Il terreno delle app mobile non è zona franca per la normativa in materia di privacy.
Attraverso l’installazione e l’utilizzo di un’app mobile sono infatti molteplici i dati personali conferiti dall’utente e numerosi i dati archiviati sul dispositivo cui l’applicazione accede.
Così, ad esempio, il gestore dell’app potrebbe acquisire:
- il nome, il cognome e l’indirizzo email conferiti in fase di registrazione tramite apposito form o attraverso social login
- i dati dei contatti della rubrica archiviati sul dispositivo
- i dati di localizzazione geografica
- ….
I dati personali possono certamente essere richiesti e trattati per finalità legate all’utilizzo dell’applicazione e dei servizi forniti e/o per ulteriori finalità espressamente specificate all’utente, purché ciò avvenga nel rispetto degli obblighi previsti dalla normativa privacy, e quindi, in primis, fornendo idonea informativa (contenente tutte le informazioni indicate all’art. 13 del codice privacy) e acquisendo il consenso espresso al trattamento (a meno che non ricorra una delle ipotesi di esenzione tassativamente previste all’art. 24 del codice privacy).
Ugualmente per l’utilizzo delle informazioni archiviate nel dispositivo, il cui accesso da parte dell’applicazione, ai sensi dell’art. 122 del codice privacy, è consentito unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso informato, salvo che l’accesso non sia finalizzato unicamente “ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.
Quante delle applicazioni presenti sugli app store rispettano tali obblighi?
I risultati dell’indagine “Privacy Sweep Day 2014” svolta dal Garante Privacy nel mese di maggio dello scorso anno sulle app mediche credo forniscano una chiara risposta.
Infatti, su un campione di oltre 1200 app, nel 59% dei casi è stato difficile reperire un’informativa privacy e appena il 15% è risultato dotato di un’informativa realmente chiara. Per quasi 1/3 delle app poi, sono risultati problematici i termini del consenso.
Tali numeri saranno cambiati nel corso dell’ultimo anno?
I risultati dell’ultima indagine svolta dal Garante Privacy nell’ambito del “Privacy Sweep 2015” su siti e app dedicati ai minori per verificare, appunto, la corretta osservanza degli obblighi in materia di privacy non sono particolarmente incoraggianti.
Nonostante vi sia una maggiore consapevolezza da parte di sviluppatori e di coloro che mettono a disposizione degli utenti le app mobile, sono ancora molteplici le applicazioni che non rispettano gli adempimenti descritti oppure che lo fanno in modo molto approssimativo, inserendo ad esempio un link di rinvio alla policy privacy presente sul sito web in cui manca ogni riferimento all’app o gestendo un unico consenso per molteplici finalità del trattamento.
Ovviamente gli adempimenti prescritti dalla normativa di settore non si esauriscono nell’adozione di idonea informativa e gestione di specifico consenso.
Così, nel caso di trattamento che riguarda dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, il Titolare è tenuto ad effettuare la notificazione al Garante Privacy quando la localizzazione permette di individuare in maniera continuativa – anche con eventuali intervalli – l’ubicazione sul territorio o in determinate aree geografiche (si veda sul punto art. 37 lett. A) del codice privacy e Provv. Garante privacy 23 Aprile 2004).
Ugualmente, la notificazione è richiesta nel caso di dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo (cfr. art. 37 lett. D) del codice privacy)
La finalità di profilazione per l’invio di pubblicità mirata potrebbe essere perseguita anche attraverso l’installazione di cookie sul dispositivo dell’utente, purché ovviamente ciò avvenga nel rispetto dell’art. 122 del codice privacy, in base al quale, “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente” è consentita unicamente “a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”.
Sul punto occorre infatti prestare attenzione a non circoscrivere la tematica dei cookie e, più in generale, dell’archiviazione delle informazioni sui terminali dell’utente, all’area dei siti web; sebbene infatti i commenti degli ultimi mesi si siano concentrati sulle modalità per gestire correttamente i cookie tramite i siti web, la normativa in materia di cookie trova applicazione anche per le app mobile, rispetto alle quali sarà pertanto necessario effettuare la nota distinzione tra cookie tecnici e profilanti propedeutica all’individuazione degli adempimenti necessari.
Infine, ma certamente non perché di minor rilievo, occorre prestare particolare attenzione al profilo della sicurezza.
L’applicazione deve infatti garantire idonei livelli di sicurezza tesi ad evitare perdite di dati o accessi non autorizzati.
Come rilevato dal Gruppo di lavoro per la tutela dei dati personali ex art. 29 nel parere 02/2013 sulle applicazioni per dispositivi intelligenti del 27 febbraio 2013, le misure devono essere adottate da tutti i diversi attori coinvolti nello sviluppo, nella distribuzione e nella gestione delle applicazioni, ciascuno secondo il proprio ruolo e responsabilità, tenendo conto dei principi di privacy by design e by default, che richiedono una valutazione costante dei rischi esistenti e futuri per la protezione dei dati, nonché l’attuazione e la valutazione, già nella fase di sviluppo dell’applicazione, di misure di attenuazione efficaci, tra cui la minimizzazione dei dati, e di strumenti che consentano all’utente di mantenere un effettivo controllo sui propri dati.