Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

IL CRESCENTE UTILIZZO DELLE APP E I RISCHI PER LA PROTEZIONE DEI DATI PERSONALI

di Franco Cardin

[toggle Title=”Abstract”]Global Privacy Sweep 2014 – I risultati dell’indagine svolta da 26 Autorità per la privacy di tutto il mondo per verificare il rispetto della normativa sulla protezione dati da parte di applicazioni che utilizzano dati sanitari.[/toggle]

Negli ultimi cinque anni, il mercato internazionale ha registrato una sempre maggiore crescita delle vendite di dispositivi mobili intelligenti (smartphone e tablet) a scapito dei tradizionali personal computer (desktop e notebook)(1).
Questa evoluzione è stata accompagnata e, per certi versi, accelerata dal fenomeno della crescente e inarrestabile produzione  e utilizzazione di applicazioni per dispositivi mobili intelligenti, meglio note come App. Si tratta di applicazioni software che svolgono un’ampia gamma di funzioni che vanno dalla navigazione su internet, alla comunicazione, all’intrattenimento, al social networking, alle operazioni bancarie, ai servizi basati sulla localizzazione geografica fino ad arrivare al monitoraggio e al controllo delle condizioni di salute.
La diffusione di queste applicazioni ha generato particolare attenzione delle Autorità di tutela della privacy, dovuta al fatto che le stesse raccolgono sui dispositivi in cui sono installate una grande quantità di dati personali degli utilizzatori, senza che questi ne siano consapevoli o adeguatamente informati sulle effettive finalità perseguite.
Nel seguito si analizzano in modo sintetico i più significativi interventi effettuati negli ultimi due anni dalle Autorità di tutela della privacy di diversi Paesi allo scopo di delineare il quadro dei rischi per la protezione dei dati personali degli utilizzatori delle App e gli obblighi e le raccomandazioni a cui dovrebbero attenersi i progettisti delle App medesime ed i fornitori dei sistemi operativi e dei dispositivi.

 Il parere del Gruppo di lavoro articolo 29
In Europa, il primo ufficiale intervento delle Autorità preposte alla tutela della privacy dei cittadini, è rappresentato dal parere n. 2/2013 (WP 202) adottato il 27 febbraio 2013 dal “Gruppo di lavoro articolo 29”. Con questo importante documento, le competenti Autorità europee, dopo aver evidenziato le criticità che caratterizzano una parte rilevante delle applicazioni per dispositivi mobili intelligenti, quali smartphone e tablet, rispetto alla protezione dei dati personali dei loro utilizzatori, hanno ritenuto opportuno indicare – tenuto conto dei principi contenuti nella direttiva sulla protezione dei dati 95/46/CE e nella direttiva e-privacy 2002/58/CE – gli obblighi e le raccomandazioni che devono essere rispettate oltre che dagli sviluppatori di tali applicazioni, anche dai produttori e distributori dei sistemi operativi e dei dispositivi, nonché dagli altri eventuali soggetti terzi coinvolti nella raccolta e nel trattamento di dati personali.

Considerato che le applicazioni per dispositivi intelligenti sono in grado di raccogliere grandi quantità di dati dal dispositivo – quali ad esempio dati di localizzazione geografica, dati archiviati dall’utente e dati ottenuti da eventuali sensori collegati al dispositivo stesso –  nonché di elaborarli per fornire servizi innovativi, nel parere vengono in particolare  evidenziate le seguenti criticità rispetto alla protezione dei dati personali degli utilizzatori:

  • la gran parte delle applicazioni, non solo non informano adeguatamente i potenziali utenti rispetto al tipo di dati personali che potranno essere trattati, ma nemmeno indicano in modo dettagliato le specifiche finalità del loro trattamento;
  • la mancanza di una adeguata informativa comporta pertanto per l’utente la difficoltà di esprimere un consenso libero, consapevole e specifico per ognuna delle diverse finalità;
  • la elevata possibilità che si verifichino trattamenti da parte di soggetti non  autorizzati, dovuti alla carenza di idonee e preventive misure di sicurezza;
  • l’inosservanza del principio di necessità e di proporzionalità in quanto nella gran parte dei casi le applicazioni raccolgono dati eccedenti o non pertinenti rispetto alle loro funzionalità.

A fronte di questi rilevanti rischi per la protezione dei dati personali degli utenti, il Gruppo di lavoro, dopo aver rilevato che esiste una sovrapposizione di responsabilità tra i diversi soggetti coinvolti nella definizione delle funzionalità tecniche, nella progettazione e nella distribuzione delle applicazioni, ha ritenuto necessario individuare i seguenti obblighi ai quali i predetti soggetti, nel loro diverso ruolo di titolari o responsabili del trattamento, devono attenersi:

  • fornire una adeguata informativa, facilmente accessibile dall’utente prima dell’installazione dell’applicazione, contenente la loro identità e i relativi recapiti, le categorie di dati personali che verranno raccolti e trattati, le finalità perseguite, la descrizione specifica dei soggetti terzi a cui saranno eventualmente comunicati i dati (compresi i fornitori di servizi cloud), nonché i riferimenti per poter esercitare i propri diritti di accesso, rettifica, cancellazione e opposizione al trattamento;
  • chiedere il consenso dell’utente prima che l’App cominci a raccogliere dati sul dispositivo, avendo cura che lo stesso sia specifico e riferito a ciascun tipo di dati a cui la stessa avrà accesso;
  • rispettare i principi di necessità e di proporzionalità, limitandosi a raccogliere solamente i dati strettamente necessari per eseguire la funzionalità desiderata dall’utente;
  • adottare idonee e preventive misure di sicurezza che, tenuto conto della specifica natura dei dati personali raccolti, siano in grado di garantire un’adeguata protezione dei dati personali degli utenti sia nella fase di progettazione che in quella di utilizzo dell’applicazione, nel rispetto dei principi di “privacy by design” e “privacy by default”. Questo obbligo è accompagnato dalla raccomandazione di informare gli utenti nel caso di eventuali violazioni di dati personali (data breaches);
  • definire periodi di conservazione dei dati personali, compatibili con le finalità perseguite, con la raccomandazione di sviluppare strumenti che consentano agli utenti di poterli personalizzare sulla base delle loro specifiche esigenze;
  • prestare particolare attenzione al limite di età per le applicazioni destinate ai minori, astenendosi di trattare i loro dati personali per scopi di pubblicità comportamentale e di raccogliere, tramite gli stessi, dati relativi a loro parenti e/o amici.

 

… continua su EDICOLeA

Altri articoli di Franco Cardin

Translate »