L'informativa privacy “nutrition label” di Apple: ecco perché si impone più trasparenza agli sviluppatori di app - Cyber Security 360

L'approfondimento

L’informativa privacy “nutrition label” di Apple: ecco perché si impone più trasparenza agli sviluppatori di app

Apple ha disposto un’informativa “nutrition label”, cioè un framework informativo che gli sviluppatori di app dovranno compilare, per dare immediatamente agli interessati un riassunto dei trattamenti dati svolti: lo strumento non sostituisce l’informativa privacy completa, ma punta verso una maggiore trasparenza

04 Dic 2020
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Apple ha creato e imposto un framework informativo che gli sviluppatori dovranno compilare così da fornire in via immediata all’utente uno spaccato visivamente istruttivo dei trattamenti dati posti in essere. Ovviamente, ogni altro approfondimento sarà sempre demandato all’informativa privacy completa, con relative problematiche. Questo nuovo strumento di Apple è stato indicato come “nutrition label”: vediamo meglio di che si tratta.

Il contesto in cui è nata l’informativa privacy “nutrition label”

Apple, nella sua politica di aggiornamento del sistema operativo iOS 14, ha rilasciato numerose novità aventi impatto privacy, come ad esempio la limitazione alla geolocalizzazione o l’indicazione grafica dell’uso di videocamera o microfono.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

L’azienda di Cupertino ha deciso di dare più tempo agli sviluppatori delle proprie app, vendute tramite l’Apple Store, per adeguare un aspetto fondamentale e legato all’informativa privacy, dovuta (in Europa) ai sensi degli artt. 13-14 GDPR, oltre che – in varia misura – ai sensi di alcune leggi statali USA come il CCPA californiano.

Fino ad oggi Apple aveva imposto agli sviluppatori di allegare una propria informativa privacy nella vetrina di vendita dello Store, mediante link a un sito web terzo ove trovare il documento.

Aspetto facilmente trascurabile: non operando Apple – perlomeno a monte – una verifica su cosa sia indicato nell’informativa allegata, molti developer ne hanno approfittato creando ad es. collegamenti abusivi a pagine terze che non c’entrano nulla.

Tacendo di chi magari ha linkato un’informativa con un URL poi modificato nel tempo e mai aggiornato (per dimenticanza o mancata gestione di uno storico delle informative, frangente trascuratissimo nella prassi), regalando all’utente un bel messaggio di errore 404 o simile.

L’8 dicembre 2020 è stato battezzato quale scadenza da Apple per mutare indirizzo, dopo aver creato la nutrition label.

Che cos’è la “nutrition label”

Il modo migliore di spiegare cosa sia un’informativa “nutrition label” è mostrare un esempio ormai classico, l’informativa della Bell Group.

Nell’ambito del benvenuto e sempre crescente interesse per il tema del legal design (promosso anzitutto, ma non solo, dalla ricercatrice Margaret Hagan con il suo gruppo dell’università di Stanford), l’informativa così strutturata è dunque un plastico caso di ciò che grafica e meta-elaborazione dei concetti da trasmettere permettono di raggiungere, migliorando la comprensione e l’impatto nell’esperienza utente.

Come si vede nell’esempio, si può capire velocemente quali attività di trattamento dati, per quali dati e su quale base (opt-in oppure opt-out, in Europa diremmo consenso o legittimo interesse) avverranno.

Con un’immediatezza senza confronti rispetto alla mera versione testuale, la quale certo non sparisce ma resta come secondo e definitivo “strato” di approfondimento e supporto giuridico.

Detto in due parole: l’informativa in guisa di “etichetta nutrizionale” (dall’uso di analoghe tabelle sulle confezioni di prodotti alimentari) comporta una sintesi grafica di alcuni aspetti chiave del trattamento, in forma tabellare o analoga, con una semplificata rappresentazione di alcuni punti chiave della data protection.

Più che di privacy by design, invocata dal GDPR, si potrebbe parlare di “consapevolezza by design” (accennata anche nel GDPR circa la trasparenza e l’uso aggiuntivo di icone, ancora non ufficialmente “emanate” come standard da parte della Commissione Europea), ponendo mente al risultato finale: focalizzazione sulla presa di coscienza dell’utente (che nel legal design è sempre al centro di qualsiasi ragionamento), prima all’attenzione e poi alla sua miglior possibile assimilazione di determinati costrutti.

Risparmiando: dove è meno (meno spazio, meno tempo, meno parole, meno fatica, ecc.), dovrebbe trovarsi il più, rispetto all’information overload degli usuali documenti che – paradossalmente – frustra sempre più lo scopo di tutela dell’interessato. D’altronde l’informazione senza l’attenzione è pari al rumore.

La tematica è tanto affascinante quanto complessa (pensiamo alla sua interdisciplinarietà e multimedialità, che include anche la comunicazione, la psicologia, ecc.) oltre che in evoluzione, qui possiamo solo accennarne.

Ben venga, allora, qualsiasi iniziativa da parte di big players come Apple in tale ottica, per quanto non “dirompente” ma certamente un passo avanti rispetto all’attuale sensibilizzazione degli utenti (quanti oggi verificano l’informativa privacy linkata nella vetrina dell’App Store?).

Auspicando che non faccia la fine dei banner per cookies, sempre più visti solo come un irritante ostacolo su cui cliccare alla rinfusa per sbarazzararsene.

Il framework informativo delle nutrition label imposto da Apple

Trattandosi di ambiente mobile iOS, Apple ha congegnato un design informativo semplice, adatto a schermi di dimensione ridotta. Si tratta di più schermate, suddivise per macro-finalità. I dati sono raggruppati per cluster predefiniti da Apple e memori forse più delle normative USA che di quelle comunitarie: troviamo ad es. Health and fitness, Financial info, Sensitive info (parzialmente sovrapponibili ai dati particolari ex. art. 9 GDPR), User Content, Identifiers.

Nelle descrizioni troviamo solo delle esemplificazioni, non prive di alcune ambiguità, ragion per cui dovrà essere sempre e solo lo sviluppatore a decidere se un determinato tipo di dati ricada in una categoria piuttosto che in un’altra.

Stesso ragionamento per le macro-finalità, tra le quali troviamo: Third-Party Advertising, Developer’s Advertising or Marketing (cioè attività di marketing diretto dello sviluppatore, distinto da quello di terzi e dunque da sommare nel caso di finalità multiple), App functionality e via dicendo.

Le macro-finalità sono associate a icone colorate, su sfondo bianco, catturando l’attenzione totale dello schermo utente grazie allo spazio “invaso” dalle dimensioni del riquadro.

A un secondo livello, per ogni schermata, troviamo le categorie di dati personali trattati nell’ambito della predetta finalità, con altre, diverse icone nere – il cromatismo è utilizzato per far comprendere intuitivamente lo scarto tra gli strati e i meta-concetti.

Un esempio di come si presenteranno le labels agli utenti è il seguente. Come si nota, pare più simile a una infografica stratificata che alla nutrition label, più elaborata, del Bell Group.

L’impatto delle nutrition label sugli sviluppatori

Da quanto appena detto emerge che lo sviluppatore oggi dovrebbe fare uno sforzo ulteriore rispetto al passato: dovrà essere preciso nell’identificare dati e finalità nonché a incasellarli nel framework, dovrà in sostanza avere il controllo dei propri trattamenti.

Dovrebbe già essere così ma speriamo che possa essere un’occasione, per chi già non lo fosse, per allinearsi a quanto richiesto sia dalla normativa che dalle App Store Review Guidelines imposte da Apple.

Non rispettare tali indicazioni, per uno sviluppatore, può costare caro, visto che – pur mancando un controllo a priori da parte di Apple – una segnalazione da parte degli utenti sarà sufficiente per arrivare a eliminare la app dallo Store, con ovvie ricadute quanto ai profili di business.

Oltretutto Apple, correttamente, sottolinea che i trattamenti indicati dovranno essere anche quelli eventualmente svolti da terze parti, per conto o in parallelo a quelli dello sviluppatore.

Si pensi ad es. alla prassi diffusa di includere nelle app gli SDK (Software Development Kit) di terzi che fruiscono con “disinvoltura” dei dati personali degli utenti, tramite strumenti simili ai cookies, incrociandoli con altri dati, di cui lo sviluppatore dovrà essere ben consapevole, dandone conto agli stessi interessati.

Ora più che mai, visto che Apple si sta concentrando soprattutto sul tracking degli utenti – ricordiamo che le modifiche di Apple sono state un’importante svolta per far declinare i c.d. cookie e strumenti analoghi di terze parti.

La necessità di un’informativa completa

Un altro chiarimento importante si trova nella sezione “Optional disclosure”, ove Apple segnala che quanto da indicare nelle label non sono tutti i trattamenti bensì solo quelli considerati più “critici” e inattesi per gli utenti, ad es. circa dati facoltativi utilizzati occasionalmente e non per scopi primari dell’app.

Come si può intuire, anche qui i dubbi su alcune classificazioni di Apple non mancheranno.

Abbiamo già segnalato – non ci stanchiamo di ripeterlo, visto ciò che si riscontra nella prassi – che tutto quello che viene imposto con le nuove label informative da Apple non può e non vuole sostituire un’informativa completa ai sensi del GPDR (è evidente che mancano diversi elementi prescritti dagli artt. 13-14 GDPR).

Oltretutto l’art. 12 commi 7 e 8 GDPR ove si richiama l’uso di icone informative, oltre al WP29 e all’EDPB in diversi provvedimenti, hanno sempre ribadito come il supporto grafico e semplificativo può essere solo uno strato, un momento dell’attività informativa, trovando a valle sempre un’informativa strutturata nella sua completezza.

Conclusione

Da ultimo si può affermare che quanto imposto da dicembre da parte di Apple non è certamente innovativo né risolutivo, va comunque apprezzato ogni passo che entità di questa portata introdurranno per tentare (perlomeno) di migliorare la consapevolezza degli utenti in uno scenario sempre più indirizzato a far passare sottotraccia ciò che accade ai dati degli utenti – il che in ultima analisi sarà ciò che accadrà alle persone a cui pertengono.

Iniziative simili cominciano a farsi strada tra i produttori nordamericani, come accade ad esempio a Dell che sta implementando dispositivi hardware di protezione privacy nei suoi laptop, ne attendiamo altre, a questo punto sempre più probabili.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4