Home / Blog / Quando la Privacy si scarica con la App

Quando la Privacy si scarica con la App

Inserito da Simona Cerone 23 Maggio 2017 in Privacy e tutela delle informazioni

App e Privacy, facciamo il punto

Riemerge la dibattuta questione Privacy grazie ad uno dei primi studi che analizza i flussi transnazionali di dati personali ad opera dell’Università di Trento, della Fondazione Bruno Kessler e dei SAP Labs France, il quale traccia il punto sulle App mobile e su come esse raccolgono e gestiscono le informazioni personali e sensibili degli utenti che le utilizzano.

Apps & SocialLo studio, incentrato sulla gestione dei dati in modalità Cloud raccolti ed elaborati dalle App mobile in relazione alla localizzazione dei data center dove vengono memorizzati, è stato svolto analizzando 1.498 applicazioni Android tra quelle più in uso nell’area economica europea ed ha evidenziato che

  • solo il 23% dei server coinvolti nel trasferimento ha sede in Europa
  • che il 16,5% delle app analizzate trasmette i dati personali oltre i confini europei senza il consenso degli interessati
  • il 51% manca di policy in materia di privacy non fornendo alcuna informazione agli utenti utilizzatori del trattamento dei lori dati personali

La questione si fa ancora più calda se pensiamo che le connessioni a livello mondiale a dispositivi Android hanno superato, a marzo 2017, quelle provenienti da devices con altri sistemi operativi, anche se il dato italiano, ed europeo, si discosta dalle statistiche mondiali, prediligendo Android solo nel 21,15% dei casi.

Il rilievo della questione emerge se pensiamo che il trasferimento di dati personali da paesi UE verso Paesi terzi è vietato in linea di principio ai sensi della Dir. 95/46/CE, a meno che il paese terzo in questione garantisca un livello di protezione “adeguato”. Tale divieto gode di deroghe in alcune ipotesi come il consenso della persona interessata, la necessità del trasferimento ai fini di misure contrattuali e precontrattuali, interesse pubblico preminente etc. Ai sensi dell’art. 25, comma 6 della direttiva, la Commissione Europea può stabilire che il livello di protezione offerto in un determinato paese è adeguato e che è possibile trasferirvi dati personali, c.d. “Decisione di adeguatezza”. Altra deroga è rappresentata dalle “Clausole contrattuali standard” con le quali il paese esportatore dei dati personali garantisce che questi ultimi saranno trattati, nel Paese terzo, in conformità ai principi stabiliti nella Direttiva. Infine parliamo di Binding corporate rules-BCR, uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato membro a un Paese terzo tra società facenti parte del medesimo gruppo imprenditoriale.

Quando i dati viaggiano all’estero

La normativa nazionale, recependo la suddetta direttiva, intende, con “trasferimento all’estero” dei dati personali, lo spostamento dei dati dal territorio nazionale a quello di Paesi terzi non appartenenti all’UE o ad organizzazioni internazionali. A tal fine, il D.lgs. 196/03, c.d. Codice della privacy, prevede determinate ipotesi di trasferimento consentite in Paesi terzi agli artt. 43 e 44. Il trasferimento dei dati personali fuori dal territorio dell’Unione Europea può essere effettuato in caso di:

  • Consenso espresso dell’interessato;
  • Necessità conseguente all’esecuzione di obblighi derivanti da un contratto di cui l’interessato è parte o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
  • Necessità per la salvaguardia di un interesse pubblico rilevante individuato con legge o regolamento o se il trasferimento riguarda dati sensibili o giudiziari;
  • Necessità ai fini della salvaguardia della vita o dell’incolumità fisica di un terzo o se la medesima finalità riguarda l’interessato impossibilitato a prestare il proprio consenso;
  • Necessità per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria;
  • Accoglimento di una richiesta di accesso ai documenti amministrativi;
  • Necessità per scopi scientifici, statistici o storici;
  • Autorizzazione del Garante per la protezione dei dati personali a fronte di adeguate garanzie per i diritti dell’interessato.

Il trasferimento è comunque vietato qualora la legislazione del paese di destinazione o di transito non assicuri un livello di tutela adeguato.

Cosa dice il Regolamento europeo (GDPR)

flag-1198978_1920In un’ottica più ampia, il nuovo Regolamento Europeo n. 679 del 2016, che abroga la Direttiva 95/46/CE e che sappiamo diventare definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, si applica anche al trattamento dei dati personali di interessati che si trovano nell’Unione Europea che sia effettuato da un titolare o da un responsabile del trattamento che non siano stabiliti nel territorio dell’UE quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati o il monitoraggio del loro comportamento.

Tale disciplina condiziona il trasferimento dei dati all’adozione di misure atte a salvaguardare i diritti fondamentali degli interessati, volendo garantire un livello di tutela delle persone fisiche al pari di quello assicurato nell’Unione dal Regolamento (GDPR).

Le condizioni per un legittimo trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale sono disciplinate dal suddetto regolamento agli artt. 44-50, all’interno dei quali sono individuate le ipotesi ammesse:

  • Decisione di adeguatezza della Commissione: la Commissione si pronuncia circa l’adeguatezza del livello di protezione dei dati personali offerto dal Paese terzo o dall’organizzazione internazionale, valutando lo stato della legislazione relativo alla protezione dei dati e le garanzie di tutela effettiva per gli interessati, l’esistenza e l’effettiva operatività di una o più autorità di controllo indipendenti, con competenze tali da garantire e controllare il rispetto delle norme in materia di data protection, gli impegni internazionali assunti dal Paese Terzo in relazione alla protezione dei dati personali;
  • Garanzie adeguate: in mancanza di una decisione di adeguatezza della Commissione, il titolare o il responsabile del trattamento può procedere al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati abbiano a loro disposizione diritti azionabili ed effettivi mezzi di ricorso. Tali garanzie dovrebbero assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione. Meritano di essere menzionate tra le garanzie adeguate  la predisposizione di apposite norme vincolanti di impresa (le cosiddette Binding Corporate Rules) a norma dell’art. 47 del Regolamento Europeo e le clausole contrattuali standarddi approvazione della Commissione Europea che, laddove inserite nel contratto tra esportatore ed importatore delle informazioni, assicurano il rispetto dei principi e degli obblighi che la normativa europea individua a tutela del dato personale.
  • Casi in deroga: in mancanza di una decisone di adeguatezza della Commissione o in assenza di garanzie adeguate, il trasferimento transfrontaliero di dati personali verso un paese terzo o una organizzazione internazionale è ammesso se l’interessato ha esplicitamente acconsentito o se il trasferimento è occasionale e necessario in relazione ad un contratto o un’azione legale. E’ previsto, altresì, il trasferimento di dati se sussistono motivi di rilevante interesse pubblico e per legittimo interesse del titolare del trattamento se non prevalgono gli interessi e le libertà dell’interessato e qualora il titolare del trattamento abbia valutato tutte le circostanze del trasferimento e abbia fornito garanzie adeguate.

Ad oggi i Paesi terzi che hanno ottenuto la decisione di adeguatezza della Commissione Europea e che quindi hanno un livello adeguato in materia di protezione dei dati personali in linea con la normativa Europea sono: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA – Privacy Shield.

EU-UsaMerita un focus particolare la decisione di adeguatezza relativa al “Privacy Shield”, a tutela dei diritti fondamentali di qualsiasi persona fisica nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti, adottata dalla Commissione europea il 12 luglio 2016 e che impone alle imprese statunitensi obblighi più stringenti di tutela dei dati personali delle persone fisiche europee. Lo scudo EU-USA per la privacy prevede obblighi rigorosi per le imprese che operano sui dati, la garanzia del principio sull’informativa con cui l’impresa deve informare l’interessato di una serie di elementi relativi al trattamento che lo riguardano, il principio sulla scelta che conferisce all’interessato il diritto di rifiutare il trattamento del titolare e il principio sull’integrità dei dati e la limitazione della finalità per cui i dati rilevati devono essere pertinenti ai fini del trattamento, anche se destano notevoli preoccupazione i riflessi sull’applicazione del Privacy Shield e del Regolamento UE 679/2016 dovuti ai recenti passi indietro compiuti da Trump con il progetto di legge che di fatto blocca la riforma che avrebbe imposto agli isp di subordinare al consenso la vendita dei dati personali degli utenti, comprese le app scaricate e la cronologia delle loro ricerche.

Come migliorare le informative delle App

Quanto alle possibili soluzioni finalizzate a rafforzare il controllo e la protezione dei dati personali e a ridurre l’incertezza circa il trattamento dei medesimi oggetto di flussi transnazionali, l’adozione di policy di privacy per tutte le app che di fatto integrano il “ruolo” di titolare del trattamento dei dati personali sarebbe adeguato.

Si dovrebbe rendere obbligatoria, per gli sviluppatori, la redazione di una informativa ex art. 13 del D.lgs 196/03 riportante le finalità, le modalità del trattamento cui sono destinati i dati, la natura obbligatoria o meno del conferimento dei dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati etc. auspicabilmente insieme ad informazioni relative a termini e condizioni d’uso dell’applicazione.

In presenza di violazioni, alla luce del nuovo Regolamento generale sulla protezione dei dati, l’art. 83 prevede, oltre a misure di carattere prescrittivo o interdittivo, l’inflizione di sanzioni amministrative pecuniarie fino a 20.000.000 di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Don`t copy text!