di Paolo Balboni

Il tema oggetto delle ultime Linee guida emanate dal Garante europeo per la protezione dei dati personali (“GEPD”) a novembre 2016 è dedicato alle applicazioni per dispositivi mobile sviluppate dagli organismi dell’Unione europea.

La preoccupazione principale del GEPD è quella di garantire la protezione dei dati personali degli utenti di tali applicazioni, in accordo con quanto previsto dal Regolamento 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

Le linee guida pertanto si propongono lo scopo di fornire suggerimenti sul rispetto della normativa in materia di protezione dei dati personali delle applicazioni messe a disposizione dalle istituzioni dell’UE, ed in particolare fissano dei paramenti da seguire durante le fasi di sviluppo e della gestione delle fasi durante le quali gli utenti interagiscono con le istituzioni attraverso la rete.

Le linee guida del Garante Europeo in materia di App mobile e Privacy

In precedenza, una prima indicazione sugli aspetti privacy legati allo sviluppo ed alla fornitura di applicazioni per dispositivi mobili è provenuta dal Gruppo di lavoro ex Art.29 (“A29WP”) con il Parere 2/2013 sulle applicazioni per dispositivi intelligenti. L’ambito di applicazione del parere è certamente diverso, in quanto è rivolto allo sviluppo di applicazioni commerciali, e prende in esame tutti i ruoli che hanno parte attiva nel processo di produzione e gestione dell’applicazione, come ad esempio lo sviluppatore dell’applicazione, lo sviluppatore del sistema operativo, il produttore del dispositivo, il distributore e l’utente, e quali gli ambiti di ciascuno secondo la direttiva 95/46.

Il GEPD riconosce la validità di tale parere e dichiara che il suo contenuto è perfettamente accoglibile anche per quanto riguarda il caso delle applicazioni che provengono da organi dell’UE.

La prima raccomandazione del GEPD è quella di valutare la tipologia di dati che l’applicazione tratterà, personali o meno, ed in che modo essi vengono trattati. Raccomandazione che ai più può forse risultare banale, ma che non lo è. Il GEPD, a sostegno dell’analisi, riporta i dati di un recente sondaggio condotto dall’Information Commissioner Office del Regno Unito che ha mostrato come il 62% delle persone intervistate e che hanno scaricato almeno un’applicazione per dispositivi mobili siano preoccupati per il modo in cui tali app fanno uso dei loro dati personali; il 49% di utenti di app ha ad un certo momento deciso di non scaricare più applicazioni a causa di preoccupazioni legate alla privacy.

Dunque, prosegue il GEPD, gli organismi dell’UE interessati dovrebbero valutare ogni aspetto ed assumere decisioni adeguate sulla progettazione ed il funzionamento delle applicazioni sulla base di una valutazione dei rischi sulla sicurezza delle informazioni, facendo richiamo all’art. 22 del Regolamento 45/2001.

Inoltre, l’applicazione dovrebbe raccogliere e trattare esclusivamente i dati strettamente necessari per eseguire le finalità previste.

L’informativa è un altro degli elementi essenziali da tenere in considerazione. Il GEPD raccomanda che l’utente sia informato e che gli sia richiesto il consenso prima di procedere all’installazione dell’applicazione sul suo dispositivo. Tra le informazioni che devono essere fornite all’utente il GEPD individua: la tipologia di dati trattati e le finalità del trattamento; le procedure e gli strumenti utilizzati per ottenere i dati, e la possibilità per l’utente di fare scelte informate sui vari tipi di trattamento posti in essere; la possibilità per l’utente di manifestare il proprio consenso liberamente, senza l’approccio del “prendere o lasciare”.

È opportuno valutare come un componente o servizio fornito da terze parti raccoglie e tratta i dati forniti, prima di integrare tale componente nell’applicazione. In particolare, l’organismo che sviluppa la applicazione: deve valutare se possono avvenire trasferimenti di dati verso server gestiti da terze parti, e se tali trasferimenti possono avvenire anche al di fuori dell’UE; tenere presente che i servizi messi a disposizione da terzi possono includere anche software developmentkits (SDK) che forniscono la possibilità di implementare l’app con, ad esempio, visualizzazione di foto o mappe, come anche di dare all’utente la possibilità di comunicare nell’applicazione attraverso i social network; valutare il modo in cui tali servizi di terzi possono ricevere i dati direttamente dall’applicazione e trattarli, ad esempio per eseguire analisi sull’utilizzo dell’app o per mettere a disposizione determinati ulteriori servizi dai loro server centrali.

Particolare attenzione anche su quanto suggerito dal GEPD sulla gestione dei rischi alla sicurezza e sulle misure da implementare durante le fasi di sviluppo e gestione dell’app; approntare procedure interne utili a gestire violazioni di dati e alle notifiche da effettuarsi da parte del titolare del trattamento; la raccomandazione all’organismo interessato di adottare procedure che seguano best practices esistenti e già adottate a livello delle istituzioni europee nello sviluppo di applicazioni per dispositivi mobili.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.