IL VADEMECUM

GDPR e app mobile: le linee guida dell’autorità privacy spagnola

L’Autorità privacy spagnola – Agencia Española de Proteccion de Datos (AEPD) – ha pubblicato un utile vademecum sulla protezione dei dati personali rivolto agli sviluppatori di app mobile. Ecco gli obblighi a cui sono soggetti i titolari del trattamento nell’ottica del principio di accountability sancito dal GDPR

25 Set 2019
M
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Nel suo recente vademecum su GDPR e app mobile rivolto agli sviluppatori, l’Autorità privacy spagnola – Agencia Española de Proteccion de Datos (AEPD) indica gli obblighi a cui sono soggetti i titolari del trattamento nell’ottica del principio di responsabilizzazione (accountability) stabilito dal GDPR.

Per quanto riguarda, in particolare, gli obblighi di informazione, le app per dispositivi mobili devono rispettare alcuni criteri di conformità che richiedono una particolare attenzione da parte dei titolari del trattamento (tra i quali figurano gli sviluppatori delle app).

GDPR e app mobile: requisiti privacy

Vediamo quali sono i 26 punti che l’Autorità privacy di Madrid reputa necessari per la tematica in esame:

  • Le informazioni fornite agli utenti in merito al trattamento dei loro dati personali devono essere conformi agli obblighi previsti dagli Artt. 13 e 14 del GDPR.
  • Queste informazioni sul trattamento dei dati devono essere disponibili sia nell’app stessa che nel “negozio virtuale” (App Store, Google Play). In questo modo, l’utente potrà consultarle prima di installare l’app, ovvero in qualsiasi momento durante il suo utilizzo successivo all’installazione dell’app sul dispositivo mobile.
  • L’accesso alle informazioni sul trattamento dei dati deve poter essere effettuato, in modo semplice, dall’aApp, e quest’ultima deve richiedere un numero ridotto di “interazioni” da parte dell’utente. L’AEPD consiglia, se possibile, un’interazione con massimo “due clic”, come raccomandato nelle Linee Guida del W29 in materia di trasparenza.
  • Il titolare del trattamento deve essere chiaramente identificato nella privacy policy contenuta nell’app e, nel caso di titolari del trattamento stabiliti al di fuori dell’Unione Europea che offrono le loro app agli utenti europei, devono aver nominato un Rappresentante (Art. 27 del GDPR) ben referenziato nella stessa privacy policy.
  • Le informazioni sul trattamento dei dati devono essere coerenti. Non ci possono essere “discrepanze informative” tra quanto contenuto nel “negozio virtuale” e quanto contenuto nell’app; tale regola vale anche per le app preinstallate nei dispositivi mobili in commercio (es. giochi preinstallati).
  • Le privacy policy devono essere redatte nella medesima lingua dell’utente “target”, tenendo conto dell’età e del livello di comprensione del medesimo utente. Questi aspetti sono particolarmente rilevanti nel caso di app rivolte ai minori d’età (a tal proposito è necessario ottemperare anche con quanto previsto dall’Art. 8 del GDPR).
  • La privacy policy deve essere specifica. È necessario evitare di fornire informazioni di natura generica, non specifiche dell’app. Le informazioni sul trattamento dei dati dovrebbero evitare, ad esempio, di descrivere un insieme di app (ad esempio: una privacy policy per più app) oppure altri servizi come il sito Web (reperibili altrove).
  • Le informazioni sul trattamento dei dati contenute nell’app dovrebbero fornire all’utente:
    – informazioni complete e precise in merito a quali dati e trattamenti sono necessari per il funzionamento di base dell’app (ad esempio: utilizzo della posizione del dispositivo per l’app di escursionismo);
    – quali dati e trattamenti sono facoltativi (ad esempio: per accedere ad offerte), nonché tutte le altre informazioni aggiuntive. Inoltre, le informazioni sul trattamento dei dati devono indicare i permessi che l’app può richiedere (direttamente o attraverso terzi) per l’accesso ai dati e alle risorse di sistema, nonché per quale trattamento e per quale scopo tali permessi sono richiesti e in quale misura (lettura, scrittura ecc.). Ad esempio, le informazioni sul trattamento dei dati dovrebbero descrivere se l’app elaborerà i dati solo quando viene eseguita dall’utente, ovvero ha necessità di essere sempre in esecuzione in background;
    – l’utente dovrebbe inoltre ricevere informazioni su come gestire le autorizzazioni concesse, in modo da poter decidere in qualsiasi momento se revocare o mantenere tali autorizzazioni ed a quali condizioni.
  • Quando il consenso viene utilizzato come base giuridica del trattamento, tale consenso deve essere richiesto in forma granulare (specifico), cioè selettivamente per diversi trattamenti e finalità. L’installazione e l’utilizzo dell’app non possono essere subordinati all’acquisizione del consenso per un trattamento non necessario all’utilizzo della medesima app.
  • Non bisogna utilizzare clausole ambigue o vuote come, ad esempio: “qualsiasi dato può essere raccolto, (diffuso, o conservato) a tempo indeterminato”. Oppure: “raccogliamo i tuoi dati per migliorare la tua esperienza come utente” (a quale esperienza ci si riferisce?).
  • Occorre includere informazioni specifiche sui periodi di conservazione dei dati e sulla “sorte” che tali dati avranno alla fine del periodo di conservazione.
  • Nella logica applicata alla profilazione e nel processo decisionale automatizzato è necessario fornire informazioni specifiche, ovvero un link per consultare tali informazioni, come quello utilizzato per personalizzare gli annunci pubblicitari.
  • La definizione delle finalità del trattamento e della base giuridica utilizzata (ad esempio il consenso) deve essere chiara e precisa, così come la descrizione dei dati personali raccolti per ciascuna di queste finalità.
  • È necessario fornire agli utenti le informazioni sui loro diritti alla protezione dei dati e di fornire meccanismi e procedure per esercitarli efficacemente.
  • Se presente, indicare l’esistenza di un trasferimento all’estero dei dati in modo concreto e specifico.

I titolari del trattamento che commissionano lo sviluppo, la produzione e/o l’utilizzo di app a soggetti che trattano dati “per conto” del titolare, con accesso ai dati personali degli utenti, devono garantire il rispetto dei requisiti stabiliti dal GDPR. Tali soggetti operano come responsabili del trattamento (Art. 28 del GDPR).

L’AEPD afferma che nel rapporto tra titolari e responsabili del trattamento devono essere osservati i seguenti requisiti:

  • Il trattamento deve essere disciplinato da un contratto o da un atto giuridico vincolante che stabilisca l’oggetto, la durata, la natura, la finalità del trattamento, la tipologia di dati personali, le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
  • Il contratto/atto giuridico vincolante deve stabilire espressamente che il responsabile del trattamento dei dati personali è tenuto a trattare i dati personali secondo le istruzioni documentate del titolare del trattamento, in modo che il titolare del trattamento sia a conoscenza di tutto ciò che attiene il trattamento dei dati.
  • Il contratto/atto giuridico vincolante deve prevedere che il responsabile del trattamento adotti le misure indicate dal titolare del trattamento per quanto riguarda la sicurezza (Art. 32 del GDPR), comprese le best practice nonché la protezione dei dati fin dalla progettazione e per impostazione predefinita (Art. 25 del GDPR).

In particolare, per l’AEPD è necessario:

  • Garantire la granularità nella gestione dei permessi di accesso alle risorse protette del sistema in conformità con le disposizioni presenti nelle informazioni sul trattamento dei dati. Un esempio è quello di limitare i permessi di accesso ad una risorsa, come ad es. una cartella, piuttosto che concedere un permesso generico di accesso alla memoria del dispositivo.
  • Rispettare le preferenze dell’utente in materia di protezione dei dati, ad esempio in termini di personalizzazione degli annunci pubblicitari.
  • Evitare l’accesso ad identificatori globali unici insieme all’identificativo pubblicitario del dispositivo, che consentirebbe di effettuare assegnazioni che consentono di rendere nulle le misure di protezione dell’utente, come la modifica dell’identificativo pubblicitario.
  • Evitare la diffusione di dati personali verso servizi analitici e pubblicitari fin dal momento del lancio dell’applicazione, senza che l’utente si possa opporre od acconsentire in maniera informata.
  • Verificare che non vi sia diffusione di dati personali senza la conoscenza del titolare del trattamento, in quanto si tratta di comunicazioni avviate da librerie di terze parti utilizzate dallo sviluppatore per estendere le funzionalità dell’applicazione o renderla economicamente vantaggiosa.
  • Evitare il trasferimento di dati personali a destinatari non specificati nelle informazioni sul trattamento dei dati che hanno il ruolo di titolari o contitolari del trattamento (Art. 26 del GDPR).
  • Evitare il trasferimento all’estero dei dati se non espressamente dichiarato nelle informazioni sul trattamento dei dati (in alcuni casi potrebbe essere necessario ricorrere al “consenso esplicito” dell’interessato).
  • Preferire l’utilizzo di metodi avanzati di cifratura delle comunicazioni di dati, affinché vi sia una garanzia aggiuntiva per la protezione dei dati degli utenti.

Ulteriori informazioni dell’AEPD

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

L’AEPD tiene a rimarcare che le informazioni fornite all’utente devono essere redatte in un linguaggio chiaro e semplice, in modo conciso, trasparente, comprensibile, facilmente accessibile e adatto all’utenza “target” che potrebbe utilizzare l’app.

In merito a quest’ultimo punto, nella redazione delle informazioni sul trattamento dei dati deve essere preso in considerazione il pubblico a cui è indirizzata la richiesta, compresa età ed educazione.

Alcuni sensori posti sul dispositivo mobile (ad esempio: cardiofrequenzimetro) sono una potenziale fonte di dati personali a cui possono accedere le app e/o le librerie di terze parti incluse nelle app.

Il sistema operativo del dispositivo mobile (ad esempio iOS, Android ecc.) protegge l’accesso a queste risorse attraverso permessi con diversi livelli di protezione.

Anche se il dispositivo mostra all’utente una notifica di richiesta di autorizzazione all’accesso a queste risorse, in molti casi, le informazioni visualizzate non sono sufficienti nel contesto del GDPR: infatti solitamente il permesso non è richiesto correttamente, poiché, tra le altre informazioni, non include la finalità del trattamento dei dati (e, quindi, il “perché” della richiesta d’autorizzazione).

La necessità di accedere alle risorse del dispositivo deve essere adeguatamente informata nella privacy policy dell’app, in modo che l’utente possa decidere liberamente e facilmente se concedere o meno l’autorizzazione. In secondo luogo, il titolare del trattamento deve assicurarsi di rispettare tutte le disposizioni previste dal GDPR, assicurandosi di trattare i dati con tutte le misure necessarie, nel pieno rispetto del principio di responsabilizzazione (Artt. 5.2 e 24 del GDPR).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5