Le applicazioni per dispositivi intelligenti sollevano questioni di data privacy che sono da tempo sotto la lente di ingrandimento delle istituzioni comunitarie e, con l’avvento del Regolamento (UE) n. 679/2016 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati), un nuovo livello di attenzione sarà ad esse riservato.
L’interesse si concentra in particolare sulle possibili interazioni delle applicazioni con il dispositivo che le accoglie e sulle possibilità di un uso smodato di informazioni e dati personali. Rilevano, al fine, le modalità con cui le informazioni vengono raccolte e organizzate anche dal sistema operativo presente sul dispositivo in uso dall’utente. Esso è progettato perché le sue componenti principali (o meglio funzionali ai servizi principali di cui il dispositivo dispone) siano di supporto alle app installate attraverso interfacce di programmazione dell’applicazione (API), le quali offrono l’accesso ai molteplici sensori che possono essere presenti sui dispositivi intelligenti e che comprendono, per esempio, fotocamere per acquisire filmati e fotografie, microfono per le registrazioni audio, giroscopio e sensori di prossimità. Le interfacce, inoltre, possono fornire informazioni relative al dispositivo stesso tramite uno o più identificatori univoci e informazioni su altre applicazioni installate.
La raccolta dei dati incamerati e veicolati dal device è potenzialmente incondizionata e in quanto tale espone il trattamento degli stessi a rischi che possono compromettere la loro riservatezza e che, quindi, anche solo potenzialmente, conducano ad un uso inappropriato e non consentito dei dati. Addirittura i dati possono essere ulteriormente trattati secondo modalità ignorate o non desiderate dall’utente che subisce il flusso senza avere, nella maggior parte dei casi, i mezzi per governarlo.
L’evidente rischio per la protezione dei dati ha, in un recente passato, convinto i garanti europei (cfr. Parere 02/2013 sulle applicazioni per dispositivi intelligenti del 27 febbraio 2013 del Gruppo di lavoro Articolo 29 per la protezione dei dati – 00461/13/IT WP 202) a porre limiti precisi che risolvessero alcune determinanti criticità quali la mancanza di trasparenza e di consapevolezza in merito ai tipi di trattamento che un’applicazione può effettuare, associata all’assenza di un consenso significativo degli utenti finali prima del trattamento. Ma le criticità non si fermano qui: le scarse misure di sicurezza, un’apparente tendenza alla massimizzazione dei dati e la flessibilità degli scopi per i quali si raccolgono dati personali contribuiscono ulteriormente ai rischi per la protezione degli stessi.
L’attenzione dei garanti europei si è concentrata soprattutto sulle criticità insite nell’attività di sviluppo delle app.
Le decisioni su come e in che misura l’applicazione possa accedere a diverse categorie di dati personali e procedere quindi al loro trattamento, oltre che sui mezzi e sulle finalità dello stesso, sono rimesse, in genere, agli sviluppatori che mettono a disposizione della committenza il prodotto finito e/o richiesto. Tanto ha permesso ai garanti europei di definire gli adempimenti che, in via preliminare, incombono sul committente che, con l’indispensabile ausilio del programmatore/sviluppatore è tenuto a:
– adottare/valutare le necessarie misure organizzative e tecniche per garantire la protezione dei dati personali oggetto di trattamento. In merito si dica che i parametri cui il committente (e per esso il programmatore) deve rifarsi sono quelli che consentono la limitazione delle finalità e quindi la minimizzazione dei dati utilizzati dall’app installata sul dispositivo mobile. Ovvero, questa deve fin dall’origine definire il perimetro delle possibilità di trattamento in funzione delle finalità perseguite riducendo al minimo l’utilizzo di dati identificativi, e, a maggior ragione, di quelli raccolti all’insaputa dell’utente;
– valutare costantemente i rischi esistenti e futuri per la protezione dei dati. Il committente, per il tramite dello sviluppatore, deve realizzare un ambiente favorevole alla sicurezza con strumenti atti ad impedire la diffusione di applicazioni maligne (es. aggiornamento delle app; strategie adeguate di gestione di patch di sicurezza, etc.) e consentire l’installazione/la disinstallazione agevole dell’applicazione.
In sostanza, il momento della progettazione (personalizzata o meno) è determinante per definire le funzionalità acciocché rispondano alla necessità di una adeguata protezione dei dati che con l’applicazione vengono/verranno trattati, a garanzia della loro riservatezza e della tutela contro trattamenti eccedenti.
Di conseguenza, secondo le indicazioni provenienti dai garanti europei, le diverse funzionalità applicate al programma dovranno consentire l’accesso di default ai soli dati necessari per il servizio offerto, subordinando l’eventuale estensione dell’ambito di raccolta principalmente ad azioni positive dell’utente (attivando, per esempio, ulteriori servizi presenti sul device); e, altresì, privilegiando funzionalità, anche già disponibili sul device, che consentano in maniera inequivocabile agli utenti di essere sempre aggiornati su quali dati vengono trattati e da quali applicazioni, e di attivare e disattivare selettivamente le autorizzazioni.
Altresì, all’utente deve essere permesso l’uso di metodi di identificazione e di autenticazione temporanei, ovvero che non permettano il tracciamento dell’utente (e delle operazioni che compie con l’app installata) nel corso del tempo. Altrettanto i metodi proposti devono essere sicuri e permettere, per esempio, il controllo della robustezza delle password prescelte che comunque dovranno essere memorizzate in modo criptato.
In ultimo, l’archiviazione o il trattamento dei dati sul dispositivo deve avvenire in modo da evitare che gli stessi siano trasferiti o copiati, automaticamente e indiscriminatamente, nei sistemi messi a disposizione dal programmatore/sviluppatore, se non nei limiti di operazioni tecniche temporanee o di quelle che consentono l’accesso o la comunicazione dei dati solo allorchè autorizzata e/o compatibile con le finalità principali del trattamento posto in essere dal committente; e, per quanto riguarda l’archiviazione/conservazione, nei limiti temporali previsti per il relativo trattamento.
I criteri annunciati dai garanti europei corrispondono a quelli che oggi il Regolamento (UE) n. 679/2016 ha codificato nei principi di privacy by design e di privacy by default.
Di essi si occupa l’articolo 25 del citato Regolamento, dedicato alla “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. La prescrizione vuole che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie…” anche e soprattutto a tutela dei diritti degli interessati (cfr. art. 25, comma 1), e, altresì “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.”(cfr. art. 25, comma 2).
Non va dimenticato neanche l’obbligo previsto, a condizioni particolari, dal Regolamento, della valutazione dell’impatto dei trattamenti in fieri sulla protezione dei dati personali (cfr. art. 35, comma 1, del Regolamento (UE) n. 679/2016). È l’ipotesi, per esempio, dell’uso di particolari tecnologie, attivate anche attraverso app nel caso evolute o quando il trattamento che ne consegue avvenga in riferimento a dati personali peculiari come quelli idonei a rilevare lo stato di salute o dati biometrici o genetici dell’interessato (cfr. art. 9, comma 1, del Regolamento (UE) n. 679/2016). E’ il caso delle app mediche che si affermano sempre di più nei diversi campi in cui entra in gioco la salute, sia specialistici (le app funzionali alla diagnosi e alla cura di patologie, soprattutto croniche, alle prescrizioni mediche e al controllo sistematico del decorso di malattie particolari, anche per fini di monitoraggio statistico), sia promiscui (le app dedicate al wellness per esempio).
Ma non è tutto.
A fronte dei trattamenti in questione, assume particolare rilievo l’obbligo del committente, e quindi del titolare del trattamento, di acquisire il consenso dell’utente (in specie, dovuto secondo le indicazioni dei garanti europei).
Vale la pena, anche in tal caso, tentare un raffronto con la disciplina introdotta dal Regolamento (UE) n. 679/2016 in relazione alle condizioni per la prestazione di un consenso valido ed efficace in grado di legittimare il trattamento cui inerisce.
Ovvero, il titolare del trattamento dovrà:
- acquisire un consenso consapevole e informato che tenga conto delle specifiche prerogative dell’applicazione nel trattamento dei dati mediante la stessa raccolti e utilizzati;
- acquisire un consenso completo ed esaustivo e distinto per ogni specifica finalità;
- essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
In pratica, all’utente deve essere data la possibilità di disporre di tutte le informazioni necessarie ad esprimere una volontà determinante. Le informazioni riguardano il trattamento posto in essere e devono essere complete e, se necessario, aggiornate e risultare in modo chiaro e trasparente (così anche gli artt. 12 e 13 del Regolamento (UE) n. 679/2016).
Anche le modalità con cui essa deve essere espressa rilevano nel caso delle app che per essere installate sfruttano le capacità di un dispositivo mobile dalle grandezze contenute. Pertanto, le informazioni essenziali vanno evidenziate in modo consono all’effetto che devono produrre, sia prima che il trattamento sia effettuato (ossia prima dell’installazione dell’applicazione), sia nel prosieguo del trattamento allorchè l’applicazione intenda ampliare l’ambito di raccolta dei dati e delle finalità per cui essa avviene.
In tal senso, anche l’articolo 13, comma 3, del Regolamento (UE) n. 679/2016 per cui “Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente”.
La volontà deve essere, poi, specifica ovvero riferirsi al trattamento di un particolare dato o di una categoria di dati poiché non è legittima un’autorizzazione formulata genericamente. Infine l’utente deve essere sempre in grado di rinnovare, integrare il consenso allorchè necessario al fine di ulteriori trattamenti (cfr. art. 13, comma 3, del Regolamento (UE) n. 679/2016, appena richiamato) o di revocarlo in ogni momento (disinstallando l’applicazione e cancellando i dati per essa raccolti, anche laddove necessario attivando le funzionalità messe al fine a disposizione).
Le dette garanzie possono diventare anche il contenuto di codici di condotta cui si riferisce l’art. 40 del Regolamento (UE) n. 679/2016 e che permette di coniugare, su un terreno di confronto (tra autorità competenti e organismi di rappresentanza dei titolari del trattamento o degli interessati), gli obblighi e i diritti derivanti dal Regolamento medesimo. L’adozione dei e/o l’adesione ai codici di condotta comporta, per quanto possibile, di default, la prova della corretta messa in opera dei requisiti di cui al Regolamento in adempimento degli obblighi di accountability, ovvero di responsabilizzazione, su cui lo stesso fonda la sua disciplina.
Un percorso in tale direzione è stato seguito, per esempio, dagli stakeholder in campo medico che hanno gettato le basi per una codificazione dei trattamenti (o meglio dei requisiti per il corretto svolgimento e per la liceità degli stessi) posti in essere mediante app dedicate. Il codice di condotta impegna ancora la Commissione europea (https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps) e mira a tradurre le nuove istanze portate dal Regolamento (UE) n. 679/2016.
