Legge Privacy e App
1 Ottobre 2019
Suona la sveglia del mio smartwatch, scelgo della musica dalla playlist per convincermi ad alzarmi dal letto, controllo il meteo per capire cosa mi aspetta fuori e dopo aver visto che la giornata promette sole, chiedo nel gruppo chat di amici chi vuole fare una gita in una meta ad un’oretta di navigatore.
In pochi minuti ho sfruttato il potenziale di una piccola parte delle app scaricate sul mio cellulare, in questo caso utili per organizzare la giornata ed essere sempre in contatto col mondo, ma non mancano quelle più banali di giochi, svago o shopping.
Bene… sono attività che facciamo tutti i giorni ma ci siamo mai posti, a livello di legge privacy, il problema di come vengono gestiti i nostri dati che le applicazioni chiedono in cambio del servizio?
Basterebbe leggere le autorizzazioni richieste per accedere alle informazioni contenute in rubrica, galleria, calendario, microfono… per rendersi conto che dietro l’icona che clicchiamo c’è una miriade di operatori, sviluppatori, produttori, rivenditori che a diverso titolo avranno accesso a questi dati da sfruttare a livello commerciale.
A tal proposito il giornalista del The Washington Post Geoffrey Fowler ha fatto mettere sotto controllo il proprio smartphone per capirne il comportamento durante la notte. Ebbene, il risultato è che in una settimana ha scambiato dati per più di 5.000 volte con società sparse in tutto il mondo legittimate accettando le condizioni di servizio grazie al nostro consenso.
Siamo però veramente consapevoli di dove vanno a finire, come vengono utilizzate, protette e non ultimo archiviate o cancellate le nostre informazioni?
Ci ha pensato il Gruppo di lavoro WP29, ora EDPB, nel parere 2/2013 in cui sono stati affrontati diversi temi in ambito legge privacy:
– 1 Legge applicabile
– 2 Correttezza del trattamento
– 3 Consenso
– 4 Misure di sicurezza
1 Legge applicabile
Sappiamo che il Regolamento Europeo GDPR secondo l’art. 3 è applicabile in ambito territoriale anche alle aziende extra europee che offrono beni e/o servizi a cittadini dell’Unione. Questo parametro fa sì che anche le software house della Silicon Valley o dell’estremo oriente debbano sottostare ai requisiti di accountability richiesti al Titolare del trattamento dall’art. 5.2, ovvero determinare le finalità, i mezzi e il profilo della sicurezza basandosi sui concetti di privacy by design e privacy by default espressi dall’articolo 25.
2 Correttezza del trattamento
Come scritto nella prima sezione dell’articolo, la maggior parte delle applicazioni chiede l’accesso ad una quantità di dati spesso sproporzionata con l’effettivo utilizzo della stessa, scontrandosi col principio di minimizzazione previsto all’articolo 5.1.c della legge privacy che prevede la raccolta dei soli dati necessari rispetto alle finalità di trattamento. Fondamentale poi è definire i ruoli dei soggetti coinvolti, identificando Titolare e Responsabili per sapere a chi rivolgersi in caso di esercizio dei diritti.
3 Consenso
La base giuridica applicata viene identificata nel consenso richiesto al download, che dovrebbe essere libero, specifico, informato e volontario. Spesso ci si trova di fronte ad una schermata infinita di termini e condizioni che l’utente accetta senza neanche leggere… attenzione! È proprio lì dentro che si dice a cosa vogliono avere accesso e, quanto meno, verificate la possibilità di disattivare alcune funzionalità se non indispensabili.
4 Misure di sicurezza
Restando in campo normativo, l’art. 32 del GDPR prevede che, in base allo stato dell’arte, dei costi e della tipologia di dati, vengano messe in atto misure tecniche e organizzative a garanzia di un livello di sicurezza adeguato. Questo significa ad esempio adottare cifratura o pseudonimizzazione dei dati, assicurare i parametri di R.I.D. (riservatezza, integrità e disponibilità), testare i sistemi per verificarne la tenuta e prevedere una procedura per notificare al Garante Privacy ed eventualmente agli interessati un possibile Data Breach.
Da non sottovalutare poi un potenziale trasferimento di dati al di fuori dell’Unione Europea, quasi scontato poiché la maggior parte degli sviluppatori si appoggia a server sparsi per il mondo sfruttando le condizioni economiche più vantaggiose. In assenza di decisioni di adeguatezza della Commissione (art. 45) o garanzie adeguate (art.46), non ci viene assicurata una corretta tutela secondo quanto previsto dal Regolamento Europeo.
Una garanzia in più ce la offre la policy di Google che monitora le app messe a disposizione per il download informando che:
“Le app su Google Play devono inoltre essere conformi alle norme di Google Play. Google rimuove le app che violano queste norme. Google ha anche sistemi che analizzano le nuove app, le app esistenti e gli account sviluppatore per proteggere gli utenti da software potenzialmente dannoso.”
Detto ciò, a parte qualche nostalgico allarmato che tornerà a stendere la mappa Michelin sul cofano dell’auto, cerchiamo di diventare più informati e consapevoli sulla gestione dei nostri dati senza abbandonare la tecnologia, utile e preziosa se usata nel modo corretto.
