DATI PERSONALI

Tutela della privacy nelle app iOS e Android: stesso livello di attenzione, approcci differenti

Da un recente studio è emerso che il comportamento delle app iOS e Android relativamente alla protezione dei dati personali degli utenti è sostanzialmente identico, ma c’è ancora molto da fare. Ecco i differenti approcci alla tutela della privacy e i punti ancora da affrontare

28 Ott 2021
F
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Un recente studio di Oxford ha analizzato il comportamento e, ove possibile, il codice sorgente di ventiquattromila applicazioni iOS e Android (dodicimila per piattaforma) per valutarne il comportamento relativamente alla protezione dei dati personali degli utenti.

La ricerca mirava a evidenziare se i software esaminati violino le normative sulla data protection americane, europee e inglesi. Il risultato è un sostanziale pareggio, nonostante nell’immaginario collettivo, alimentato anche dalle suggestive campagne pubblicitarie di Apple, si sia radicata l’idea che le app iOS siano meno invasive di quelle della concorrenza.

Ad ogni modo, è opportuno precisare che lo studio si è concluso nel 2020, quando non era stato ancora integrato in iOS l’App Transparency Framework, ossia quella particolare funzionalità del sistema operativo che, al primo avvio di un’app, chiede all’utente il consenso per il tracciamento del suo comportamento anche su altri siti web.

Android e iPhone, guida pratica alla tutela della privacy

Il sostanziale pareggio fra iOS e Android

I ricercatori di Oxford hanno rilevato che non c’è alcun vincitore fra i due sistemi operativi, visto che la condivisione dei dati per le finalità di tracciamento è simile su entrambi, ma variano alcuni aspetti: ad esempio, le app Android tendono a condividere più facilmente l’AdId (Advertising Identifier, ossia l’identificativo univoco per il tracking pubblicitario) rispetto a quelle iOS che condividono l’IDFA (Identifier for Advertisers) con molta più parsimonia.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Secondo il gruppo di ricerca, ciò dipende dalle politiche di Apple, che tende a spingere gli sviluppatori a creare dei modelli di business che sfruttino l’acquisto dei programmi o i pagamenti in-app, su cui guadagna il 30% di commissione su ogni transazione.

La medesima percentuale è, in realtà, applicata anche da Google sul suo Play Store, ma quest’ultima tende a guadagnare di più dai propri circuiti pubblicitari.

Paradossalmente, le app per iOS adottano diffusamente i tracker di Google, AdMob e Firebase, e, sino ad aprile 2021 con l’introduzione dell’App Transparency Framework in iOS 14.5, non chiedevano nemmeno all’utente di bloccarne il funzionamento.

I rapporti con il GDPR

Sia Apple che Google richiedono agli sviluppatori di pubblicare le informative sull’uso dei dati personali degli utenti (Apple, addirittura, chiede loro di specificare le finalità del trattamento dei dati con delle icone standard nella pagina di descrizione dell’applicazione) ma, seppur sia richiesta questa forma di trasparenza, manca la corrispondenza fra le condizioni di liceità del trattamento dei dati e il trattamento effettivamente eseguito.

Ad esempio, prima dell’introduzione dell’App Transparency Framework in iOS, l’utente non poteva manifestare in alcun modo il proprio consenso ad essere tracciato, così come non è chiaro quando le app eseguano dei trattamenti di dati personali basandoli sul proprio legittimo interesse (che, sempre più spesso è invocato erroneamente per la profilazione con finalità pubblicitaria, ndr).

Peraltro, le informative sul trattamento dei dati personali non sono sempre facilmente consultabili e comprensibili dalla massa degli utenti, complicando ulteriormente la possibilità di scegliere con cognizione di causa quali applicazioni utilizzare e quali no, anche alla luce dei trasferimenti di dati personali al di fuori dello Spazio Economico Europeo sempre più frequenti.

L’incubo delle app per bambini

Le principali criticità in entrambi i sistemi operativi si rinvengono proprio nelle app per i bambini: nonostante le policy dei rispettivi marketplace limitino la raccolta e la pubblicità per questo specifico settore, i ricercatori hanno rilevato che l’accesso all’AdId e alla localizzazione è ben più frequente, ma dissimile.

L’accesso ai dati sulla georeferenziazione è, infatti, più frequente per le app di iOS (27% delle app analizzate), rispetto al 4% a quelle di Android, ma la condivisione dell’AdId è molto più diffusa su queste (59% contro il 25%).

Ancora, i consensi vengono spesso richiesti ai bambini, effettivi utenti del dispositivo su cui sono eseguite le applicazioni, e non ai genitori stessi che, invece, dovrebbero essere gli unici a poterlo prestare congiuntamente.

Tale atteggiamento consente di profilare i minori con una certa granularità, tanto da poter mettere a rischio i loro diritti.

Il difficile equilibrio fra richiesta di consenso e opt-out

Se non fosse ancora chiaro, più le app proteggono la privacy dei loro utenti, più difficile è per loro riuscire a produrre maggiori profitti.

A parte i servizi che si basano sull’uso (a volte eccessivo) dell’in-app purchase o sulla sottoscrizione di abbonamenti, la maggior parte dei software non possono che generare ricavi dalla profilazione degli utenti.

Per questo, ancora oggi, nonostante il GDPR, l’EDPB e diverse Autorità Garanti nazionali si sono espresse a favore della raccolta di un consenso positivo da parte degli utenti, i ricercatori di Oxford si chiedono se sia opportuno percorrere una strada di segno opposto, garantendo loro di esercitare il mero opt-out. Infatti, sia su iOS che su Android è spesso necessario autorizzare l’app eseguita a usare le funzioni dei dispositivi (microfono, videocamera, connessione a internet, localizzazione), cosa che, però, può comportare un calo di attenzione da parte degli utenti, che potrebbero essere spinti a prestare il consenso compulsivamente o, al contrario, negarlo senza rendersi conto del perché.

A parere di chi scrive, non è possibile non chiedere un consenso positivo, chiaro e, soprattutto, informato all’utente, ma, anzi, si dovrebbe trovare un modo, anche tramite l’adozione di icone standard fra le due piattaforme, per avvertire efficacemente l’utente di come saranno trattati i suoi dati personali dalle app.

L’App Transaparency Framework e il falso senso di protezione della privacy

In chiusura, è opportuno citare un altro studio, quello della società americana Lockdown Privacy, fondata da un ex dipendente di Apple, secondo il quale l’introduzione del pop-up “Chiedi all’app di non eseguire il tracciamento” in iOS genera negli utenti una falsa sensazione di protezione della propria privacy, visto che molte app non onorano la richiesta dell’utente.

Il problema è che Apple deve accorgersi che i programmi in questione continuano a tracciare gli utenti (anche su segnalazione di costoro) per sospendere la loro distribuzione tramite App Store, almeno finché gli sviluppatori non risolvono il problema.

Dunque, nonostante i passi da gigante compiuti da Apple, Google e dalla maggior parte degli sviluppatori per la tutela della privacy degli utenti, c’è ancora molto da fare, sia in termini di chiarezza delle informative sia in termini di controllo dei permessi app per app e ciò dovrà avvenire nell’immediato futuro: la tutela dei dati personali, soprattutto dei minori, non può attendere oltre.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2