Dal Parere sulle App, al video del Garante italiano
Il 27 febbraio 2013 il “Gruppo dei Garanti” di cui all’articolo 29 della Direttiva n. 46 del 1995 adottava un parere, parere n. 2 del 2013, riguardante i rischi fondamentali per la protezione dei dati personali derivanti dall’utilizzo delle nuove applicazioni per i terminali mobili, meglio conosciute con il termine “App”, la cui attuale diffusione vanta numeri da capogiro: basti pensare che sono disponibili circa 1600 nuove App al giorno ed ogni utente ne ha perennemente attive circa 40. Attraverso il parere, l’Autorità ha reso estremamente visibile il pericolo che ogni utente corre ogni volta che scarica un’App sul proprio tablet o smartphone ovverosia il vedersi violati i propri dati personali. Oggetto della denuncia, quindi, è il fatto che ogni applicazione, seppure a prima vista semplice ed innocua, è in grado di accedere, molto spesso in maniera illecita, a numerosi dati personali conservati nella memoria dell’apparecchio (dalla rubrica alle fotografie, dagli SMS agli instant messaging, dagli elenchi di navigazione nei diversi motori di ricerca alle credenziali di autenticazione, fino ad arrivare anche ai diversi dati di geolocalizzazione).
Analizzando in maniera complessiva il parere, si può genericamente affermare che lo stesso non fa altro che riprendere i principi propri in materia di privacy (principio di finalità, di necessità, di liceità, di proporzionalità, etc.) che stanno alla base di ogni singolo trattamento di dati personali, in base alla legislazione UE (in particolare il parere riprende la Direttiva del 1995 n. 46 ovvero la Direttiva c.d. e-Privacy del 2002 revisionata da ultimo nel 2009) ed applicarli in maniera pedissequa al trattamento in analisi.
In realtà, invece il Gruppo 29 si sofferma su questioni estremamente delicate che necessitavano, già da tempo, di una normativizzazione. In particolare, dopo aver individuato quali tipologie di dati rientrano nella protezione, riprendendo a tal proposito il considerando n. 24 della direttiva e-Privacy di cui sopra, e quali sono i soggetti che sono tenuti a rispettare gli obblighi normativi, distinguendoli in 4 categorie: (i) gli sviluppatori di App (Compresi i proprietari di app), (ii) i produttori del sistema operativo e dispositivo; (iii) i distributori delle App (App Store) e, infine, (iv) i Terzi coinvolti nel trattamento, il Gruppo 29 si sofferma sulla necessità di acquisire il consenso dell’interessato, ma soprattutto sulla modalità e sul momento di acquisizione dello stesso.
Il parere riprende a tal proposito l’articolo 5 (3) della direttiva e-Privacy che richiede l’acquisizione del consenso al trattamento dell´utente, dopo che quest’ultimo sia stato informato in modo chiaro e completo, così come descritto negli articoli 10 e 11 della direttiva 46/95, e comunque prima dell´immissione e del recupero delle informazioni da parte del dispositivo stesso.
Quindi partendo con ordine, il Gruppo 29, considerando le risultanze dello studio Future of Privacy Forum del Giugno 2012 “FPF Mobile Apps Study”, secondo il quale il 56% delle applicazioni a pagamento e quasi il 30% delle applicazioni gratuite non hanno una politica sulla privacy, dispone che le informazioni sul trattamento dei dati personali devono essere rese disponibili agli utenti prima che questi istallino l’applicazione, e comunque devono risultare accessibili, in maniera semplice e diretta, anche dopo l´installazione. L’informativa deve essere, quindi, leggibile, comprensibile e facilmente accessibile.
Naturalmente, il Gruppo di lavoro ex art 29 si sofferma sulle limitazioni alla quantità di informazioni che può essere presentato su un piccolo schermo, raccomandandosi tuttavia come tale situazione non possa essere considerata una scusante per non informare adeguatamente gli utenti finali. Sotto tale aspetto il Gruppo riprende il suo parere del 2010 n. 200443 attraverso il quale rende evidente la possibilità di utilizzare diverse strategie per raggiungere, in maniera semplice, lo scopo di informare l’utente. In particolare, nel parere sopra ripreso, il Gruppo propone di utilizzare una informativa c.d. minima che contenga le informazioni essenziali richieste dalla legge, per poi dare la possibilità all’utente di accedere, mediante collegamento, all’informativa completa.
Il Gruppo specifica anche che tale approccio può essere combinato con l´uso di icone c.c.d.d. “user friendly” (già prospettate nell’ambito della Bozza di Nuovo Regolamento Europeo sulla Privacy), immagini, video e audio, e fare uso di contestuale notifica in tempo reale quando un’App accede alla rubrica o le foto. Queste icone devono essere semplici, vale a dire chiare, auto-esplicative e non ambigue.
Continuando con l’analisi del parere, il Gruppo, relativamente al momento in cui informare gli utenti, si sofferma sulla prassi di molte App Store di informare gli utenti finali, prima dell´installazione, sulle caratteristiche di base di un’App e sulle condizioni di uso della stessa. Il Gruppo evidenzia come l’applicazione venga scaricata solo dopo che l’utente clicchi su un pulsante “install”, richiedendo quindi un´azione positiva da parte dello stesso prima che possa scaricare ed istallare l´applicazione. L’Autorità ritiene che tale azione positiva possa ritenersi adeguata a soddisfare il requisito del consenso ex art. 5(3) della direttiva e-Privacy. Tuttavia, per essere considerata idonea ai fini privacy deve essere adeguatamente preceduta da una idonea informativa sul trattamento dei dati del soggetto; in particolare, il Gruppo rinvia al proprio parere del 2011 n. 15 sulla modalità di acquisizione del consenso, precisamente sull’utilizzo di una sola casella del “presto il consenso”, ovvero di doppia casella, compresa quella del “non presto il consenso”. In altre parole, l’utente finale deve poter distinguere le varie ipotesi di trattamento dei propri dati personali per le quali è necessario il consenso e deve poter essere in grado di prestare separato consenso ad un utilizzo, piuttosto che un altro.
A tal proposito e per una maggiore chiarezza, il Gruppo propone un esempio di acquisizione di specifico consenso prendendo in considerazione il caso di un applicazione molto diffusa, ovvero l’applicazione che fornisce informazioni sui ristoranti presenti nelle vicinanze del luogo in cui si trova l’utente che utilizza il dispositivo. Il Gruppo specifica che, in tale caso ed in prima battuta, per installare l´applicazione l’utente deve prestare espresso consenso al download al trattamento dei propri dati personali. In seconda battuta, se e solo se l’utente decidesse di utilizzare l’App e dare la possibilità all’applicazione di accedere, in maniera temporanea, ai suoi dati di geolocalizzazione, lo stesso deve prestare separato consenso, preceduto naturalmente da idonea informativa, prima comunque che l’applicazione possa accedere alla geolocalizzazione.
Al contrario, se l´applicazione intendesse raccogliere continuamente i dati di posizionamento del dispositivo, questo rappresenterebbe un ulteriore trattamento e come tale richiederebbe ulteriori informazioni e separato consenso. Allo stesso modo, per una applicazione di comunicazione per accedere alla lista dei contatti, l´utente deve essere in grado di selezionare quei contatti che l´utente stesso desidera comunicare, ovvero dover concedere l´accesso alla intera rubrica (compresi i dati dei non utenti del servizio che non possono avere acconsentito al trattamento dei dati che li riguardano).
Proseguendo nell´analisi relativa al trattamento dei dati personali il Gruppo riprende il principio di finalità, nonché quello di proporzionalità e di liceità. In relazione a tali principi il Gruppo non fa altro che riprendere gli obblighi di cui alla direttiva come già sopra detto, rimarcando la necessità di affrontare il problema dell’acquisizione del consenso in modalità tale da raggiunge lo scopo per cui i dati sono trattati e non travalicarlo. In particolare, la finalità può essere valicata solo nella misura in cui un determinato trattamento dei dati è strettamente necessario per eseguire il servizio desiderato o, nel caso dell´articolo 7 (b) e (f) della direttiva sulla protezione dei dati, e soltanto se tali interessi non prevalgano gli interessi per i diritti e le libertà fondamentali della persona interessata.
Le finalità del trattamento dei dati, pertanto devono essere ben definiti, ex art. 6 (1) della direttiva sulla protezione dei dati personali, e comprensibile per un utente medio senza conoscenze giuridiche o tecnico esperto. Tale passo richiede che gli sviluppatori di applicazioni hanno una buona panoramica del loro business case prima di iniziare a raccogliere dati personali da parte degli utenti.
A questo proposito, il Gruppo invita ad effettuare una serie di controlli sui vari strati di accesso ai dati personali trattati dall’applicazione e dal dispositivo, distinguendoli in base ai 4 soggetti attori di tale trattamento. In base alle direttive del Gruppo il primo controllo dovrà essere operato dal sistema operativo e produttori di dispositivi e gli App Store i quali sono tenuti a definire le regole che si applicano a presentare le applicazioni nell’App store. Il secondo controllo dovrà essere operato dai programmatori di Application Programming Interface (API) nel definire i metodi standard per accedere ai dati memorizzati nel dispositivo ed a cui le applicazioni hanno accesso. Ulteriori controlli dovranno essere operati in maniera ex ante – controlli in luogo prima di installare un´applicazione – ed ex post – controlli attuati dopo aver installato un’App – al fine di mantenere un’idonea prova della funzionalità dell’applicazione ai fini privacy.
Tenuta in considerazione tale modalità di operare proposta dal Gruppo, si può ben vedere come il parere in analisi si inserisce comodamente nel più ampio quadro di regole e modifiche delineato dalla bozza di Regolamento Europeo, in particolare con riferimento alla Privacy by Design e alla Privacy by default. In tale ottica le App, come tutti gli strumenti informatici sia hardware che software, devono essere disegnati in un’ottica di Privacy, si ricorda che una delle decisioni più importanti prima di progettare un’App è il server su cui verranno memorizzati i dati. In alcuni casi i dati degli utenti possono essere memorizzati sul dispositivo, ma possono essere anche trasferiti o copiati in sistemi esterni del fornitore del servizio scaricato mediante l’applicazione. Inoltre, nel parere viene sottolineato che le App devono nascere con modalità di condivisione chiuse, per poi essere aperte solo successivamente e solo con la consapevolezza dell’utente/interessato del trattamento. Le caratteristiche di sicurezza devono essere applicate anche da soggetti terzi quando raccolgono e trattano dati personali per i propri scopi, inserzionisti più importanti e provider di analisi. Ciò include la trasmissione sicura e lo storage cifrato. E’ evidente che tale nuova ottica di Privacy deve prevedere una valutazione di impatto e/o una verifica preliminare da parte dei Progettisti/Sviluppatori/Distributori di App.
Per completezza, si evidenzia come nel parere il Gruppo si sofferma su altre questioni parimenti importanti, quali il trattamento dei dati dei minori, rilevando la necessità di acquisire il consenso informato dei genitori; l’utilizzo di strumenti in grado di garantire un adeguata sicurezza delle informazioni trattate; la definizione di precisi tempi di conservazione dei dati raccolti, prevedendo un termine di conservazioni di dati, ovvero periodi di inattività per mancato utilizzo dell’App oltre il quale l’utente dovrà riprestare il consenso al trattamento dei dati; per quanto riguarda le violazioni dei dati personali e la necessità di informare in modo proattivo gli utenti; in ordine invece alle terze parti il Gruppo raccomanda l’utilizzo dei dati solo per le finalità descritte nell’informative e per cui si è acquisito specifico consenso in modo da evitare di fornire annunci pubblicitari e promozionali al di fuori del contesto delle app.
Anche la nostra Autorità per la protezione dei dati personali si è spinta a prendere in considerazione tale argomento, tanto che per sensibilizzare gli utenti italiani sull´importanza di proteggere i propri dati personali, ha realizzato un video tutorial, intitolato “Fatti smart!”, con l´obiettivo di offrire alcune semplici e utili indicazioni su come tutelare la propria privacy quando si utilizzano smartphone e tablet
L’autorità, ribadendo la sua posizione di Garante invita gli utenti, ma anche gli sviluppatori, i distributori, i programmatori e qualunque soggetto terzo coinvolti nel trattamento, a rivolgersi in qualsiasi momento ai suoi uffici per ottenere informazioni e chiarimenti o per richiedere interventi a tutela della propria riservatezza, invita ad adottare semplici ma fondamentali accorgimenti. In particolare, tramite il video, il Garante rileva quali sono i principali pericoli, dalla possibile clonazione, allo smarrimento del dispositivo elettronico, nonché dei dati personali contenuti nello stesso, dall’uso improprio, al furto. Il Garante invita gli utenti ad utilizzare piccoli accorgimenti in grado di ridurre al minimo tali pericoli, come evitare di conservare su smartphone e tablet informazioni troppo personali, impostare sempre un codice PIN, conservare con cura il codice IMEI, verificare le impostazioni privacy e leggere le condizioni d´uso dei servizi durante la navigazione, utilizzare un efficace antivirus ed evitare di mantenere sempre attive le funzioni di geolocalizzazione.