Quando la Privacy si scarica con la App

23/05/2017

di Simona Cerone

App e Privacy, facciamo il punto

Riemerge la dibattuta questione Privacy grazie ad uno dei primi studi che analizza i flussi transnazionali di dati personali ad opera dell’Università di Trento, della Fondazione Bruno Kessler e dei SAP Labs France, il quale traccia il punto sulle App mobile e su come esse raccolgono e gestiscono le informazioni personali e sensibili degli utenti che le utilizzano.

Apps & Social Lo studio, incentrato sulla gestione dei dati in modalità Cloud raccolti ed elaborati dalle App mobile in relazione alla localizzazione dei data center dove vengono memorizzati, è stato svolto analizzando 1.498 applicazioni Android tra quelle più in uso nell’area economica europea ed ha evidenziato che

solo il 23% dei server coinvolti nel trasferimento ha sede in Europa
che il 16,5% delle app analizzate trasmette i dati personali oltre i confini europei senza il consenso degli interessati
il 51% manca di policy in materia di privacy non fornendo alcuna informazione agli utenti utilizzatori del trattamento dei lori dati personali

La questione si fa ancora più calda se pensiamo che le connessioni a livello mondiale a dispositivi Android hanno superato, a marzo 2017, quelle provenienti da devices con altri sistemi operativi, anche se il dato italiano, ed europeo, si discosta dalle statistiche mondiali, prediligendo Android solo nel 21,15% dei casi.

Il rilievo della questione emerge se pensiamo che il trasferimento di dati personali da paesi UE verso Paesi terzi è vietato in linea di principio ai sensi della Dir. 95/46/CE, a meno che il paese terzo in questione garantisca un livello di protezione “adeguato”. Tale divieto gode di deroghe in alcune ipotesi come il consenso della persona interessata, la necessità del trasferimento ai fini di misure contrattuali e precontrattuali, interesse pubblico preminente etc. Ai sensi dell’art. 25, comma 6 della direttiva, la Commissione Europea può stabilire che il livello di protezione offerto in un determinato paese è adeguato e che è possibile trasferirvi dati personali, c.d. “Decisione di adeguatezza”. Altra deroga è rappresentata dalle “Clausole contrattuali standard” con le quali il paese esportatore dei dati personali garantisce che questi ultimi saranno trattati, nel Paese terzo, in conformità ai principi stabiliti nella Direttiva. Infine parliamo di Binding corporate rules-BCR, uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato membro a un Paese terzo tra società facenti parte del medesimo gruppo imprenditoriale.

Quando i dati viaggiano all’estero

La normativa nazionale, recependo la suddetta direttiva, intende, con “trasferimento all’estero” dei dati personali, lo spostamento dei dati dal territorio nazionale a quello di Paesi terzi non appartenenti all’UE o ad organizzazioni internazionali. A tal fine, il D.lgs. 196/03, c.d. Codice della privacy, prevede determinate ipotesi di trasferimento consentite in Paesi terzi agli artt. 43 e 44. Il trasferimento dei dati personali fuori dal territorio dell’Unione Europea può essere effettuato in caso di:

Consenso espresso dell’interessato;
Necessità conseguente all’esecuzione di obblighi derivanti da un contratto di cui l’interessato è parte o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
Necessità per la salvaguardia di un interesse pubblico rilevante individuato con legge o regolamento o se il trasferimento riguarda dati sensibili o giudiziari;
Necessità ai fini della salvaguardia della vita o dell’incolumità fisica di un terzo o se la medesima finalità riguarda l’interessato impossibilitato a prestare il proprio consenso;
Necessità per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria;
Accoglimento di una richiesta di accesso ai documenti amministrativi;
Necessità per scopi scientifici, statistici o storici;
Autorizzazione del Garante per la protezione dei dati personali a fronte di adeguate garanzie per i diritti dell’interessato.

Il trasferimento è comunque vietato qualora la legislazione del paese di destinazione o di transito non assicuri un livello di tutela adeguato.

Cosa dice il Regolamento europeo (GDPR)

In un’ottica più ampia, il nuovo Regolamento Europeo n. 679 del 2016, che abroga la Direttiva 95/46/CE e che sappiamo diventare definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, si applica anche al trattamento dei dati personali di interessati che si trovano nell’Unione Europea che sia effettuato da un titolare o da un responsabile del trattamento che non siano stabiliti nel territorio dell’UE quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati o il monitoraggio del loro comportamento.

Tale disciplina condiziona il trasferimento dei dati all’adozione di misure atte a salvaguardare i diritti fondamentali degli interessati, volendo garantire un livello di tutela delle persone fisiche al pari di quello assicurato nell’Unione dal Regolamento (GDPR).

Le condizioni per un legittimo trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale sono disciplinate dal suddetto regolamento agli artt. 44-50, all’interno dei quali sono individuate le ipotesi ammesse:

Decisione di adeguatezza della Commissione: la Commissione si pronuncia circa l’adeguatezza del livello di protezione dei dati personali offerto dal Paese terzo o dall’organizzazione internazionale, valutando lo stato della legislazione relativo alla protezione dei dati e le garanzie di tutela effettiva per gli interessati, l’esistenza e l’effettiva operatività di una o più autorità di controllo indipendenti, con competenze tali da garantire e controllare il rispetto delle norme in materia di data protection, gli impegni internazionali assunti dal Paese Terzo in relazione alla protezione dei dati personali;
Garanzie adeguate: in mancanza di una decisione di adeguatezza della Commissione, il titolare o il responsabile del trattamento può procedere al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati abbiano a loro disposizione diritti azionabili ed effettivi mezzi di ricorso. Tali garanzie dovrebbero assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione. Meritano di essere menzionate tra le garanzie adeguate la predisposizione di apposite norme vincolanti di impresa (le cosiddette Binding Corporate Rules) a norma dell’art. 47 del Regolamento Europeo e le clausole contrattuali standarddi approvazione della Commissione Europea che, laddove inserite nel contratto tra esportatore ed importatore delle informazioni, assicurano il rispetto dei principi e degli obblighi che la normativa europea individua a tutela del dato personale.
Casi in deroga: in mancanza di una decisone di adeguatezza della Commissione o in assenza di garanzie adeguate, il trasferimento transfrontaliero di dati personali verso un paese terzo o una organizzazione internazionale è ammesso se l’interessato ha esplicitamente acconsentito o se il trasferimento è occasionale e necessario in relazione ad un contratto o un’azione legale. E’ previsto, altresì, il trasferimento di dati se sussistono motivi di rilevante interesse pubblico e per legittimo interesse del titolare del trattamento se non prevalgono gli interessi e le libertà dell’interessato e qualora il titolare del trattamento abbia valutato tutte le circostanze del trasferimento e abbia fornito garanzie adeguate.

Ad oggi i Paesi terzi che hanno ottenuto la decisione di adeguatezza della Commissione Europea e che quindi hanno un livello adeguato in materia di protezione dei dati personali in linea con la normativa Europea sono: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA – Privacy Shield.

EU-Usa Merita un focus particolare la decisione di adeguatezza relativa al “Privacy Shield”, a tutela dei diritti fondamentali di qualsiasi persona fisica nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti, adottata dalla Commissione europea il 12 luglio 2016 e che impone alle imprese statunitensi obblighi più stringenti di tutela dei dati personali delle persone fisiche europee. Lo scudo EU-USA per la privacy prevede obblighi rigorosi per le imprese che operano sui dati, la garanzia del principio sull’informativa con cui l’impresa deve informare l’interessato di una serie di elementi relativi al trattamento che lo riguardano, il principio sulla scelta che conferisce all’interessato il diritto di rifiutare il trattamento del titolare e il principio sull’integrità dei dati e la limitazione della finalità per cui i dati rilevati devono essere pertinenti ai fini del trattamento, anche se destano notevoli preoccupazione i riflessi sull’applicazione del Privacy Shield e del Regolamento UE 679/2016 dovuti ai recenti passi indietro compiuti da Trump con il progetto di legge che di fatto blocca la riforma che avrebbe imposto agli isp di subordinare al consenso la vendita dei dati personali degli utenti, comprese le app scaricate e la cronologia delle loro ricerche.

Come migliorare le informative delle App

Quanto alle possibili soluzioni finalizzate a rafforzare il controllo e la protezione dei dati personali e a ridurre l’incertezza circa il trattamento dei medesimi oggetto di flussi transnazionali, l’adozione di policy di privacy per tutte le app che di fatto integrano il “ruolo” di titolare del trattamento dei dati personali sarebbe adeguato.

Si dovrebbe rendere obbligatoria, per gli sviluppatori, la redazione di una informativa ex art. 13 del D.lgs 196/03 riportante le finalità, le modalità del trattamento cui sono destinati i dati, la natura obbligatoria o meno del conferimento dei dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati etc. auspicabilmente insieme ad informazioni relative a termini e condizioni d’uso dell’applicazione.

In presenza di violazioni, alla luce del nuovo Regolamento generale sulla protezione dei dati, l’art. 83 prevede, oltre a misure di carattere prescrittivo o interdittivo, l’inflizione di sanzioni amministrative pecuniarie fino a 20.000.000 di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicitari".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_54760939_1	1 minute	Questo cookie è impostato da Google e viene utilizzato per distinguere gli utenti.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
CONSENT	16 years 3 months 22 days 9 hours 29 minutes	Questi cookie vengono impostati tramite video youtube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che non accedi al tuo account google, in tal caso le tue scelte sono legate al tuo account, ad esempio se fai clic su "mi piace" su un video.

Cookie	Durata	Descrizione
IDE	1 year 24 days	I cookie di Google DoubleClick IDE vengono utilizzati per memorizzare informazioni su come l'utente utilizza il sito Web per presentargli annunci pertinenti e in base al profilo dell'utente.
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tenere traccia delle visualizzazioni dei video incorporati nelle pagine di Youtube.
yt-remote-connected-devices	never	Questi cookie vengono impostati tramite video youtube incorporati.
yt-remote-device-id	never	Questi cookie vengono impostati tramite video youtube incorporati.

Quando la Privacy si scarica con la App

App e Privacy, facciamo il punto

Quando i dati viaggiano all’estero

Cosa dice il Regolamento europeo (GDPR)

Come migliorare le informative delle App

CERCA

CATEGORIE

CHI SIAMO

SPEECH & EVENTI

OPERIAMO
A LIVELLO
GLOBALE

Compila il form

Quando la Privacy si scarica con la App

App e Privacy, facciamo il punto

Quando i dati viaggiano all’estero

Cosa dice il Regolamento europeo (GDPR)

Come migliorare le informative delle App

CERCA

CATEGORIE

ALTRE NEWS

CHI SIAMO

SPEECH & EVENTI

OPERIAMO A LIVELLO GLOBALE

Compila il form

Informativa breve cookies

OPERIAMO
A LIVELLO
GLOBALE