GDPR e Privacy – Parere 2/2013 del WP29 sulle applicazioni per dispositivi mobili Analisi e riflessioni sui contenuti del Parere n. 2/2013 del Gruppo dei Garanti UE art. 29 (WP29) alla luce del nuovo Regolamento UE 2016/679

GDPR - Cosa è, cosa cambia, come agire

Alla maggior parte dei consulenti che hanno cominciato ad occuparsi di Privacy e Data Protection soltanto in conseguenza dell’avvento del GDPR la sigla WP29 dirà poco e niente: al contrario, chi si occupa di Protezione dei Dati già da qualche tempo non può non conoscere l’esistenza e l’operato del Gruppo dell’articolo 29 per la tutela dei dati, noto anche come Article 29 Working Party o WP29: si tratta, o per meglio dire si trattava, di un organismo consultivo indipendente, composto da un rappresentante delle varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione.

Il gruppo di lavoro è stato costituito sulla base di quanto previsto dall’articolo 29 della direttiva europea 95/46/CE e aveva le seguenti finalità:

  • Fornire un parere esperto agli Stati in merito alla protezione dei dati.
  • Promuovere l’applicazione coerente della direttiva sulla protezione dei dati in tutti gli Stati membri dell’UE.
  • Dare alla Commissione un parere sulle leggi comunitarie (primo pilastro) che riguardano il diritto alla protezione dei dati personali.
  • Fornire raccomandazioni al pubblico su questioni relative alla protezione delle persone con riguardo al trattamento dei dati personali e alla privacy nell’Unione Europea.

Il WP29 è stato sostituito il 25 maggio 2018 dal Consiglio Europeo per la Protezione dei Dati (EDPB), ai sensi del Regolamento Europeo sulla Protezione dei Dati 2016/679 (GDPR).

In questo articolo ci occuperemo di uno dei più importanti pareri espressi dal WP29 in tema di privacy connessa all’utilizzo dei dispositivi di ultima generazione: il Parere 02/2013 sulle applicazioni per dispositivi intelligenti (Opinion 02/2013 on apps on smart devices o WP 202), adottato il 27 febbraio 2013. Il testo completo può essere consultato in lingua inglese sul sito ufficiale del Garante della Privacy oppure – nella traduzione ufficiale italiana – a questo link.

Sintesi del Documento

Il parere è, in buona sostanza, un compendio di linee-guida a cui gli sviluppatori di applicazioni per dispositivi intelligenti (principalmente smartphone e tablet, ma anche e-watch, televisori, automobili, allarmi, sistemi di domotica et al.) dovrebbero attenersi al fine di garantire il rispetto dei principi legati al trattamento dei dati personali: all’interno del documento viene chiarito il contesto giuridico applicabile al trattamento dei dati personali nelle varie fasi dello sviluppo, della distribuzione e dell’utilizzo delle applicazioni, con un focus particolare sui seguenti aspetti:

  • Necessità di dotarsi delle informative adeguate al fine di fornire una informazione corretta agli utenti finali.
  • Necessità di acquisire il consenso (ove applicabile).
  • Rispetto dei principi di limitazione della finalità e di minimizzazione dei dati.
  • Necessità di adottare le adeguate misure di sicurezza volte a ridurre al minimo i rischi legati al data breach, agli accessi non autorizzati o ad altre violazioni.
  • Rispetto dei diritti dell’interessato, con particolare riguardo alla possibilità di cancellazione della app e relativi dati.
  • Definizione degli opportuni periodi di conservazione dei dati.
  • Modalità di trattamento dei dati provenienti da minori ovvero ad essi relativi.

Nei paragrafi seguenti ci dedicheremo a riassumere gli aspetti più rilevanti dei singoli punti, rimandando alla sua lettura integrale per una trattazione più dettagliata dei vari argomenti.

Informative

Per quanto riguarda le informative, viene richiesta la presenza di una informativa sintetica che compaia immediatamente, ovvero al primo accesso, preferibilmente mediante un pop-up o layer overlay, ovvero una finestra che si sovrapponga all’interfaccia utente oscurando e disabilitando tutto il resto, contenente un link che rimandi alla Privacy Policy integrale.

Questa raccomandazione, assieme al precedente Parere 04/2012 sulla Cookie Consent Exemption (WP 194)  e al successivo Working Document 02/2013 providing guidance on obtaining consent for cookies (WP 208), ha contribuito a porre le basi per il provvedimento dell’8 maggio 2014 del Garante della Privacy, volto a recepire in italia quanto previsto dalla Direttiva Europea 2009/136/EC (ePrivacy Directive, impropriamente nota come Cookie Law) in materia di Cookie.

E’ importante notare come il parere attribuisca una serie di responsabilità specifiche agli app store, ovvero ai negozi virtuali che distribuiscono ovvero consentono l’installazione delle app (gratuite o a pagamento), sia in materia di sicurezza – come avremo modo di vedere in seguito – che in materia di presenza delle opportune informative privacy (sezione 3.7.2):

Le informazioni essenziali sul trattamento dei dati devono essere disponibili agli utenti prima dell’installazione dell’applicazione, tramite l’app store. In secondo luogo, le informazioni pertinenti sul trattamento dei dati devono essere accessibili anche dall’interno della app, dopo l’installazione. In qualità di responsabili congiunti del trattamento insieme agli sviluppatori per quanto concerne l’informazione, gli app store devono garantire che ogni applicazione fornisca le informazioni essenziali sul trattamento dei dati personali, verificando i link alle pagine con informazioni sulla privacy ed eliminando le applicazioni con collegamenti interrotti o comunque con informazioni non accessibili sul trattamento dei dati.

Consensi

Per quanto concerne i consensi, il documento chiarisce la necessità di acquisire consensi diversi: quello relativo alla presenza dei cookie tecnici, ovvero che prevedono la “marcatura” del dispositivo utilizzato e che sono trattati all’interno della Direttiva Europea 2002/58/EC, e quello derivante dalla presenza dei cookie di profilazione, ovvero che prevedono la raccolta di dati relativi al comportamento dell’utente, per il quale vale quanto prescritto dalla Direttiva Europea 95/46/CE.

Fatta salva questa importante considerazione, il parere chiarisce la possibilità di “fondere” questi due consensi in una singola manifestazione di volontà libera, specifica e informata, a patto di fornire una informativa adeguata:

È importante notare la distinzione tra il consenso richiesto per inserire o consultare informazioni nel dispositivo e il consenso necessario per legittimare il trattamento di diversi tipi di dati personali. Benché i due requisiti siano applicabili simultaneamente, ciascuno in virtù di una diversa base giuridica, sono entrambi soggetti alla condizione che si tratti di una “manifestazione di volontà libera, specifica e informata” (ai sensi della definizione all’articolo 2, lettera h), della direttiva sulla protezione dei dati). Di conseguenza, i due tipi di consenso si possono fondere nella pratica, durante l’installazione o prima che l’applicazione cominci a raccogliere dati personali dal dispositivo, purché l’utente sia reso consapevole in modo inequivocabile di quello a cui acconsente.

Il parere chiarisce immediatamente cosa intende con il termine “libera”, sottolineando la necessità di rispettare il diritto dell’utente di rifiutare il consenso ovvero di interrompere l’installazione:

Nel contesto dei dispositivi intelligenti, “libera” significa che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali. Quindi, se un’applicazione richiede il trattamento di dati personali, l’utente deve essere libero di accettare o rifiutare, senza trovarsi di fronte a uno schermo contenente un’unica opzione “Sì, accetto”, per completare l’installazione; deve essere disponibile anche un’opzione “Cancella” o che comunque blocchi l’installazione.

Per quanto riguarda i chiarimenti sul termine “specifica” il parere raccomanda l’adozione di un criterio di raccolta del consenso granulare in tutti i casi dove la app richiede il trattamento di tipologie diverse di dati:

“Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati. Per questo motivo, il semplice clic su un tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali, in virtù del fatto che il consenso non può essere un’autorizzazione formulata genericamente. In alcuni casi, gli utenti sono in grado di fornire un consenso granulare, laddove il consenso è richiesto per ciascun tipo di dati ai quali l’applicazione intende accedere. Un simile approccio soddisfa due importanti requisiti giuridici: in primo luogo quello di informare adeguatamente l’utente in merito a elementi importanti del servizio e in secondo luogo quello di chiedere il consenso specifico per ognuno di essi. L’approccio alternativo per cui lo sviluppatore chiede ai propri utenti di accettare una lunga serie di termini e condizioni e/o politiche sulla privacy non costituisce un consenso specifico.

Una applicazione pratica di questa raccomandazione è evidente nel successivo “esempio di consenso specifico”, dove si evince come debba essere prevista la possibilità di esprimere un consenso separato per i servizi che prevedano la geolocalizzazione dell’interessato:

Esempi di consenso specifico

Un’applicazione fornisce informazioni sui ristoranti nelle vicinanze. Per l’installazione, lo sviluppatore deve ottenere il consenso. Per accedere ai dati di geolocalizzazione, lo sviluppatore deve chiede il consenso separatamente, ad esempio durante l’installazione o prima di accedere alla geolocalizzazione. Per consenso specifico s’intende il consenso limitato allo scopo specifico di informare l’utente in merito a ristoranti nelle vicinanze. Quindi è possibile accedere a dati di geolocalizzazione dal dispositivo solo quando l’utente utilizza l’applicazione a tale scopo. Il consenso dell’utente al trattamento di dati di geolocalizzazione non permette all’applicazione di raccogliere costantemente dati sull’ubicazione dal dispositivo. Questo ulteriore trattamento richiederebbe informazioni aggiuntive e un consenso separato.

Risulta inoltre evidente come, in tutti i casi in cui il parere parla di necessità di acquisire il consenso, debba essere prevista anche la possibilità di revoca dello stesso, che deve avvenire in modo semplice ed efficace (cfr. sezione 3.8).

Limitazione e Minimizzazione

Per quanto riguarda i principi di finalità del trattamento e minimizzazione dei dati, il documento (sezione 3.5) chiarisce come le due cose procedano di pari passo: al fine di impedire trattamenti inutili e potenzialmente illeciti, gli sviluppatori di applicazioni devono valutare attentamente quali dati sono strettamente necessari per eseguire la funzionalità desiderata. A tale scopo, è bene che lo sviluppatore faccia attenzione a non introdurre improvvisi cambiamenti nelle condizioni fondamentali del trattamento.

Anche in questo caso l’esempio fornito è particolarmente illuminante:

Ad esempio, se una app originariamente aveva lo scopo di consentire agli utenti di scambiarsi e-mail, ma lo sviluppatore decide di modificare il modello di business e accorpa gli indirizzi e-mail degli utenti con i numeri telefonici di utenti di un’altra app. I rispettivi responsabili del trattamento dei dati a quel punto dovrebbero contattare singolarmente tutti gli utenti per richiedere il loro inequivocabile consenso preliminare per questa nuova finalità del trattamento dei loro dati personali.

Sicurezza

La sezione 3.6, dedicata alla sicurezza, è forse la meno incisiva, probabilmente per via del fatto che è molto difficile entrare nel merito delle best-practices in fatto di software development e/o architecture design in un documento di alto livello come questo.

Al tempo stesso, vengono date alcune linee-guida degne di nota che è opportuno tenere presente fin dalla fase di progettazione dell’app o per meglio dire del servizio, nel pieno rispetto del concetto di privacy by design:

  • Prima di progettare un’applicazione è importante decidere dove saranno archiviati i dati, con particolare riguardo alle implementazioni di servizi in modalità client-server, che prevedano cioè il trasferimento di dati presso un server remoto (ad es. in cloud).
  • E’ importante ridurre al minimo le linee e la complessità del codice e introdurre una serie di controlli volti a ridurre ovvero ad escludere il rischio di trasferimento o  compromissione involontaria di dati.
  • Tutti gli input dovrebbero essere convalidati per impedire casi di riempimento del buffer o episodi di attacchi di tipo Brute-Force, DDoS o SQL Injection.
  • E’ necessario implementare strategie adeguate per la gestione di patch di sicurezza e relative verifiche, periodiche e – se possibile – indipendenti.
  • E’ opportuno ricordare periodicamente agli utenti la necessità di effettuare gli aggiornamenti periodici della app alle ultime versioni disponibili, e ribadire alcune best-practice di portata generale come ad esempio l’importanza di evitare di utilizzare la stessa password per diversi servizi.
  • Le applicazioni dovrebbero poter accedere esclusivamente ai dati di cui hanno veramente bisogno per rendere disponibile una funzionalità all’utente.

Diritti

Per quanto riguarda i diritti dell’interessato (sezione 3.8), il documento – oltre a riassumerli brevemente in termini di rettifica, cancellazione e opposizione al trattamento dei dati – sottolinea l’importanza di prevedere un sistema di disinstallazione della app che preveda anche la cancellazione di tutti i dati raccolti, sia localmente che sui server di produzione:

Deve essere possibile disinstallare le applicazioni eliminando nel contempo tutti i dati personali, anche dai server del responsabile del trattamento.

E’ inoltre raccomandata la creazione, con puntuale pubblicazione nell’informativa, di un punto di contatto a cui l’utente possa rivolgersi al fine di poter far valere i propri diritti.

Conservazione

La sezione 3.9 è dedicata alla conservazione, i cui tempi specifici dovrebbero dipendere dallo scopo dell’applicazione e dalla rilevanza dei dati per l’utente finale. Inoltre, è previsto che gli sviluppatori prendano in considerazione le problematiche legate alla retention dei dati degli utenti che non usano l’applicazione da un lungo periodo di tempo: tale assenza può essere dovuta a una serie di situazioni potenzialmente pericolose, come lo smarrimento del dispositivo o la mancata disinstallazione della app (e relativi dati) a seguito di vendita, cessione o restituzione dello stesso all’azienda.

Per tutti questi motivi, gli sviluppatori dovrebbero definire un periodo di tempo di inattività dopo il quale l’account dovrà essere considerato scaduto e garantire che l’utente ne sia informato. Alla scadenza di tale periodo di tempo, il responsabile del trattamento dovrebbe avvertire l’utente e dargli la possibilità di recuperare i dati personali: in caso di mancata risposta entro un periodo di tempo ragionevole, i suoi dati personali e relativi all’utilizzo dell’applicazione dovrebbero essere resi anonimi o cancellati in modo irreversibile.

Utenti Minorenni

Il parere affronta la questione dei minori nella sezione 3.10, sottolineando come questa particolare tipologia di utenza necessiti di tutele specifiche in quanto priva delle conoscenze ovvero delle capacità di comprensione in merito alla portata e alla delicatezza dei dati ai quali possono accedere le applicazioni, o alla portata della condivisione di dati con terzi per scopi pubblicitari.

A tale scopo, oltre a ricordare il parere 2/2009 sulla protezione dei dati personali dei minori (WP 160) che tratta l’argomento nella sua prospettiva generale, vengono fatte le seguenti raccomandazioni specifiche per lo sviluppo di applicazioni:

Gli sviluppatori di applicazioni e altri responsabili del trattamento dei dati dovrebbero prestare attenzione al limite di età che definisce i minori nella legislazione nazionale, dove il consenso dei genitori al trattamento dei dati è un requisito indispensabile per il trattamento legittimo dei dati nelle applicazioni. Laddove sia possibile ottenere legalmente il consenso di un minore e l’applicazione debba essere utilizzata da un bambino o un minore, il responsabile del trattamento dei dati dovrebbe tenere conto della comprensione e dell’attenzione potenzialmente limitate del minore in merito alle informazioni sul trattamento dei dati. A causa della vulnerabilità generale dei minori e considerando che i dati personali devono essere trattati lealmente e lecitamente, i responsabili del trattamento di dati di minori dovrebbero essere anche più rigorosi nel rispettare i principi di minimizzazione dei dati e limitazione della finalità. Nello specifico, i responsabili del trattamento non dovrebbero trattare dati di minori, direttamente o indirettamente, a fini di pubblicità comportamentale, poiché è al di fuori della portata della comprensione di un minore e pertanto supera i limiti del trattamento lecito.

Nel paragrafo di cui sopra si evince in modo evidente il divieto di qualsiasi tipo di profilazione, con particolare riguardo alla profilazione comportamentale (behavioural advertising).

Questo pone un problema non da poco, in quanto non è sempre facile accertare – né per gli sviluppatori, né per gli app store – che l’utente abbia effettivamente compiuto la maggiore età e potersi quindi regolare di conseguenza.

Privacy by Design e Privacy by Default

Prima di concludere questa analisi è opportuno menzionare la preziosa definizione data (sezione 3.3.2) ai concetti di Privacy by Design e Privacy by Default, destinati a diventare punti chiave nel GDPR. Tale definizione è particolarmente rilevante in quanto altamente contestualizzata in relazione allo sviluppo di sistemi operativi, API e applicazioni:

Il concetto di “privacy by design”, o privacy nella progettazione, è un principio importante a cui si fa riferimento indirettamente già nella direttiva sulla protezione dei dati e che, insieme alla “privacy by default”, o privacy di default, emerge più chiaramente nella direttiva e-privacy e richiede ai produttori di un dispositivo o di un’applicazione di tenere conto della protezione dei dati fin dall’inizio della progettazione. La privacy by design è richiesta espressamente per la progettazione di apparecchiature di telecomunicazione, come previsto dalla direttiva riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione. Di conseguenza, i produttori di OS e dispositivi, insieme agli app store, svolgono un ruolo di notevole responsabilità nel fornire garanzie per la protezione dei dati personali e della vita privata degli utenti di applicazioni, anche assicurando la disponibilità di meccanismi adeguati per informare ed educare l’utente finale in merito a quello che le applicazioni possono fare e a quali dati sono in grado di accedere, nonché offrendo agli utenti le opportune impostazioni per modificare i parametri del trattamento.

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan