L'approfondimento

App e GDPR, tutti gli aspetti legali da considerare nel trattamento dei dati

Adeguate misure di sicurezza, corretta individuazione di titolare e responsabile del trattamento, consenso: ecco tutti gli ambiti cui è necessario prestare attenzione affinché il trattamento dei dati tramite app sia svolto in maniera compliant alle indicazioni del GDPR

30 Dic 2021
Z
Paola Zanellati

Consulente Privacy

Le app per device mobili consentono di svolgere moltissime attività considerato che gli smartphone e i tablet sono parte di noi e non ne possiamo più fare a meno nella quotidianità: è importante approfondire quali sono i problemi di natura legale e di diritto, alla luce del GDPR, che nascono dal loro sviluppo e il loro utilizzo.

Va sottolineato, infatti, che un’app è un software che permette di interconnettersi con le informazioni (dati personali) e gli strumenti su cui è installata. Potrebbe richiedere l’accesso alle immagini, ai contatti in rubrica, l’accesso al microfono e alla fotocamera, l’accesso ai file in memoria, l’accesso ai dati sulla geolocalizzazione, la gestione dei cookie.

App e trattamento dati, cosa dice il GDPR

Pensiamo per esempio alla possibilità di avere l’interessato in uno Stato, lo sviluppatore in un altro Stato, il produttore in un altro Stato ancora. In base a quanto prescritto dall’art. 3 del GDPR “… si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione… si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
  1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”;
  3. il consenso preventivo.

Condizione indispensabile per il trattamento di dati personali attraverso le app resta il consenso preventivo all’installazione, in quanto spesso i dati memorizzati sul dispositivo possono essere condivisi. Il consenso per essere valido deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato…” (ai sensi della definizione di cui all’articolo 4, n. 11 del GDPR).

Cyber security della supply chain: strumenti, approcci e soluzioni

L’applicazione del principio di minimizzazione

Se il trattamento dei dati personali è eccessivo rispetto alla finalità, si determina la mancata applicazione del principio di minimizzazione, anche se l’utente ha prestato consenso, lo sviluppatore dell’applicazione non disporrà di un fondamento giuridico valido, violando così i principi cardine su cui si fonda il GDPR.

Inoltre, si ricorda che, ai sensi dell’art. 7 del GDPR, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.

GDPR e app, come garantire la sicurezza

Si ricorda che l’art. 32 del Regolamento Europeo 2016/679 stabilisce che “tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Le misure tecniche ed organizzative di uso comune da applicare sono:

  1. policy e procedure interne;
  2. cifratura dei dati personali;
  3. tempi di conservazione dei dati che devono essere sempre aggiornati, esatti e corretti;
  4. capacità di ripristinare nel più breve tempo possibile l’accesso ai dati in caso di data breach;
  5. pseudonimizzazione dei dati personali;
  6. implementazione della gestione del rischio tenendo presente il nuovo fronte di sicurezza che si apre con le app;
  7. aggiornare il registro del trattamento che dovrà essere implementato per i dati trattati dalle app.

Dipendenti e app: a cosa fare attenzione

Nel caso l’installazione di app avvenisse su un device dato in uso a un dipendente: oltre a ciò che è stato descritto in precedenza dovremmo fare un riferimento all’art. 4 della L. 300/70. Nel nostro ordinamento persiste un generale divieto di controllare a distanza l’attività dei lavoratori e di installare apparecchiature specificamente preordinate alla verifica dell’osservanza dei doveri di diligenza, nonché della correttezza dell’esecuzione della prestazione.

L’art. 4 L. n. 300/1970, nel nuovo testo, prevede una distinzione tra strumenti di controllo a distanza e strumenti di lavoro; inoltre, stabilisce i limiti di utilizzabilità dei dati raccolti attraverso questi strumenti, in relazione alle norme in materia di privacy.

Sono ammessi solo applicativi necessari e strettamente funzionali alla prestazione lavorativa, se tali strumenti diventano un mezzo affinché il datore di lavoro possa controllare la prestazione lavorativa (localizzazione o filtraggio) allora tali modifiche possono avvenire solo in presenza di autorizzazione dall’INL o accordo sindacale.

Le indicazioni del Garante privacy italiano

Il Garante privacy a tal fine si è espresso con il Parere del 13 luglio 2016. Il legame tra le APP che consentono la geolocalizzazione e la normativa sulla privacy costituisce un aspetto che non va sottovalutato: gli sviluppatori già in fase di progettazione e di conseguenza i Titolari del trattamento sono tenuti a fornire informativa dettagliata circa ciascun dispositivo e le modalità di suo utilizzo.

Può anche succedere che la disciplina sui controlli a distanza sia stata rispettata, mentre quella in materia di privacy no perché non è stata resa l’informativa: la conseguenza è che i dati raccolti – da utilizzare ai fini disciplinari – sono inutilizzabili. Stessa conseguenza si ha anche quando l’informativa è stata puntualmente messa a disposizione ma non risulta adeguata o idonea a rappresentare le finalità e modalità del trattamento dei dati.

Gli adempimenti da seguire affinché il trattamento sia conforme sono:

  1. rispetto della procedura prevista dall’art. 4 legge 300/1970;
  2. vanno individuate in maniera chiara e ben comprensibile le ragioni per le quali l’impresa ha deciso di utilizzare strumenti che permettono la geolocalizzazione;
  3. il software deve permettere al dipendente di attivarlo e disattivarlo in modo da essere utilizzato soltanto nell’orario di lavoro;
  4. l’applicazione deve essere facilmente identificabile sul dispositivo in modo da capire se e quando è attiva;
  5. il software deve essere costruito in modo tale da non avviarsi in automatico, da non registrare e/o interagire (anche in background) con le altre applicazione del dispositivo;
  6. l’invio dei dati di localizzazione non deve essere continua e non deve essere possibile la storicizzazione dei trattamenti, pertanto i dati devono essere man mano eliminati all’arrivo degli aggiornamenti (definire una policy di retention);
  7. utilizzo di un canale criptato di trasmissione;
  8. chi accede ai dati deve essere opportunamente incaricato;
  9. l’azienda deve rendere nota ai propri dipendenti un’opportuna e completa informativa ex art. 13 GDPR;
  10. devono essere verificate le misure di sicurezza ex art. 32 GDPR;
  11. deve essere valutata la necessità di effettuare una DPIA ex art. 35 GDPR.

L’intervento dell’INL

Significativa è la nota emanata dell’INL n. 9728 del 12 novembre 2019 su richiesta di un gruppo di aziende operanti nel settore dei fornitori di servizi di trasporto/corriere. Con tale nota l’Ispettorato ha espresso parere positivo sull’installazione di un applicativo che consentiva la geolocalizzazione dei lavoratori durante l’attività lavorativa, attraverso lo smartphone assegnato a ciascun dipendente.

Secondo detto parere: “l’applicazione in questione, sviluppata dalla società committente, è di proprietà dell’impresa che gestisce il servizio esternalizzato e ciò consente ad entrambe di utilizzare l’app per conoscere in tempo reale la posizione del lavoratore e la correttezza e tempestività delle consegne. Tale applicativo consente, inoltre, ai lavoratori di visualizzare l’elenco delle consegne da effettuare, di concludere il processo di consegna facendo apporre la firma al cliente in formato digitale e di comunicare al proprio datore di lavoro eventuali anomalie del veicolo o richieste di aiuto. Il sistema appare inoltre funzionale ad assicurare le esigenze di sicurezza del lavoro, sia perché agevola il reperimento del corriere in caso di emergenza, sia perché i drivers possono comunicare con il proprio datore di lavoro eventuali anomalie del veicolo e/o chiedere soccorso in caso di incidenti o malori. L’applicativo, inoltre, non consente una geolocalizzazione continua del lavoratore, ma essa si attiva solo al momento della consegna della merce e nel caso di richiesta di aiuto da parte dello stesso lavoratore e si chiude successivamente a tale richiesta”.

Conclusione

In definitiva, la privacy è incentrata sulla responsabilizzazione dei soggetti che trattano i dati personali, ai quali è richiesto di adottare comportamenti proattivi che prevengano efficacemente i possibili danni il consiglio è quello del “buon padre di famiglia” ossia di affidarvi esclusivamente a sviluppatori che siano in grado di offrire diligenza, professionalità e compliance in modo da non incorrere in sanzioni elevatissime e che mettono a rischio la web reputation della vostra azienda.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4