Quando la Privacy si scarica con la App

23/05/2017
di Simona Cerone

App e Privacy, facciamo il punto

Riemerge la dibattuta questione Privacy grazie ad uno dei primi studi che analizza i flussi transnazionali di dati personali ad opera dell’Università di Trento, della Fondazione Bruno Kessler e dei SAP Labs France, il quale traccia il punto sulle App mobile e su come esse raccolgono e gestiscono le informazioni personali e sensibili degli utenti che le utilizzano.

Apps & SocialLo studio, incentrato sulla gestione dei dati in modalità Cloud raccolti ed elaborati dalle App mobile in relazione alla localizzazione dei data center dove vengono memorizzati, è stato svolto analizzando 1.498 applicazioni Android tra quelle più in uso nell’area economica europea ed ha evidenziato che

  • solo il 23% dei server coinvolti nel trasferimento ha sede in Europa
  • che il 16,5% delle app analizzate trasmette i dati personali oltre i confini europei senza il consenso degli interessati
  • il 51% manca di policy in materia di privacy non fornendo alcuna informazione agli utenti utilizzatori del trattamento dei lori dati personali

La questione si fa ancora più calda se pensiamo che le connessioni a livello mondiale a dispositivi Android hanno superato, a marzo 2017, quelle provenienti da devices con altri sistemi operativi, anche se il dato italiano, ed europeo, si discosta dalle statistiche mondiali, prediligendo Android solo nel 21,15% dei casi.

Il rilievo della questione emerge se pensiamo che il trasferimento di dati personali da paesi UE verso Paesi terzi è vietato in linea di principio ai sensi della Dir. 95/46/CE, a meno che il paese terzo in questione garantisca un livello di protezione “adeguato”. Tale divieto gode di deroghe in alcune ipotesi come il consenso della persona interessata, la necessità del trasferimento ai fini di misure contrattuali e precontrattuali, interesse pubblico preminente etc. Ai sensi dell’art. 25, comma 6 della direttiva, la Commissione Europea può stabilire che il livello di protezione offerto in un determinato paese è adeguato e che è possibile trasferirvi dati personali, c.d. “Decisione di adeguatezza”. Altra deroga è rappresentata dalle “Clausole contrattuali standard” con le quali il paese esportatore dei dati personali garantisce che questi ultimi saranno trattati, nel Paese terzo, in conformità ai principi stabiliti nella Direttiva. Infine parliamo di Binding corporate rules-BCR, uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato membro a un Paese terzo tra società facenti parte del medesimo gruppo imprenditoriale.

Quando i dati viaggiano all’estero

La normativa nazionale, recependo la suddetta direttiva, intende, con “trasferimento all’estero” dei dati personali, lo spostamento dei dati dal territorio nazionale a quello di Paesi terzi non appartenenti all’UE o ad organizzazioni internazionali. A tal fine, il D.lgs. 196/03, c.d. Codice della privacy, prevede determinate ipotesi di trasferimento consentite in Paesi terzi agli artt. 43 e 44. Il trasferimento dei dati personali fuori dal territorio dell’Unione Europea può essere effettuato in caso di:

  • Consenso espresso dell’interessato;
  • Necessità conseguente all’esecuzione di obblighi derivanti da un contratto di cui l’interessato è parte o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
  • Necessità per la salvaguardia di un interesse pubblico rilevante individuato con legge o regolamento o se il trasferimento riguarda dati sensibili o giudiziari;
  • Necessità ai fini della salvaguardia della vita o dell’incolumità fisica di un terzo o se la medesima finalità riguarda l’interessato impossibilitato a prestare il proprio consenso;
  • Necessità per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria;
  • Accoglimento di una richiesta di accesso ai documenti amministrativi;
  • Necessità per scopi scientifici, statistici o storici;
  • Autorizzazione del Garante per la protezione dei dati personali a fronte di adeguate garanzie per i diritti dell’interessato.

Il trasferimento è comunque vietato qualora la legislazione del paese di destinazione o di transito non assicuri un livello di tutela adeguato.

Cosa dice il Regolamento europeo (GDPR)

flag-1198978_1920In un’ottica più ampia, il nuovo Regolamento Europeo n. 679 del 2016, che abroga la Direttiva 95/46/CE e che sappiamo diventare definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, si applica anche al trattamento dei dati personali di interessati che si trovano nell’Unione Europea che sia effettuato da un titolare o da un responsabile del trattamento che non siano stabiliti nel territorio dell’UE quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati o il monitoraggio del loro comportamento.

Tale disciplina condiziona il trasferimento dei dati all’adozione di misure atte a salvaguardare i diritti fondamentali degli interessati, volendo garantire un livello di tutela delle persone fisiche al pari di quello assicurato nell’Unione dal Regolamento (GDPR).

Le condizioni per un legittimo trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale sono disciplinate dal suddetto regolamento agli artt. 44-50, all’interno dei quali sono individuate le ipotesi ammesse:

  • Decisione di adeguatezza della Commissione: la Commissione si pronuncia circa l’adeguatezza del livello di protezione dei dati personali offerto dal Paese terzo o dall’organizzazione internazionale, valutando lo stato della legislazione relativo alla protezione dei dati e le garanzie di tutela effettiva per gli interessati, l’esistenza e l’effettiva operatività di una o più autorità di controllo indipendenti, con competenze tali da garantire e controllare il rispetto delle norme in materia di data protection, gli impegni internazionali assunti dal Paese Terzo in relazione alla protezione dei dati personali;
  • Garanzie adeguate: in mancanza di una decisione di adeguatezza della Commissione, il titolare o il responsabile del trattamento può procedere al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati abbiano a loro disposizione diritti azionabili ed effettivi mezzi di ricorso. Tali garanzie dovrebbero assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione. Meritano di essere menzionate tra le garanzie adeguate  la predisposizione di apposite norme vincolanti di impresa (le cosiddette Binding Corporate Rules) a norma dell’art. 47 del Regolamento Europeo e le clausole contrattuali standarddi approvazione della Commissione Europea che, laddove inserite nel contratto tra esportatore ed importatore delle informazioni, assicurano il rispetto dei principi e degli obblighi che la normativa europea individua a tutela del dato personale.
  • Casi in deroga: in mancanza di una decisone di adeguatezza della Commissione o in assenza di garanzie adeguate, il trasferimento transfrontaliero di dati personali verso un paese terzo o una organizzazione internazionale è ammesso se l’interessato ha esplicitamente acconsentito o se il trasferimento è occasionale e necessario in relazione ad un contratto o un’azione legale. E’ previsto, altresì, il trasferimento di dati se sussistono motivi di rilevante interesse pubblico e per legittimo interesse del titolare del trattamento se non prevalgono gli interessi e le libertà dell’interessato e qualora il titolare del trattamento abbia valutato tutte le circostanze del trasferimento e abbia fornito garanzie adeguate.

Ad oggi i Paesi terzi che hanno ottenuto la decisione di adeguatezza della Commissione Europea e che quindi hanno un livello adeguato in materia di protezione dei dati personali in linea con la normativa Europea sono: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA – Privacy Shield.

EU-UsaMerita un focus particolare la decisione di adeguatezza relativa al “Privacy Shield”, a tutela dei diritti fondamentali di qualsiasi persona fisica nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti, adottata dalla Commissione europea il 12 luglio 2016 e che impone alle imprese statunitensi obblighi più stringenti di tutela dei dati personali delle persone fisiche europee. Lo scudo EU-USA per la privacy prevede obblighi rigorosi per le imprese che operano sui dati, la garanzia del principio sull’informativa con cui l’impresa deve informare l’interessato di una serie di elementi relativi al trattamento che lo riguardano, il principio sulla scelta che conferisce all’interessato il diritto di rifiutare il trattamento del titolare e il principio sull’integrità dei dati e la limitazione della finalità per cui i dati rilevati devono essere pertinenti ai fini del trattamento, anche se destano notevoli preoccupazione i riflessi sull’applicazione del Privacy Shield e del Regolamento UE 679/2016 dovuti ai recenti passi indietro compiuti da Trump con il progetto di legge che di fatto blocca la riforma che avrebbe imposto agli isp di subordinare al consenso la vendita dei dati personali degli utenti, comprese le app scaricate e la cronologia delle loro ricerche.

Come migliorare le informative delle App

Quanto alle possibili soluzioni finalizzate a rafforzare il controllo e la protezione dei dati personali e a ridurre l’incertezza circa il trattamento dei medesimi oggetto di flussi transnazionali, l’adozione di policy di privacy per tutte le app che di fatto integrano il “ruolo” di titolare del trattamento dei dati personali sarebbe adeguato.

Si dovrebbe rendere obbligatoria, per gli sviluppatori, la redazione di una informativa ex art. 13 del D.lgs 196/03 riportante le finalità, le modalità del trattamento cui sono destinati i dati, la natura obbligatoria o meno del conferimento dei dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati etc. auspicabilmente insieme ad informazioni relative a termini e condizioni d’uso dell’applicazione.

In presenza di violazioni, alla luce del nuovo Regolamento generale sulla protezione dei dati, l’art. 83 prevede, oltre a misure di carattere prescrittivo o interdittivo, l’inflizione di sanzioni amministrative pecuniarie fino a 20.000.000 di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Riproduzione riservata ©

ALTRE NEWS

Le Tecniche di anonimizzazione: il Parere n. 05/2014 del Gruppo di lavoro ex art 29 della direttiva 95/46

Il nostro Codice Privacy, D.lgs. 196 del 2003, definisce il “dato anonimo” come quel dato che in origine, o a seguito di trattamento, non può… Leggi Tutto

White Paper Colin: Raccomandazione EDPB 1/2020
Addio Privacy Shield: il nostro White Paper dedicato alla Raccomandazione 1/2020 EDPB

La Corte di Giustizia dell’Unione europea ha invalidato, lo scorso 16 luglio 2020, la decisione di adeguatezza del Privacy Shield, in merito al regime di… Leggi Tutto

Verso il Regolamento Europeo: affrontare il percorso di adeguamento normativo

Si è protratto per quasi quattro anni, l’iter di creazione e modifica della normativa europea inerente la protezione dei dati personali. Lo scorso 15 dicembre… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form