi extra UE, per quanto tempo i dati saranno conservati …);
  • quali siano le finalità per cui i dati vengono raccolti (se, oltre ai fini legati al corretto funzionamento dell’app e fruizione dei servizi resi, i dati saranno trattati, ad esempio, per fini di marketing e/o di profilazione);
  • se le informazioni possono essere comunicate all’esterno (ad esempio a partner commerciali o società e consulenti esterni di cui il titolare si avvale per attività di marketing o per la gestione del post vendita…);
  • se possono essere diffuse (attraverso la loro pubblicazione all’interno dell’app o su pagine web esterne);
  • se il conferimento dei dati sia obbligatorio o facoltativo e quali siano i diritti previsti dall’art. 7 del codice privacy.

Si tratta delle informazioni – espressamente previste dall’art. 13 del codice privacy – che devono essere fornite prima che abbia inizio il trattamento e che occorre dunque gestire in fase di installazione dell’app o comunque prima del momento in cui concretamente si acquisiscono i dati dell’utente.

Il riferimento è sia ai dati conferiti direttamente dall’utente – si pensi alla registrazione tramite un form o all’identificazione tramite social login – sia alle informazioni registrate sul dispositivo a cui l’applicazione accede – si pensi ai dati presenti in rubrica o alle immagini.

most sensitive information app norton

Fonte: Norton Mobile Apps Survey Report

Il Gruppo di lavoro per la tutela dei dati ex art. 29, nel parere 02/2013 sulle applicazioni per dispositivi intelligenti, rileva che possono essere adottate numerose strategie per fornire in modo chiaro agli utenti le informazioni richieste, nonostante il limite legato allo schermo ridotto del dispositivo.

Così, ad esempio, viene suggerito il ricorso ad avvertenze multistrato (ossia alla gestione dell’informativa su più livelli, per cui l’utente riceverebbe una prima indicazione contenente le informazioni minime, potendo poi accedere alle ulteriori informazioni, tramite collegamenti alla policy sulla privacy nella sua versione integrale), associato all’utilizzo di icone, immagini o notifiche contestuali all’avvio del trattamento.

Come detto, l’obbligo informativo deve essere soddisfatto prima che il trattamento abbia inizio, però occorre ricordare che le informazioni sul trattamento dei dati devono essere accessibili anche dall’interno dell’app (e quindi si deve sempre rendere disponibile all’utente un link all’informativa privacy).

3. Verificare se i trattamenti da effettuare richiedano specifico consenso dell’utente oppure se lo stesso non si renda necessario in presenza di qualche ipotesi di eccezione espressamente prevista dal codice privacy

In generale i dati personali raccolti tramite l’app mobile possono essere trattati solo se è stato acquisito specifico consenso espresso dell’utente.

Consenso che l’utente deve essere libero di esprimere per le singole finalità e per i singoli trattamenti per cui sia richiesto.

In concreto cioè, se il proprietario dell’app vuole utilizzare i dati degli utenti per inviare comunicazioni promozionali – attraverso push notification o altro canale – dovrà richiedere il consenso dell’utente che dovrà essere libero di scegliere, senza che il suo eventuale rifiuto possa ostacolare la fruizione delle altre funzionalità offerte dall’app.

L’utente deve poi poter esprimere il consenso per le singole finalità e i singoli trattamenti che lo richiedano.
Per tale motivo, se, ad esempio, oltre a trattare i dati per l’invio di comunicazioni commerciali e promozionali, si volesse anche avere la possibilità di trasmetterli a partner commerciali per loro autonome attività di marketing oppure si volessero attivare strumenti automatizzati di profilazione con cui monitorare le operazioni dell’utente e analizzare le sue abitudini o scelte di consumo, si dovrebbero gestire, attraverso l’app, modalità che consentano all’utente di esprimere specifico e separato consenso informato per le singole finalità.

Ciò può avvenire prevedendo una schermata in cui l’utente possa indicare se autorizzare o meno i singoli trattamenti oppure attraverso finestre modali da attivare prima che l’app inizi ad acquisire determinati dati per avviare trattamenti per cui sia richiesto il consenso.

Il consenso non è però sempre necessario (si veda, sul punto, l’art. 24 del codice privacy e, nel caso di accesso alle informazioni archiviate sul dispositivo, l’art. 122 comma 1 del codice).
Così – limitandoci all’esame dei casi di maggior rilievo in ordine ai trattamenti relativi alle app mobile – non è necessario acquisire preventivo consenso dell’interessato se i dati sono trattati per obblighi di legge o per eseguire obblighi derivanti dal rapporto contrattuale o dar corso ad esplicite richieste dell’interessato.
E, con riferimento all’archiviazione o all’accesso alle informazioni già archiviate sul terminale dell’utente, non è richiesto il consenso se le operazioni avvengono solo per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria a erogare il servizio esplicitamente richiesto dall’utente – è il caso di cookie tecnici o sistemi analoghi che possono essere gestiti attraverso le app mobile.

4. Accertare se il trattamento che si intende effettuare possa presentare dei rischi, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, e richiedere, se così fosse, la verifica preliminare al Garante privacy

La verifica preliminare deve essere richiesta, in base all’art. 17 del codice privacy, nel caso di trattamento di dati che possono presentare rischi specifici per i diritti e le libertà degli interessati, secondo valutazione rimessa al Garante privacy.

Con riferimento all’ambito delle app, i trattamenti che possono presentare rischi – e per cui sono state presentate, infatti, alcune istanze di verifica preliminare – sono, ad esempio, quelli aventi ad oggetto dati di localizzazione.
Così, una nota società di telecomunicazioni ha richiesto verifica preliminare al Garante privacy per il trattamento di dati personali dei dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per ottimizzare l’impiego delle risorse presenti sul territorio e migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici da parte del personale (cfr. Provv. Garante Privacy n. 448 del 9 ottobre 2014).

E, ancora, recentemente una compagnia assicurativa ha presentato una richiesta di verifica preliminare per il trattamento di dati, effettuato tramite apposita funzionalità di un’app, finalizzato a monitorare lo stile di guida dell’utente registrato, che potrebbe verificare le informazioni acquisite e ottenere alcuni benefici in base al punteggio ottenuto. (cfr. Provv. Garante Privacy n. 202 del 16 maggio 2016).

5. Verificare se il trattamento che si intende effettuare rientri in una delle ipotesi in cui si rende necessaria la notificazione al Garante Privacy

L’art. 37 del codice privacy individua espressamente i trattamenti che devono essere oggetto di notificazione.
Tra essi rientrano – volendo richiamare quelli più comuni relativi all’ambito delle app mobile:

  • il trattamento di dati che indicano la posizione geografica di persone o oggetti mediante una rete di comunicazione elettronica, se la localizzazione permette di individuare in maniera continuativa – anche con eventuali intervalli di tempo – l’ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti (si veda sul punto art. 37 lett. a) e Provv. Garante Privacy del 23 aprile 2004).
  • il trattamento di dati, effettuato con l’ausilio di strumenti elettronici, volti a definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo o a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi agli utenti (si veda sul punto art. 37 lett d) e Provv. Garante privacy del 23 aprile 2004).

Se il titolare del trattamento intende svolgere, attraverso l’app, uno dei trattamenti indicato nell’art. 37 del codice dovrà pertanto effettuare la notifica al Garante telematicamente, utilizzando il modello e la procedura predisposti dall’Autorità.

6. Adottare le misure per garantire la sicurezza dei dati trattati attraverso l’app

Occorre adottare specifiche misure tese a garantire la sicurezza dei dati e ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Il riferimento è alle misure di sicurezza minime, individuate espressamente nell’art. 34 del codice privacy e precisamente:

  • autenticazione informatica;
  • procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

A tali misure minime, la cui adozione è obbligatoria, si aggiungono poi le misure idonee, la cui adozione è rimessa invece alla valutazione del titolare.

Come evidenziato nel citato parere del 2013 dei Garanti europei, per adempiere agli obblighi di sicurezza – che incombono non solo sul proprietario dell’applicazione, ma anche sullo sviluppatore, sugli app store e sui produttori di sistemi operativi – occorre tener conto dei principi di privacy by design e by default (individuati oggi espressamente nell’art. 25 del nuovo Regolamento europeo in materia di protezione dei dati personali), per cui si rende sempre necessario valutare e osservare i principi di protezione dei dati fin dalla fase di progettazione e di sviluppo ed attuare, per impostazione predefinita, le misure necessarie per garantire il loro rispetto.

Chi è tenuto concretamente ad esaminare i profili indicati ed attivare gli accorgimenti e le misure richieste dalla legge sulla privacy?

Chi decide di immettere un’app mobile sul mercato, in quanto proprietario dell’applicazione e titolare del trattamento dei dati acquisiti attraverso la stessa, è tenuto ad osservare quanto prescritto dalla normativa in materia di privacy.

Ma ci sono anche ulteriori soggetti che operano nello scenario dello sviluppo e della distribuzione delle app mobile ed assumono rilievo in ordine al trattamento dei dati personali.

Tra questi vanno certamente richiamati gli sviluppatori, che creano e lanciano l’app mobile su specifico incarico del committente.

In primo luogo, lo sviluppatore assume un ruolo di rilievo in ordine alle misure di sicurezza.
Come detto, infatti, già in fase di progettazione e sviluppo occorre adottare tutte le misure necessarie a ridurre rischi per i dati personali trattati attraverso l’app e lo sviluppatore, di cui il titolare si avvale per l’adozione delle misure di sicurezza minime, in base a quanto previsto dal punto 25 dell’allegato B al codice, deve rilasciare al committente una descrizione scritta dell’intervento effettuato che ne attesti la conformità al codice privacy e alle disposizioni del disciplinare tecnico in materia di misure minime di sicurezza.

Lo sviluppatore assume però un ruolo di rilievo anche per le operazioni di trattamento che potrebbe effettuare per proprie finalità – come autonomo titolare del trattamento – oppure per conto e nell’interesse del committente – per cui andrebbe designato, ex art. 29 del codice privacy, quale responsabile privacy del trattamento dei dati conosciuti nell’ambito dello svolgimento delle attività delegate (si pensi, ad esempio, alle attività di assistenza tecnica o archiviazione dei dati nel caso svolte).

 

Il Mobile è diventato il collegamento tra mondo fisico e digitale e continua ad assumere maggiore rilievo giorno dopo giorno. Al crescere del mobile e delle app aumenta anche la mole di dati personali degli utenti a disposizione di sviluppatori ed aziende.

L’acquisizione e l’utilizzo di tali informazioni, però, deve avvenire secondo le regole previste dalla disciplina privacy, non solo per evitare il rischio delle sanzioni cui si potrebbe incorrere nel caso di sua violazione, ma anche per rafforzare la fiducia degli utenti, sempre più attenti ai profili legati alla sicurezza e alla corretta gestione dei loro dati.

Avv. Roberta Rapicavoli


Roberta Rapicavoli

Avvocato. Mi occupo di consulenza su questioni attinenti al settore della privacy, del diritto di internet e delle nuove tecnologie.


Non perderti i prossimi post! Ricevili via mail per leggerli quando vuoi.

Dai un'occhiata all'archivio


I dati saranno trattati per consentire l’inserimento e la pubblicazione dei commenti. Prima di lasciare il tuo commento, leggi l’informativa privacy.

ARTICOLI CORRELATI

di Laura Spadoni

La formazione dei cronisti sportivi del futuro, diventa un’app grazie al supporto tecnologico di IQUII al progetto Cronista Digitale di Massimo Caputi

Cronista Digitale, l’app per formare i telecronisti e i radiocronisti del futuro è un progetto di Smart Learning sviluppato da IQUII per Massimo Caputi, giornalista sportivo e capo redazione sport de Il Messaggero. Cronista Digitale è una mobile App per iOs e Android che declina al meglio il know-how di Massimo Caputi attraverso un processo […]

in: Comunicati Stampa , Default , Thinking

di Laura Spadoni

IQUII e Fondazione Cortina 2021 ancora insieme per lo sviluppo della strategia di coinvolgimento fan in vista dei Campionati del mondo di sci alpino

La crisi causata dall’emergenza Coronavirus ha messo in standby il mondo dello sport e non solo, ma Fondazione Cortina 2021 non si è fermata e con IQUII, Official Digital Provider, continua a lavorare per avvicinare gli appassionati al sogno dei Mondiali di sci alpino a Cortina, annunciando l’uscita della nuova piattaforma mobile per regalare un’esperienza […]

in: Comunicati Stampa , Thinking

METTI IN ATTO LA TUA TRASFORMAZIONE DIGITALE

Inviaci un messaggio e ti ricontatteremo presto!

I dati sono trattati solo per dare riscontro alla richiesta. Leggi l'informativa privacy prima di inviare la tua richiesta

IQUII S.r.l.Part of Be Group

Sede Legale: Viale dell'Esperanto 71 – 00144 Roma

P.iva 11289201003 - Cap.Soc. 10.000 €
Reg. Imprese di Roma REA n.1293642

Email. info@iquii.com
Tel. +39 06 72.15.125

Sede Operativa Roma
Via Vincenzo Lamaro 13/15 Ed.U, 00173

Sede Operativa Milano
Piazza Affari 3 (Primo Piano), 20123

NEWSLETTER

Ricevi una volta al mese il nostro #ForwardThinking / Dai un'occhiata all'archivio