di Paolo Balboni
Il tema oggetto delle ultime Linee guida emanate dal Garante europeo per la protezione dei dati personali (“GEPD”) a novembre 2016 è dedicato alle applicazioni per dispositivi mobile sviluppate dagli organismi dell’Unione europea.
La preoccupazione principale del GEPD è quella di garantire la protezione dei dati personali degli utenti di tali applicazioni, in accordo con quanto previsto dal Regolamento 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
Le linee guida pertanto si propongono lo scopo di fornire suggerimenti sul rispetto della normativa in materia di protezione dei dati personali delle applicazioni messe a disposizione dalle istituzioni dell’UE, ed in particolare fissano dei paramenti da seguire durante le fasi di sviluppo e della gestione delle fasi durante le quali gli utenti interagiscono con le istituzioni attraverso la rete.
Le linee guida del Garante Europeo in materia di App mobile e Privacy
In precedenza, una prima indicazione sugli aspetti privacy legati allo sviluppo ed alla fornitura di applicazioni per dispositivi mobili è provenuta dal Gruppo di lavoro ex Art.29 (“A29WP”) con il Parere 2/2013 sulle applicazioni per dispositivi intelligenti. L’ambito di applicazione del parere è certamente diverso, in quanto è rivolto allo sviluppo di applicazioni commerciali, e prende in esame tutti i ruoli che hanno parte attiva nel processo di produzione e gestione dell’applicazione, come ad esempio lo sviluppatore dell’applicazione, lo sviluppatore del sistema operativo, il produttore del dispositivo, il distributore e l’utente, e quali gli ambiti di ciascuno secondo la direttiva 95/46.
Il GEPD riconosce la validità di tale parere e dichiara che il suo contenuto è perfettamente accoglibile anche per quanto riguarda il caso delle applicazioni che provengono da organi dell’UE.
La prima raccomandazione del GEPD è quella di valutare la tipologia di dati che l’applicazione tratterà, personali o meno, ed in che modo essi vengono trattati. Raccomandazione che ai più può forse risultare banale, ma che non lo è. Il GEPD, a sostegno dell’analisi, riporta i dati di un recente sondaggio condotto dall’Information Commissioner Office del Regno Unito che ha mostrato come il 62% delle persone intervistate e che hanno scaricato almeno un’applicazione per dispositivi mobili siano preoccupati per il modo in cui tali app fanno uso dei loro dati personali; il 49% di utenti di app ha ad un certo momento deciso di non scaricare più applicazioni a causa di preoccupazioni legate alla privacy.
Dunque, prosegue il GEPD, gli organismi dell’UE interessati dovrebbero valutare ogni aspetto ed assumere decisioni adeguate sulla progettazione ed il funzionamento delle applicazioni sulla base di una valutazione dei rischi sulla sicurezza delle informazioni, facendo richiamo all’art. 22 del Regolamento 45/2001.
Inoltre, l’applicazione dovrebbe raccogliere e trattare esclusivamente i dati strettamente necessari per eseguire le finalità previste.
L’informativa è un altro degli elementi essenziali da tenere in considerazione. Il GEPD raccomanda che l’utente sia informato e che gli sia richiesto il consenso prima di procedere all’installazione dell’applicazione sul suo dispositivo. Tra le informazioni che devono essere fornite all’utente il GEPD individua: la tipologia di dati trattati e le finalità del trattamento; le procedure e gli strumenti utilizzati per ottenere i dati, e la possibilità per l’utente di fare scelte informate sui vari tipi di trattamento posti in essere; la possibilità per l’utente di manifestare il proprio consenso liberamente, senza l’approccio del “prendere o lasciare”.
È opportuno valutare come un componente o servizio fornito da terze parti raccoglie e tratta i dati forniti, prima di integrare tale componente nell’applicazione. In particolare, l’organismo che sviluppa la applicazione: deve valutare se possono avvenire trasferimenti di dati verso server gestiti da terze parti, e se tali trasferimenti possono avvenire anche al di fuori dell’UE; tenere presente che i servizi messi a disposizione da terzi possono includere anche software developmentkits (SDK) che forniscono la possibilità di implementare l’app con, ad esempio, visualizzazione di foto o mappe, come anche di dare all’utente la possibilità di comunicare nell’applicazione attraverso i social network; valutare il modo in cui tali servizi di terzi possono ricevere i dati direttamente dall’applicazione e trattarli, ad esempio per eseguire analisi sull’utilizzo dell’app o per mettere a disposizione determinati ulteriori servizi dai loro server centrali.
Particolare attenzione anche su quanto suggerito dal GEPD sulla gestione dei rischi alla sicurezza e sulle misure da implementare durante le fasi di sviluppo e gestione dell’app; approntare procedure interne utili a gestire violazioni di dati e alle notifiche da effettuarsi da parte del titolare del trattamento; la raccomandazione all’organismo interessato di adottare procedure che seguano best practices esistenti e già adottate a livello delle istituzioni europee nello sviluppo di applicazioni per dispositivi mobili.