Riportiamo un articolo dell’Avv. Giacomo Maria Maccaferro come approfondimento su un tema quanto mai attuale.

PRIVACY E APPS: UNA CONVIVENZA POSSIBILE?

L’uso sempre più intenso delle apps sembra aver trasformato il nostro smartphone in un passepartout per estranei che riescono, con il nostro consenso più o meno consapevole, ad avere accesso immediato ai nostri dati personali custoditi, forse, non così gelosamente.

La platea sterminata di potenziali user, la potenzialità tecnica delle apps di aver accesso ai dati archiviati nei singoli dispositivi, la scarsa attenzione di alcuni sviluppatori al quadro giuridico di riferimento possono rappresentare un rischio per la protezione dei dati personali.

Di seguito vengono individuate tre good practices che se adottate dall’app developer (e dai protagonisti del “circuito” delle apps), da un lato, potrebbero agevolare la protezione dei dati personali dello user e, dall’altro lato, potrebbero rappresentare una corretta operazione di marketing per aumentare la fiducia del consumatore nei confronti di un prodotto o di una intera linea di prodotti.

Prima Good Practice.

Non cedere alla tentazione di archiviare dati che vanno oltre il limite delle finalità perseguite dalla app (art. 5 c. 1 lett. b) e c) RGPD).

Lo smart phone ha certamente creato la possibilità di connettersi, in modo comodo e veloce, ma allo stesso tempo ha consentito e consente una sorveglianza potenzialmente totalizzante degli individui con evidenti ripercussioni sotto il profilo della privacy e della protezione dei dati.

Raccogliere solo ed esclusivamente i dati necessari al perseguimento delle finalità che la app intende perseguire rappresenta il giusto punto di partenza e consentirà al Titolare del trattamento di far fronte in maniera esatta al principio dell’accountability (RGPD artt. 5 e 24).

A titolo di esempio, l’acquisizione dell’intera rubrica dei contatti dell’utente non è necessaria per una app che ha lo scopo di proporre degli esercizi di logica allo user.

La conservazione di dati non necessari al perseguimento delle finalità del trattamento espone il Titolare a responsabilità per illecito trattamento dei dati e alle conseguenti sanzioni.

Seconda Good practice.

Considerare la privacy dell’utente un valore da tutelare e non una risorsa da sfruttare.

Abbiamo imparato che le apps “non sempre” hanno come primo obiettivo la tutela della privacy degli utenti.

La scelta di fornire l’informativa al momento della raccolta dei dati e di inserire ulteriori avvisi al momento effettivo dell’uso che la app farà dei dati appare un modo per rendere lo user (più) consapevole sulle finalità del trattamento (il c.d. consenso granulare va proprio in questo senso e così l’art. 5 par. 3 direttiva e-privacy).

Lo user deve essere messo al corrente dell’uso che verrà fatto dei suoi dati nel momento in cui quell’uso diviene effettivo.

Una informativa data per “recepita” al momento dell’installazione della app può non essere sufficiente a renderlo effettivamente consapevole sulla sorte dei suoi dati.

Non si può negare che la difficoltà di rendere effettiva la consapevolezza dell’utente è rappresentata anche dal contesto in cui quell’informativa viene data.

Attirare l’attenzione dell’utente su una informativa completa ed esaustiva può essere complicato, specie se si tratta di una informativa pubblicata in un’area specifica di un sito internet. Tuttavia, la sfida può diventare ancora più impegnativa considerando che un appdeveloper ha a che fare con un piccolo schermo non progettato per la lettura di testi troppo lunghi o complessi e con l’attenzione discontinua dello user.

Un altro elemento da considerare è rappresentato dal fatto che le caratteristiche di design dello smartphone rendono complicato trasmettere allo user informazioni sensibili in merito a quelli che sono i suoi diritti (artt. 12 e 13 RGPD).

La sfida più impegnativa sembra rappresentata dalla necessità di spiegare quelli che sono i diritti dello user in una forma facilmente comprensibile e soprattutto nel momento giusto per consentirgli di compiere scelte informate e consapevoli (l’art. 12 c. 7 GRDP prevede che il quadro di insieme delle informazioni relative al trattamento debba essere facilmente visibile, intelleggibile e chiaramente leggibile).

Terza Good practice

Identificare all’interno dell’organizzazione un soggetto che sia responsabile della protezione dei dati personali e adottare una privacy policy in chiave di assoluta trasparenza.

Il principio di accountability troverà applicazione a prescindere dalle dimensioni del team di sviluppo della app. La redazione di una privacy policy aiuterà a mappare le procedure esistenti all’interno della società e le conseguenti responsabilità.

Nella fase di pianificazione dei vari step di sviluppo di una app sarà fondamentale descrivere in maniera puntuale le fasi di raccolta e di uso dei dati, illustrare la destinazione dei flussi e se i dati verranno comunicati o diffusi o messi a disposizione di terzi soggetti.

Sarà inoltre opportuno riportare queste fasi all’interno della privacy policy e procedere alla mappatura e conseguente valutazione delle stesse, alla luce dell’organizzazione interna del developer (art. 35 RGPD).

Porre in essere una privacy policy aiuterà a gestire potenziali rischi con tempistiche adeguate. E’ evidente che l’attività di valutazione dei rischi assume un ruolo fondamentale in un contesto, come quello delineato dal Regolamento, caratterizzato dal principio di responsabilizzazione del Titolare del Trattamento. Non a caso il WP 29 nelle proprie linee guida relative alla valutazione d’impatto sulla protezione dei dati ha caldeggiato l’adozione di procedure di valutazione di impatto a prescindere dal ricorrere dei presupposti previsti dall’art. 35 Regolamento.

Solo una efficace gestione dell’attività di risk assessment potrà consentire una piena valutazione del rischio privacy e l’adozione, in chiave preventiva e proattiva (privacy by design principles) degli adempimenti necessari a garantire la protezione dei dati trattati tramite la app.

Si pensi alla divulgazione non autorizzata di dati raccolti tramite app, un rischio che va preventivato e il cui impatto andrà valutato attraverso una analitica mappatura delle fasi del trattamento.

Dato il numero potenzialmente elevato di fruitori della app, la predisposizione di regole di gestione delle richieste di accesso e controllo dei propri dati da parte degli user aiuterà ad evadere le richieste di chiarimento o i reclami in maniera organizzata e puntuale. La mappatura di tale processo unitamente alla redazione di regole chiare per garantire la protezione dei dati personali costituirà uno strumento utile anche ai fini dell’evasione di richieste provenienti dall’autorità di controllo.

La valutazione di impatto sulla protezione dei dati in uno con il registro delle attività di trattamento (art. 30 RGPD) rappresenta una indispensabile cartina di tornasole dei trattamenti effettuati dal Titolare del Trattamento, delle finalità dallo stesso perseguite, delle misure di sicurezza poste in essere per garantire la protezione dei dati personali.

In conclusione.

Puntare sulla trasparenza delle finalità della app per agevolare una maggiore consapevolezza da parte dello user e renderlo in grado di esprimere un consenso libero, informato e specifico (anche al momento dell’uso dei suoi dati), appare la corretta modalità di gestione e minimizzazione del rischio di violazione dei dati personali.

 

Avv. Giacomo Maria Maccaferro

 

Per qualsiasi dubbi e/o chiarimento in materia di Qualità, Vi invitiamo a contattare il nostro Studio.