L'approfondimento

App e GDPR, tutti gli aspetti legali da considerare nel trattamento dei dati

Adeguate misure di sicurezza, corretta individuazione di titolare e responsabile del trattamento, consenso: ecco tutti gli ambiti cui è necessario prestare attenzione affinché il trattamento dei dati tramite app sia svolto in maniera compliant alle indicazioni del GDPR

30 Dic 2021
Z
Paola Zanellati

Consulente Privacy

Le app per device mobili consentono di svolgere moltissime attività considerato che gli smartphone e i tablet sono parte di noi e non ne possiamo più fare a meno nella quotidianità: è importante approfondire quali sono i problemi di natura legale e di diritto, alla luce del GDPR, che nascono dal loro sviluppo e il loro utilizzo.

Va sottolineato, infatti, che un’app è un software che permette di interconnettersi con le informazioni (dati personali) e gli strumenti su cui è installata. Potrebbe richiedere l’accesso alle immagini, ai contatti in rubrica, l’accesso al microfono e alla fotocamera, l’accesso ai file in memoria, l’accesso ai dati sulla geolocalizzazione, la gestione dei cookie.

App e trattamento dati, cosa dice il GDPR

Pensiamo per esempio alla possibilità di avere l’interessato in uno Stato, lo sviluppatore in un altro Stato, il produttore in un altro Stato ancora. In base a quanto prescritto dall’art. 3 del GDPR “… si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione… si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
  1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”;
  3. il consenso preventivo.

Condizione indispensabile per il trattamento di dati personali attraverso le app resta il consenso preventivo all’installazione, in quanto spesso i dati memorizzati sul dispositivo possono essere condivisi. Il consenso per essere valido deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato…” (ai sensi della definizione di cui all’articolo 4, n. 11 del GDPR).

Cyber security della supply chain: strumenti, approcci e soluzioni

L’applicazione del principio di minimizzazione

Se il trattamento dei dati personali è eccessivo rispetto alla finalità, si determina la mancata applicazione del principio di minimizzazione, anche se l’utente ha prestato consenso, lo sviluppatore dell’applicazione non disporrà di un fondamento giuridico valido, violando così i principi cardine su cui si fonda il GDPR.

Inoltre, si ricorda che, ai sensi dell’art. 7 del GDPR, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.

GDPR e app, come garantire la sicurezza

Si ricorda che l’art. 32 del Regolamento Europeo 2016/679 stabilisce che “tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Le misure tecniche ed organizzative di uso comune da applicare sono:

  1. policy e procedure interne;
  2. cifratura dei dati personali;
  3. tempi di conservazione dei dati che devono essere sempre aggiornati, esatti e corretti;
  4. capacità di ripristinare nel più breve tempo possibile l’accesso ai dati in caso di data breach;
  5. pseudonimizzazione dei dati personali;
  6. implementazione della gestione del rischio tenendo presente il nuovo fronte di sicurezza che si apre con le app;
  7. aggiornare il registro del trattamento che dovrà essere implementato per i dati trattati dalle app.

Dipendenti e app: a cosa fare attenzione

Nel caso l’installazione di app avvenisse su un device dato in uso a un dipendente: oltre a ciò che è stato descritto in precedenza dovremmo fare un riferimento all’art. 4 della L. 300/70. Nel nostro ordinamento persiste un generale divieto di controllare a distanza l’attività dei lavoratori e di installare apparecchiature specificamente preordinate alla verifica dell’osservanza dei doveri di diligenza, nonché della correttezza dell’esecuzione della prestazione.

L’art. 4 L. n. 300/1970, nel nuovo testo, prevede una distinzione tra strumenti di controllo a distanza e strumenti di lavoro; inoltre, stabilisce i limiti di utilizzabilità dei dati raccolti attraverso questi strumenti, in relazione alle norme in materia di privacy.

Sono ammessi solo applicativi necessari e strettamente funzionali alla prestazione lavorativa, se tali strumenti diventano un mezzo affinché il datore di lavoro possa controllare la prestazione lavorativa (localizzazione o filtraggio) allora tali modifiche possono avvenire solo in presenza di autorizzazione dall’INL o accordo sindacale.

Le indicazioni del Garante privacy italiano

Il Garante privacy a tal fine si è espresso con il Parere del 13 luglio 2016. Il legame tra le APP che consentono la geolocalizzazione e la normativa sulla privacy costituisce un aspetto che non va sottovalutato: gli sviluppatori già in fase di progettazione e di conseguenza i Titolari del trattamento sono tenuti a fornire informativa dettagliata circa ciascun dispositivo e le modalità di suo utilizzo.

Può anche succedere che la disciplina sui controlli a distanza sia stata rispettata, mentre quella in materia di privacy no perché non è stata resa l’informativa: la conseguenza è che i dati raccolti – da utilizzare ai fini disciplinari – sono inutilizzabili. Stessa conseguenza si ha anche quando l’informativa è stata puntualmente messa a disposizione ma non risulta adeguata o idonea a rappresentare le finalità e modalità del trattamento dei dati.

Gli adempimenti da seguire affinché il trattamento sia conforme sono:

  1. rispetto della procedura prevista dall’art. 4 legge 300/1970;
  2. vanno individuate in maniera chiara e ben comprensibile le ragioni per le quali l’impresa ha deciso di utilizzare strumenti che permettono la geolocalizzazione;
  3. il software deve permettere al dipendente di attivarlo e disattivarlo in modo da essere utilizzato soltanto nell’orario di lavoro;
  4. l’applicazione deve essere facilmente identificabile sul dispositivo in modo da capire se e quando è attiva;
  5. il software deve essere costruito in modo tale da non avviarsi in automatico, da non registrare e/o interagire (anche in background) con le altre applicazione del dispositivo;
  6. l’invio dei dati di localizzazione non deve essere continua e non deve essere possibile la storicizzazione dei trattamenti, pertanto i dati devono essere man mano eliminati all’arrivo degli aggiornamenti (definire una policy di retention);
  7. utilizzo di un canale criptato di trasmissione;
  8. chi accede ai dati deve essere opportunamente incaricato;
  9. l’azienda deve rendere nota ai propri dipendenti un’opportuna e completa informativa ex art. 13 GDPR;
  10. devono essere verificate le misure di sicurezza ex art. 32 GDPR;
  11. deve essere valutata la necessità di effettuare una DPIA ex art. 35 GDPR.

L’intervento dell’INL

Significativa è la nota emanata dell’INL n. 9728 del 12 novembre 2019 su richiesta di un gruppo di aziende operanti nel settore dei fornitori di servizi di trasporto/corriere. Con tale nota l’Ispettorato ha espresso parere positivo sull’installazione di un applicativo che consentiva la geolocalizzazione dei lavoratori durante l’attività lavorativa, attraverso lo smartphone assegnato a ciascun dipendente.

Secondo detto parere: “l’applicazione in questione, sviluppata dalla società committente, è di proprietà dell’impresa che gestisce il servizio esternalizzato e ciò consente ad entrambe di utilizzare l’app per conoscere in tempo reale la posizione del lavoratore e la correttezza e tempestività delle consegne. Tale applicativo consente, inoltre, ai lavoratori di visualizzare l’elenco delle consegne da effettuare, di concludere il processo di consegna facendo apporre la firma al cliente in formato digitale e di comunicare al proprio datore di lavoro eventuali anomalie del veicolo o richieste di aiuto. Il sistema appare inoltre funzionale ad assicurare le esigenze di sicurezza del lavoro, sia perché agevola il reperimento del corriere in caso di emergenza, sia perché i drivers possono comunicare con il proprio datore di lavoro eventuali anomalie del veicolo e/o chiedere soccorso in caso di incidenti o malori. L’applicativo, inoltre, non consente una geolocalizzazione continua del lavoratore, ma essa si attiva solo al momento della consegna della merce e nel caso di richiesta di aiuto da parte dello stesso lavoratore e si chiude successivamente a tale richiesta”.

Conclusione

In definitiva, la privacy è incentrata sulla responsabilizzazione dei soggetti che trattano i dati personali, ai quali è richiesto di adottare comportamenti proattivi che prevengano efficacemente i possibili danni il consiglio è quello del “buon padre di famiglia” ossia di affidarvi esclusivamente a sviluppatori che siano in grado di offrire diligenza, professionalità e compliance in modo da non incorrere in sanzioni elevatissime e che mettono a rischio la web reputation della vostra azienda.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr