Come tutelare la Privacy nelle App. (applicazioni) e negli strumenti mobili, nel merito interviene il Gruppo dei Garanti Europei

Il “Gruppo dei Garanti di cui all’ Articolo 29“ della Direttiva 46/95 hanno adottato, in data 27 febbraio 2013,  un parere, il 2/2013 ) concernente i rischi fondamentali per la protezione dei dati personali derivanti dalle applicazioni per smartphone e tablet, i cosiddetti terminali mobili.

Il parere evidenzia che ogni giorno sono disponibili circa 1600 nuove applicazioni e che il singolo utente ne ha attive circa una quarantina per smartphone o tablet.

Come è prevedibile qualsiasi applicazione è in grado di accedere a numerosi dati personali conservati nella memoria dello strumento (dalle fotografie alla rubrica, al proprio profilo sui diversi social network, fino ad arrivare anche ai diversi dati di geolocalizzazione).

Il parere intende fornire un approfondimento su quelli che sono  gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di strumenti mobili sono tenuti a rispettare.

Inoltre il parere vuole sottolineare come spesso i dati personali raccolti via App. riguardino i minori. E’ evidente come tale nuovi trattamenti,  fino a qualche anno fa imprevedibili, possano comportare diversi rischi per i dati degli utenti.

Le modalità di funzionamento stesso delle app. generalmente molto veloci non permettono il controlllo dei dati da parte dell’utente che non è messo concretamente in grado di dare un consenso informato all’utilizzo dei suoi dati personali.

Inoltre il Gruppo si è reso conto che il principio di minimizzazione dei dati non è affatto seguito. Si raccolgono dati eccedenti rispetto alle reali finalità delle app.
Il Gruppo fornisce anche un esempio di dati raccolti dalle App. tra i quali numero di telefono, identità dell’utente, SMS, instant messaging, dati di posizione, numero di carta di credito, elenchi di navigazione nei diversi motori di ricerca,  credenziali di autenticazione (password e user id).

Ancora Un altro rischio per la protezione dei dati deriva da misure di sicurezza spesso insufficienti.

Il  parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, ritenendo che la protezione di dati personali degli utenti e la relativa sicurezza siano il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori (“app stores”)  che devono durare nel tempo, e non possano essere semplici adempimenti di regole una tantum.

Per quel che concerne gli obblighi sull’informativa e sul consenso Il Gruppo dei Garanti UE suggerisce di evidenziare bene chi sia il vero Titolare del trattamento essendo nel mondo App. normale il coinvolgimento di più’ attori, non sempre facilmente identificabili.

Si raccomandano inoltre alcune “buone pratiche” che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali:

i) l’impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti,
ii) la definizione di precisi tempi di conservazione dei dati raccolti,
iii) l’utilizzo di icone “user friendly” (già prospettate nell’ambito della Bozza di Nuovo Regolamento Europeo sulla Privacy) per segnalare che specifici trattamenti di dati sono in corso (ad es. in caso di trattamento di dati di geolocalizzazione).
iv) l’avviso che in caso di app rivolte specificamente ai minori,  sia necessario il consenso dei genitori.

Il presente parere si inserisce agevolmente nell’ampio quadro di modifiche delineato dalla bozza di Regolamento Europeo soprattutto con riferimento alla Privacy by Design e alla Privacy by default, nel senso che le App. (come tutti gli strumenti informatici sia hardware che software) devono rispettare sin dalla loro progettazione i requisiti Privacy cioè:
1) devono essere disegnati in un’ottica di Privacy
2) devono nascere con modalità di condivisione chiuse, per poi essere aperte solo successivamente e solo con la consapevolezza dell’utente/interessato del trattamento.

E’ evidente che tale nuova ottica di Privacy deve prevedere una valutazione di impatto e/o una Verifica preliminare da parte dei Progettisti/Sviluppatori/Distributori di App.

Tutto deve essere fatto PRIMA CHE LA APP ESCA SUL MERCATO.