L’informativa
Le ricerche di settore hanno rilevato che gran parte delle applicazioni diffuse dagli app stores non sono conformi ai requisiti legali minimi richiesti per la tutela degli utenti.
Ventiquattro autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (o GPEN, rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi), hanno condotto un’indagine prendendo in esame siti e app in più settori analizzandone le privacy policy con l’obiettivo di verificare se per gli utenti risulti facile capire quali informazioni vengano raccolte e quali siano le modalità e le finalità per il loro trattamento.
La rete internazionale delle Autorità è giunta alle seguenti conclusioni:
- Le informative non sono facilmente fruibili, scritte in modo impreciso e non danno tutte le informazioni necessarie;
- Nella maggior parte delle informative manca l’indicazione dell’uso che verrà fatto sui dati, così come non viene indicato a chi potrebbero essere comunicati i dati raccolti;
- In molti casi non vi è indicazione di dove e come vengono conservati i dati e i relativi metodi di protezione; molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;
- Solo in poco più della metà delle informative viene spiegato all’utente a chi rivolgersi per esercitare i suoi diritti sui dati raccolti (diritto di accesso, diritto all’oblio, diritto alla portabilità del dato).
Prendendo in esame il settore bancario, l’Italia si posiziona in posizione migliore rispetto alla maggior parte del resto dei paesi europei: i siti web delle banche italiane offrono, in generale, informazioni più corrette ed adeguate ai propri utenti grazie ad informative e privacy policy ben scritte e facilmente fruibili.
Le linee giuda alla progettazione
Le Linee guida pubblicate dal GPEN pongono l’attenzione su alcuni importanti temi, in particolare:
- Valutare la tipologia di dati che l’applicazione tratterà, personali o meno, ed in che modo essi vengono trattati. (Privacy by design, art 25 del GDPR). Molti utenti hanno espresso dubbi e preoccupazione riguardo a come venivano trattati i propri dati in alcune applicazioni e ciò li portava a disinstallare l’applicazione e non installarne di simili;
- L’applicazione dovrebbe raccogliere e trattare esclusivamente idati strettamente necessari per eseguire le finalità previste. (Privacy by default, art 25 del GDPR);
- Gestire i rischi alla sicurezza e sulle misure da implementare durante le fasi di sviluppo e gestione dell’app (approccio “risk based”, art. 32 del GDPR);
- Valutare come un componente o servizio fornito da terze parti raccoglie e tratta i dati forniti, prima di integrare tale componente nell’applicazione. Occorre valutare se possono avvenire trasferimenti di dati verso server gestiti da terze parti, e se tali trasferimenti possono avvenire anche al di fuori dell’UE. Pensiamo ad un servizio messo a disposizione da terzi che permette all’applicazione di comunicare, per esempio, con i social network; in questi casi occorre valutare come questi servizi tratteranno i dati degli utenti e fare un’attenta valutazione a riguardo.
Perché questo tema merita tanta attenzione?
Le app sono uno strumento molto diffuso, chiunque possegga uno smartphone ha a che fare ogni giorno con app dalle funzionalità e finalità eterogenee.
Questi strumenti sono in grado, inoltre, di raccogliere una quantità di dati di gran lunga superiore rispetto ad un semplice browser: per esempio, possono avere accesso alla rubrica, alla galleria di immagini, alla posizione dell’utente tramite in GPS fino ad arrivare ai dati biometrici del proprietario dello smartphone (molte app utilizzano come credenziale di accesso le impronte digitali).
Inoltre, molte app comunicano fra loro scambiandosi dati (per esempio, eseguire l’accesso ad un’applicazione usando le credenziali di un social network) rendendoli disponibili a più soggetti.
Come richiedere il consenso?
Per permettere che una app sia scaricata sui dispositivi, è necessario richiedere un consenso libero, informato e specifico all’utente.
Consenso libero: durante l’installazione dell’applicazione deve esserci una chiara opzione di uscita che permetta di negare il consenso.
Consenso informato: la privacy policy deve contenere alcune informazioni essenziali, come l’identità del titolare del trattamento e i relativi contatti, l’indicazione delle categorie di dati personali che l’app raccoglierà, le finalità del trattamento, l’indicazione dei soggetti di terze parti che potrebbero avere accesso ai dati e le indicazioni per poter esercitare i diritti di accesso, d’oblio e di portabilità.
Altri elementi per rendere più efficace la privacy policy sono:
- Indicazione del periodo di conservazione dei dati;
- Indicazione delle misure di sicurezza adottate per la protezione dei dati dell’utente
- Alto livello di leggibilità: una buona privacy policy deve contenere tutte le informazioni necessarie ed essere scritta in maniera più semplice e chiara possibile.
