1. Introduzione

Le app sono applicazioni softwarespesso studiate per un compito specifico e destinate a una serie particolare didispositivi intelligenti, quali smartphone, tablet e televisori connessi aInternet. Organizzano le informazioni in modo adatto alle caratteristichespecifiche del dispositivo, interagendo spesso strettamente con l'hardware e ilsistema operativo presente sul dispositivo.

Le applicazioni disponibili su unaserie di app store per i dispositivi intelligenti più diffusi sono centinaia dimigliaia e svolgono un'ampia gamma di funzioni, tra cui navigazione suinternet, comunicazione (e-mail, telefonia e messaggistica internet),intrattenimento (giochi, film/video e musica), social networking, operazionibancarie e servizi basati sulla localizzazione geografica.

Secondo quanto riportato, le nuoveapplicazioni aggiunte quotidianamente agli app store sono oltre 1.600¹e l'utente medio di smartphone ne scarica 37². Le applicazioni vengonoofferte all'utente finale gratuitamente o a un costo minimo e possono avere unabase di utilizzatori che va da alcuni individui a molti milioni.

Il sistema operativo sottostantecomprende anche software o strutture di dati che sono importanti per i serviziprincipali del dispositivo intelligente, quali la rubrica di uno smartphone. Ilsistema operativo è progettato per mettere queste componenti a disposizionedelle app attraverso interfacce di programmazione dell'applicazione (API), lequali offrono l'accesso alla moltitudine di sensori che possono essere presentisui dispositivi intelligenti e che comprendono: giroscopio, bussola digitale eaccelerometro per la velocità e la direzione del movimento; fotocamere frontalie sul retro per acquisire filmati e fotografie; un microfono per leregistrazioni audio. I dispositivi intelligenti possono anche contenere sensoridi prossimità³; inoltre, possono connettersi attraverso unamoltitudine di interfacce di rete, tra cui Wi-Fi, Bluetooth, NFC o Ethernet.Infine, è possibile determinare con precisione l'ubicazione grazie ai servizidi geolocalizzazione (come descritto nel parere 13/2011 del Gruppo di lavoro"articolo 29" sui servizi di geolocalizzazione su dispositivi mobiliintelligenti⁴). La tipologia, la precisione e la frequenza di questidati da sensori varia a seconda del dispositivo e del sistema operativo.

Grazie alle API, gli sviluppatoridi applicazioni sono in grado di raccogliere continuamente tali dati, diconsultare e scrivere dati dei contatti, inviare e-mail, SMS o messaggi insocial network, leggere/modificare/cancellare contenuti di schede SD, effettuareregistrazioni audio, utilizzare la fotocamera e accedere a immagini archiviate,leggere lo stato e l'identità del telefono, modificare le impostazioni generalidel sistema e impedire la disattivazione del telefono. Le API inoltre possonofornire informazioni relative al dispositivo stesso tramite uno o piùidentificatori univoci e informazioni su altre applicazioni installate. Questefonti di dati possono essere ulteriormente trattate, di solito per generare unflusso di entrate, secondo modalità ignorate o non desiderate dall'utentefinale.

Il presente parere si prefiggel'obiettivo di chiarire il quadro giuridico applicabile al trattamento di datipersonali nella distribuzione e nell'utilizzo di applicazioni su dispositiviintelligenti e di considerare ulteriori trattamenti che potrebbero verificarsial di fuori delle applicazioni, quali l'utilizzo dei dati raccolti per lacostruzione di profili e il targeting degli utenti. Il parere prende in esame iprincipali rischi in materia di protezione dei dati, fornisce una descrizionedelle diverse parti coinvolte e mette in evidenza le varie responsabilitàlegali per quanto concerne sviluppatori e proprietari di applicazioni, appstore, produttori di sistemi operativi (OS) e dispositivi e altri soggetti terziche possono essere coinvolti nella raccolta e nel trattamento di dati personalida dispositivi intelligenti, quali fornitori di servizi analitici e pubblicità.

Il parere si concentra inparticolare sul requisito del consenso, sui principi di limitazione dellafinalità e di minimizzazione dei dati, sulla necessità di adottare misure disicurezza adeguate, sull'obbligo di informazione corretta agli utenti finali,sui relativi diritti, sui periodi ragionevoli di conservazione dei dati e nellospecifico sull'equo trattamento dei dati provenienti da minori e relativi adessi.

L'ambito di applicazione coprediversi tipi di dispositivi intelligenti, pur riguardando in particolare leapplicazioni disponibili per i dispositivi mobili intelligenti.

2. Rischi per la protezione deidati

La stretta interazione con ilsistema operativo consente alle applicazioni di accedere ad un numeronotevolmente maggiore di dati rispetto a un browser, o navigatore, tradizionale⁵.Le applicazioni sono in grado di raccogliere grandi quantità di dati daldispositivo (dati di localizzazione, dati archiviati dall'utente e datiottenuti dai diversi sensori) e di elaborarli per fornire servizi nuovi einnovativi all'utente finale.

Un forte rischio per la protezionedei dati è rappresentato dal grado di frammentazione tra i molti attori nelloscenario dello sviluppo di applicazioni. Un singolo dato può essere trasmessodal dispositivo in tempo reale per essere elaborato in tutto il mondo o copiatotra catene di terzi. Alcune delle applicazioni più note sono sviluppate daimportanti società tecnologiche, ma molte altre sono progettate da piccoleimprese innovative. Un singolo programmatore con una idea e precedenticompetenze di programmazione scarse o nulle può raggiungere un pubblicomondiale in un breve lasso di tempo. Gli sviluppatori di applicazioni cheignorano gli obblighi di protezione dei dati possono creare rischisignificativi per la vita privata e la reputazione degli utenti di dispositiviintelligenti. Nel contempo, si assiste al rapido sviluppo di servizi di terzi,come la pubblicità, che se integrati da uno sviluppatore senza la dovutaattenzione possono divulgare notevoli quantità di dati personali.

I principali rischi per laprotezione dei dati degli utenti finali sono la mancanza di trasparenza e diconsapevolezza in merito ai tipi di trattamento che un'applicazione puòeffettuare, associata all'assenza di un consenso significativo degli utentifinali prima di tale trattamento. Scarse misure di sicurezza, un'apparente tendenzaalla massimizzazione dei dati e la flessibilità degli scopi per i quali siraccolgono dati personali contribuiscono ulteriormente ai rischi per laprotezione dei dati riscontrati nell'attuale ambiente delle applicazioni. Moltidi questi rischi sono già stati esaminati e affrontati da altri organismi diregolamentazione internazionali, quali la US Federal Trade Commission (FTC)(Commissione federale per il commercio USA), il Canadian Office of the PrivacyCommissioner (Ufficio del commissario per la privacy del Canada) e l'AttorneyGeneral of the Californian Department of Justice (procuratore generale deldipartimento di giustizia della California)⁶.

. Un rischio fondamentale per laprotezione dei dati è la mancanza di trasparenza. Gli sviluppatori diapplicazioni sono vincolati dalle funzionalità fornite da produttori di sistemioperativi e app store per garantire la disponibilità di un'informazionecompleta e tempestiva all'utente finale. Ciononostante, non tutti glisviluppatori sfruttano queste funzionalità, poiché molte applicazioni nonprevedono una politica sulla privacy o non informano adeguatamente i potenzialiutenti in merito al tipo di dati personali che l'applicazione può trattare eper quali finalità. La mancanza di trasparenza non si limita alle app gratuiteo di proprietà di sviluppatori inesperti, in quanto un recente studio hariportato che solo il 61,3% delle 150 principali applicazioni prevede unapolitica sulla privacy⁷.

. La mancanza di trasparenza èstrettamente connessa alla mancanza di un consenso libero e informato. Unavolta scaricata l'applicazione, il consenso spesso si riduce a una casella daspuntare per indicare che l'utente finale accetta i termini e le condizioni,senza nemmeno offrire l'alternativa di un "No grazie". Secondo unostudio di GSMA del settembre 2011, il 92% degli utenti di applicazionivorrebbero una scelta più articolata⁸.

. Misure di sicurezza carentipossono consentire il trattamento non autorizzato di dati personali(sensibili), ad esempio se uno sviluppatore subisce una violazione di datipersonali o se la stessa applicazione lascia trapelare dati personali.

. Un altro rischio per laprotezione dei dati riguarda l'inosservanza (dovuta a ignoranza o intenzionale)del principio di limitazione della finalità, secondo cui i dati personalipossono essere raccolti e trattati esclusivamente per finalità specifiche elegittime. I dati personali raccolti dalle applicazioni si possono ampiamentedistribuire a numerosi terzi per scopi indefiniti o flessibili quali"ricerche di mercato". La stessa allarmante inosservanza si evidenziaper il principio di minimizzazione dei dati. Da recenti ricerche è emerso chemolte applicazioni raccolgono quantità abbondanti di dati dagli smartphone,senza che vi sia alcun rapporto significativo con le loro apparentifunzionalità⁹.

3 Principi in materia diprotezione dei dati

3.1 Diritto applicabile

Il quadro giuridico pertinentedell'UE è la direttiva sulla protezione dei dati (95/46/CE) che si applica intutti i casi in cui l'utilizzo di applicazioni su dispositivi intelligentiimplica il trattamento di dati personali. Per determinare il dirittoapplicabile, è essenziale innanzi tutto individuare il ruolo delle diverseparti interessate coinvolte: l'identificazione dei responsabili del trattamentoeffettuato attraverso dispositivi mobili è particolarmente importante inrelazione al diritto applicabile. Lo stabilimento del responsabile deltrattamento è un elemento decisivo per determinare l'applicazione dellanormativa UE in materia di protezione dei dati, benché non sia l'unicocriterio. A norma dell'articolo 4, paragrafo 1, lettera a), della direttivasulla protezione dei dati, il diritto nazionale di uno Stato membro èapplicabile al trattamento di dati personali effettuato "nel contestodelle attività di uno stabilimento" del responsabile del trattamento nelterritorio di tale Stato membro. Ai sensi dell'articolo 4, paragrafo 1, letterac), della direttiva sulla protezione dei dati, il diritto nazionale di unoStato membro è applicabile anche nei casi in cui il responsabile deltrattamento non è stabilito nel territorio della Comunità e ricorre a strumentisituati nel territorio di detto Stato membro. Poiché il dispositivo èfondamentale nel trattamento di dati personali relativi all'utente, questocriterio di norma è soddisfatto¹⁰. Tuttavia, è pertinente solo neicasi in cui il responsabile del trattamento non sia stabilito nell'UE.

Di conseguenza, ogniqualvolta unaparte coinvolta nello sviluppo, nella distribuzione e nel funzionamento diapplicazioni sia ritenuta responsabile del trattamento, tale parte ècompetente, singolarmente o congiuntamente ad altri, per garantire l'osservanzadi tutti i requisiti previsti dalla direttiva sulla protezione dei dati.L'identificazione del ruolo delle parti interessate nelle applicazioni perdispositivi mobili sarà ulteriormente analizzata in seguito, nella sezione 3.3.

In aggiunta alla direttiva sullaprotezione dei dati, la direttiva e-privacy (2002/58/CE, modificata dalla direttiva2009/136/CE) stabilisce una norma specifica per tutte le parti a livellomondiale che desiderino archiviare informazioni o accedere a informazioniarchiviate nei dispositivi di utenti nello Spazio economico europeo (SEE).

L'articolo 5, paragrafo 3, delladirettiva e-privacy prevede che "l'archiviazione di informazioni oppurel'accesso a informazioni già archiviate nell'apparecchiatura terminale di unabbonato o di un utente sia consentito unicamente a condizione che l'abbonato ol'utente in questione abbia espresso preliminarmente il proprio consenso, dopoessere stato informato in modo chiaro e completo, a norma della direttiva95/46/CE, tra l'altro sugli scopi del trattamento (ä)".

Molte disposizioni della direttivae-privacy si applicano solo a fornitori di servizi di comunicazione elettronicaaccessibili al pubblico e a fornitori di reti pubbliche di comunicazione nellaComunità,

mentre l'articolo 5, paragrafo 3,si applica a tutte le entità che inseriscono o leggono informazioni sudispositivi intelligenti, a prescindere dalla natura dell'entità (che si trattidi un'entità pubblica o privata, di un singolo programmatore o di una grandesocietà, ovvero di un responsabile del trattamento, di un incaricato deltrattamento o di una parte terza).

Il requisito del consenso di cuiall'articolo 5, paragrafo 3, si applica a qualsiasi informazione, a prescinderedalla natura dei dati archiviati o ai quali si accede. L'ambito di applicazionenon è limitato ai dati personali e per informazione si intende qualsiasi tipodi dato archiviato sul dispositivo.

Il requisito del consenso di cuiall'articolo 5, paragrafo 3, della direttiva e-privacy si applica ai serviziofferti "nella Comunità", ossia a tutti gli individui residenti nelloSpazio economico europeo, a prescindere dall'ubicazione del fornitore deiservizi. Per gli sviluppatori di applicazioni è importante sapere che entrambele direttive sono norme imperative, in quanto i diritti dell'individuo non sonotrasferibili né sono soggetti a rinuncia contrattuale. Questo significa chel'applicabilità delle norme europee in materia di privacy non può essereesclusa in virtù di una dichiarazione unilaterale o di un accordo contrattuale¹¹.

3.2 Dati personali trattatimediante applicazioni

Molte tipologie di dati archiviatiin un dispositivo intelligente o generati dallo stesso sono dati personali.Secondo il considerando 24 della direttiva e-privacy:

"Le apparecchiature terminalidegli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviatain tali apparecchiature fanno parte della sfera privata dell'utente, che deveessere tutelata ai sensi della convenzione europea per la protezione deidiritti dell'uomo e delle libertà fondamentali".

Si tratta di dati personaliogniqualvolta si riferiscono a un individuo, direttamente (ad esempio per nome)o indirettamente identificabile dal responsabile del trattamento o da un terzo.Si possono riferire al proprietario del dispositivo o a qualsiasi altroindividuo, come nel caso dei recapiti di amici in una rubrica¹². Idati si possono raccogliere e trattare sul dispositivo o, una volta trasferiti,anche altrove, presso infrastrutture di sviluppatori o di terzi, tramite laconnessione ad un'interfaccia di programmazione dell'applicazione (API) esterna,in tempo reale senza che l'utente finale ne sia a conoscenza.

Esempi di dati personali chepossono influire in misura significativa sulla vita privata degli utenti finalie altri individui sono i seguenti:

- Ubicazione

- Contatti

- Codici identificativi univocidel dispositivo e del cliente (come IMEI¹³, IMSI¹⁴, UDID¹⁵e numero di cellulare)

- Identità dell'interessato

- Identità del telefono (ossianome del telefono¹⁶)

- Carta di credito e dati dipagamento

- Registro delle chiamate, SMS omessaggistica istantanea

- Cronologia di navigazione

- E-mail

- Credenziali di autenticazioneper i servizi della società dell'informazione (in particolare servizi concaratteristiche sociali)

- Fotografie e filmati

- Biometrica (ad es. riconoscimentofacciale e modelli di impronte digitali).

3.3 Parti coinvolte neltrattamento dei dati

Le diverse parti coinvolte nellosviluppo, nella distribuzione e nella gestione di applicazioni sono numerose econ responsabilità differenti in fatto di protezione dei dati.

Le quattro parti principali che sipossono identificare sono le seguenti: i) sviluppatori di applicazioni(compresi proprietari di applicazioni)¹⁷, ii) produttori di sistemioperativi e dispositivi ("produttori di OS e dispositivi")¹⁸;iii), app store (distributori di applicazioni) e infine iv) altre particoinvolte del trattamento di dati personali. In alcuni casi le responsabilitàin materia di protezione dei dati sono condivise, in particolare quando lastessa entità è coinvolta in più stadi, ad esempio quando il produttore delsistema operativo controlla anche l'app store.

Anche gli utenti finali sonotenuti ad assumersi adeguate responsabilità nella misura in cui creano ememorizzano dati personali sul proprio dispositivo mobile. Se il trattamentoserve per scopi puramente personali o domestici la direttiva sulla protezionedei dati non si applica (articolo 3, paragrafo 2) e l'utente s'intende esentedagli obblighi formali in materia di protezione dei dati. Tuttavia, se l'utentedecide di condividere dati tramite un'applicazione, ad esempio divulgandoinformazioni a un numero indefinito di persone¹⁹ medianteun'applicazione per social network, il trattamento delle informazioni nonrientra nelle condizioni dell'esenzione domestica²⁰.

3.3.1 Sviluppatori di applicazioni

Gli sviluppatori di applicazionicreano app e/o le mettono a disposizione di utenti finali. La categoriacomprende organizzazioni del settore privato e pubblico che commissionano losviluppo di applicazioni e le società e persone fisiche che creano e lancianoapplicazioni. Progettando e/o creando il software che girerà sugli smartphone,decidono in che misura l'applicazione potrà accedere a diverse categorie didati personali e procedere al loro trattamento, nel dispositivo e/o attraversorisorse informatiche remote (unità informatiche di sviluppatori di app o diterzi).

Nella misura in cui determina lefinalità e i mezzi del trattamento di dati personali su dispositiviintelligenti, lo sviluppatore di applicazioni è il responsabile del trattamentocome definito nell'articolo 2, lettera d), della direttiva sulla protezione deidati. In tal caso, è tenuto a rispettare le disposizioni dell'intera direttiva.Le principali disposizioni sono illustrate ai paragrafi da 3.4 a 3.10 delpresente parere.

Anche quando all'utente si applical'esenzione domestica, lo sviluppatore di applicazioni s'intende comunqueresponsabile del trattamento dei dati qualora vi proceda per finalità proprie.Ad esempio, nel caso in cui l'applicazione richieda l'accesso all'interarubrica di indirizzi per fornire il servizio (messaggistica istantanea,chiamate telefoniche, video chiamate).

Le responsabilità dellosviluppatore di applicazioni sono notevolmente limitate se i dati personali nonvengono trattati e/o resi disponibili al di fuori del dispositivo, o se losviluppatore ha adottato adeguate misure tecniche e organizzative per garantireche i dati siano resi anonimi in modo irreversibile e aggregati sul dispositivostesso prima di lasciarlo.

In ogni caso, se lo sviluppatoreaccede a informazioni archiviate sul dispositivo si applica anche la direttivae-privacy e lo sviluppatore è tenuto a rispettare il requisito del consensosancito dall'articolo 5, paragrafo 3, della direttiva stessa.

Nella misura in cui losviluppatore di applicazioni ha commissionato a un terzo, in tutto in parte,l'effettivo trattamento dei dati e tale terzo assume il ruolo di incaricato deltrattamento, lo sviluppatore deve adempiere a tutti gli obblighi relativiall'utilizzo di un incaricato del trattamento dei dati, che comprende anche ilricorso ad un fornitore di servizi di cloud computing (ad es. perl'archiviazione esterna di dati)²¹.

Nella misura in cui losviluppatore di applicazioni consente l'accesso di terzi ai dati dell'utente(ad esempio una rete pubblicitaria che accede ai dati di geolocalizzazione deldispositivo per fornire pubblicità comportamentali) deve adottare meccanismiadeguati per rispettare i requisiti applicabili ai sensi del quadro giuridico dell'UE.Se il terzo accede a dati archiviati nel dispositivo si applica l'obbligo diottenere il consenso informato di cui all'articolo 5, paragrafo 3, delladirettiva e-privacy.

Inoltre, se il terzo procede altrattamento di dati personali per finalità proprie, può considerarsi anche unresponsabile del trattamento dei dati congiuntamente allo sviluppatore e devepertanto garantire il rispetto del principio di limitazione della finalità egli obblighi in fatto di sicurezza²² per la parte del trattamentoper la quale determina finalità e mezzi. Poiché tra sviluppatori diapplicazioni e terzi possono esistere tipologie diverse di accordi commercialie tecnici, la rispettiva responsabilità di ciascuna parte dovrà esserestabilita caso per caso, tenendo conto delle circostanze specifiche deltrattamento in questione.

Uno sviluppatore di applicazionipuò utilizzare librerie di terzi con un software che fornisce funzionalitàcomuni, come ad esempio una libreria per una piattaforma di social gaming. Losviluppatore deve garantire che gli utenti siano a conoscenza di eventualitrattamenti dei dati effettuati da tali librerie e, in tal caso, che iltrattamento sia conforme al quadro giuridico dell'UE, anche richiedendo ilconsenso dell'utente, dove pertinente. In questo senso, gli sviluppatori devonoimpedire l'uso di funzionalità nascoste all'utente.

3.3.2 Produttori di sistemioperativi (OS) e dispositivi

Anche i produttori di OS edispositivi dovrebbero essere considerati responsabili del trattamento (e,laddove pertinente, responsabili congiunti) di eventuali dati personalitrattati per finalità proprie, quali il regolare funzionamento del dispositivo,la sicurezza ecc., compresi i dati generati dall'utente (ad esempioinformazioni sull'utente durante la registrazione), i dati generatiautomaticamente dal dispositivo (ad esempio se il dispositivo possiede unafunzionalità "phone home" (telefona a casa) per la sua posizione) o idati personali trattati da produttori di OS o dispositivi in seguito all'installazioneo all'utilizzo di applicazioni. Quando i produttori di OS o dispositivi offronofunzionalità aggiuntive, quali una funzione di back-up o localizzazione remota,diventano responsabili del trattamento dei dati personali trattati per talescopo.

Le applicazioni che richiedonol'accesso a dati di geolocalizzazione devono utilizzare i servizi dilocalizzazione del sistema operativo. Quando un'applicazione utilizza lageolocalizzazione, il sistema operativo può raccogliere dati personali perfornire le informazioni di geolocalizzazione all'applicazione e può ancheconsiderare di utilizzare i dati per migliorare i propri servizi dilocalizzazione. Per quest'ultimo scopo, il sistema operativo è il responsabiledel trattamento dei dati.

I produttori di OS e dispositivisono anche responsabili dell'interfaccia di programmazione dell'applicazione(API) che consente il trattamento di dati personali tramite applicazioni suldispositivointelligente. Lo sviluppatore di applicazioni sarà in grado diaccedere alle caratteristiche e alle funzioni messe a disposizione daiproduttori di OS e dispositivi attraverso l'API. Poiché determinano i mezzi (ela portata) dell'accesso ai dati personali, i produttori di OS e dispositividevono garantire che la granularità del controllo dello sviluppatore diapplicazioni sia sufficiente affinché l'accesso venga concesso esclusivamenteai dati necessari per il funzionamento dell'applicazione. Inoltre, dovrebberogarantire che l'accesso si possa revocare in modo semplice ed efficace.

Il concetto di "privacy bydesign", o privacy nella progettazione, è un principio importante a cui sifa riferimento indirettamente già nella direttiva sulla protezione dei dati²³e che, insieme alla "privacy by default", o privacy di default,emerge più chiaramente nella direttiva e-privacy²⁴ e richiede aiproduttori di un dispositivo o di un'applicazione di tenere conto dellaprotezione dei dati fin dall'inizio della progettazione. La privacy by design èrichiesta espressamente per la progettazione di apparecchiature ditelecomunicazione, come previsto dalla direttiva riguardante le apparecchiatureradio e le apparecchiature terminali di telecomunicazione²⁵. Diconseguenza, i produttori di OS e dispositivi, insieme agli app store, svolgonoun ruolo di notevole responsabilità nel fornire garanzie per la protezione deidati personali e della vita privata degli utenti di applicazioni, ancheassicurando la disponibilità di meccanismi adeguati per informare ed educarel'utente finale in merito a quello che le applicazioni possono fare e a qualidati sono in grado di accedere, nonché offrendo agli utenti le opportuneimpostazioni per modificare i parametri del trattamento²⁶.

3.3.3 App store

I dispositivi intelligenti piùdiffusi hanno tutti un proprio app store e capita di frequente che unparticolare sistema operativo sia profondamente integrato con un particolareapp store. Spesso gli app store gestiscono i pagamenti per le applicazioni epossono anche supportare acquisti in-app che richiedono la registrazione dell'utentecon nome, indirizzo e dati finanziari. Questi dati (direttamente)identificabili si possono combinare con i dati relativi all'acquisto e alcomportamento d'uso e con dati ricavati o generati dal dispositivo (come ilcodice identificativo univoco). Per quanto concerne questi dati personali gliapp store si possono considerare responsabili del trattamento dei dati, anchequando trasmettono le informazioni agli sviluppatori di applicazioni. Quandol'app store gestisce la cronologia dei download o degli utilizzi diapplicazioni da parte dell'utente o strumenti analoghi per ripristinareapplicazioni scaricate in precedenza si può considerare anche responsabile deltrattamento dei dati personali trattati a tale scopo.

Un app store registra le credenzialidi login e la cronologia di app acquistate in precedenza. Inoltre, chiedeall'utente di fornire un numero di carta di credito che sarà memorizzato conl'account dell'utente.

L'app store è il responsabile deltrattamento dei dati per queste operazioni.

Viceversa, i siti web checonsentono il download di una app da installare sul dispositivo senzaautenticazione non si considerano responsabili del trattamento di datipersonali.

Gli app store svolgono un ruoloimportante per mettere gli sviluppatori di applicazioni nelle condizioni difornire informazioni adeguate sull'applicazione, compresi i tipi di dati cheessa è in grado di elaborare e per quali finalità, magari tenendone conto nellapropria politica di ammissione (basata su controlli ex ante o ex post). Incollaborazione con il produttore del sistema operativo, l'app store puòdefinire un quadro per consentire agli sviluppatori di fornire avvisiinformativi coerenti e significativi (quali simboli che rappresentanodeterminati generi di accesso a dati da sensori) mettendoli in evidenza nelcatalogo dell'app store.

3.3.4 Terzi

I terzi coinvolti nel trattamentodei dati attraverso l'utilizzo di applicazioni sono numerosi.

Ad esempio, molte applicazionigratuite sono finanziate da pubblicità che, tra l'altro, possono esserecontestuali o personalizzate e rese possibili da strumenti di tracciamentoquali marcatori (cookie) o altri identificativi del dispositivo. La pubblicitàpuò essere costituita da un banner all'interno dell'app, da annunci esterniall'app che compaiono modificando le impostazioni di navigazione o tramiteicone sul desktop del dispositivo mobile o mediante l'organizzazionepersonalizzata del contenuto dell'app (ad esempio risultati di ricercasponsorizzati).

Di solito le pubblicità per leapplicazioni sono fornite da reti pubblicitarie e analoghi intermediari chepossono essere collegati o coincidere con il produttore del sistema operativo ol'app store. Come indicato nel parere 2/2010 del Gruppo di lavoro"articolo 29"²⁷, la pubblicità online spesso contempla iltrattamento di dati personali quali definiti all'articolo 2 della direttivasulla protezione dei dati e interpretati dal Gruppo di lavoro stesso²⁸.

Altri esempi di terzi sono ifornitori di servizi analitici e di comunicazione. I primi aiutano glisviluppatori di applicazioni a ottenere indicazioni sull'uso, sulla popolaritàe sulla fruibilità delle loro applicazioni. I fornitori di servizi dicomunicazione²⁹ possono svolgere un ruolo importante anche neldeterminare le impostazioni predefinite e gli aggiornamenti di sicurezza dimolti dispositivi e trattare dati sull'uso delle app. La loro personalizzazione("branding") potrebbe avere delle conseguenze sulle possibili misuretecniche e funzionali a disposizione dell'utente per proteggere i propri datipersonali.

Rispetto agli sviluppatori diapplicazioni, i terzi possono svolgere due diversi ruoli. Il primo consistenell'eseguire operazioni per il proprietario dell'app, ad esempio fornire datianalitici all'interno dell'app. In tal caso, quando agiscono esclusivamente perconto dello sviluppatore e non trattano dati per finalità proprie e/o noncondividono dati tra sviluppatori, si può ritenere che agiscano in qualità diincaricati del trattamento dei dati.

Il secondo ruolo consiste nellaraccolta di informazioni attraverso le applicazioni per offrire serviziaggiuntivi: fornire dati analitici su scala più ampia (popolarità dell'app,raccomandazione personalizzata) o evitare di mostrare la stessa pubblicità almedesimo utente. Quando i terzi trattano dati personali per finalità proprieagiscono in qualità di responsabili del trattamento dei dati e sono pertantotenuti a rispettare tutte le disposizioni applicabili della direttiva sullaprotezione dei dati³⁰. Nel caso della pubblicità comportamentale, ilresponsabile del trattamento deve ottenere il valido consenso informatodell'utente per la raccolta e il trattamento di dati personali, ad esempio perl'analisi e la combinazione di dati personali e la creazione e/o applicazionedi profili. Come già spiegato nel parere 2/2012 del Gruppo di lavoro"articolo 29" sulla pubblicità comportamentale online, il modomigliore per ottenere tale consenso implica l'uso di un meccanismo di opt-inpreliminare.

Una società fornisce metriche perproprietari di applicazioni e pubblicitari attraverso l'uso di trackerincorporati nelle applicazioni dallo sviluppatore. I tracker della societàpossono quindi essere installati su molti dispositivi e app. Uno dei serviziconsiste nell'informare gli sviluppatori su quali altre applicazioni utilizzal'utente tramite la raccolta di un identificativo univoco. La società definiscei mezzi (per es. la tracciatura) e le finalità dei propri strumenti prima dioffrirli a sviluppatori, pubblicitari e altri terzi e agisce pertanto daresponsabile del trattamento dei dati.

Nella misura in cui accedono ainformazioni o le archiviano sul dispositivo intelligente, i terzi sono tenutia rispettare il requisito del consenso di cui all'articolo 5, paragrafo 3, delladirettiva e-privacy.

In quest'ambito, è importantenotare che, in genere, gli utenti dispongono di possibilità limitate diinstallare su dispositivi intelligenti software in grado di controllare iltrattamento di dati personali, comuni nell'ambiente web desktop. In alternativaall'utilizzo di cookie HTTP, i terzi spesso accedono a codici identificativiunivoci per selezionare (gruppi di) utenti e offrire servizi mirati, compresala pubblicità. Poiché gli utenti non possono modificare né cancellare molti diquesti identificativi (quali i codici IMEI, IMSI, MSISDN³¹ e gliidentificativi univoci specifici aggiunti dal sistema operativo) questi terzipossono potenzialmente trattare quantità significative di dati personalisfuggendo al controllo dell'utente finale.

3.4 Fondamento giuridico

Per procedere al trattamento didati personali occorre una base giuridica, come indicato all'articolo 7 delladirettiva sulla protezione dei dati, che distingue sei fondamenti giuridici peril trattamento dei dati: il consenso inequivocabile dell'interessato; lanecessità per l'esecuzione di un contratto concluso con l'interessato; lasalvaguardia dell'interesse vitale dell'interessato; la necessità perl'adempimento di un obbligo legale; (per le autorità pubbliche) l'esecuzione diun compito di interesse pubblico e il perseguimento di legittimi interessi(commerciali).

Per quanto concernel'archiviazione di informazioni o l'accesso a informazioni già archiviate neldispositivo intelligente, l'articolo 5, paragrafo 3, della direttiva e-privacy(ossia il requisito del consenso per l'archiviazione o il recupero diinformazioni da un dispositivo) crea una limitazione/restrizione piùdettagliata dei fondamenti giuridici di cui tenere conto.

3.4.1 Consenso preventivo all'installazionee al trattamento di dati personali

Nel caso delle applicazioni, ilprincipale fondamento giuridico applicabile è il consenso. Con l'installazionedi un'applicazione, nel dispositivo dell'utente finale vengono inserite delleinformazioni.

Molte applicazioni accedono anchea dati memorizzati nel dispositivo, a contatti nella rubrica, fotografie,filmati e altri documenti personali. In tutti questi casi, l'articolo 5,paragrafo 3, della direttiva e-privacy richiede il consenso dell'utente, dopoche è stato informato in modo chiaro e completo, prima dell'archiviazione o delrecupero di informazioni dal dispositivo.

» importante notare la distinzionetra il consenso richiesto per inserire o consultare informazioni neldispositivo e il consenso necessario per legittimare il trattamento di diversitipi di dati personali.

Benché i due requisiti sianoapplicabili simultaneamente, ciascuno in virtù di una diversa base giuridica,sono entrambi soggetti alla condizione che si tratti di una "manifestazionedi volontà libera, specifica e informata" (ai sensi della definizioneall'articolo 2, lettera h), della direttiva sulla protezione dei dati). Diconseguenza, i due tipi di consenso si possono fondere nella pratica, durantel'installazione o prima che l'applicazione cominci a raccogliere dati personalidal dispositivo, purché l'utente sia reso consapevole in modo inequivocabile diquello a cui acconsente.

Molti app store offrono aglisviluppatori l'opportunità di informare gli utenti finali in merito allefunzioni di base di un'applicazione prima della sua installazione e richiedonoun'azione positiva dell'utente prima che l'applicazione venga scaricata einstallata (ossia cliccare su un tasto "installa"). In talunecircostanze, un'azione di questo tipo può soddisfare il requisito del consensodi cui all'articolo 5, paragrafo 3, ma è improbabile che fornisca informazionisufficienti per la validità del consenso ai fini del trattamento di datipersonali. L'argomento è già stato discusso dal Gruppo di lavoro "articolo29" nel suo parere sulla definizione di consenso³².

Nel contesto dei dispositiviintelligenti, "libera" significa che l'utente deve poter scegliere seaccettare o rifiutare il trattamento dei suoi dati personali. Quindi, seun'applicazione richiede il trattamento di dati personali, l'utente deve esserelibero di accettare o rifiutare, senza trovarsi di fronte a uno schermocontenente un'unica opzione "Sì, accetto", per completarel'installazione; deve essere disponibile anche un'opzione "Cancella"o che comunque blocchi l'installazione.

"Informata" significache l'interessato deve disporre delle informazioni necessarie per formulare ungiudizio accurato³³. Onde evitare ambiguità, le informazioni devonoessere disponibili prima di qualunque trattamento di dati personali, ivicompreso il trattamento che potrebbe avere luogo durante l'installazione, adesempio per scopi di debugging o tracking. Il contenuto e la forma di taliinformazioni sono trattati nel paragrafo 3.7 del presente parere.

"Specifica" significache la manifestazione di volontà deve riferirsi al trattamento di unparticolare dato o di una categoria limitata di dati. Per questo motivo, ilsemplice clic su un tasto "installa" non si può considerare un validoconsenso per il trattamento di dati personali, in virtù del fatto che ilconsenso non può essere un'autorizzazione formulata genericamente. In alcunicasi, gli utenti sono in grado di fornire un consenso granulare, laddove ilconsenso è richiesto per ciascun tipo di dati ai quali l'applicazione intendeaccedere³⁴. Un simile approccio soddisfa due importanti requisitigiuridici: in primo luogo quello di informare adeguatamente l'utente in meritoa elementi importanti del servizio e in secondo luogo quello di chiedere ilconsenso specifico per ognuno di essi³⁵. L'approccio alternativo percui lo sviluppatore chiede ai propri utenti di accettare una lunga serie ditermini e condizioni e/o politiche sulla privacy non costituisce un consensospecifico³⁶.

La specificità si riferisce anchealla prassi di tracciare il comportamento dell'utente da parte di pubblicitarie altri terzi. Le impostazioni di default previste da sistemi operativi eapplicazioni devono essere tali da evitare qualunque tracciamento (tracking),per consentire agli utenti di esprimere un consenso specifico a questo tipo ditrattamento dei dati. Le impostazioni predefinite non possono essere eluse daterzi, come spesso accade attualmente con i meccanismi di "Do NotTrack" inseriti nei browser.

Esempi di consenso specifico

Un'applicazione fornisceinformazioni sui ristoranti nelle vicinanze. Per l'installazione, losviluppatore deve ottenere il consenso. Per accedere ai dati digeolocalizzazione, lo sviluppatore deve chiede il consenso separatamente, adesempio durante l'installazione o prima di accedere alla geolocalizzazione.

Per consenso specifico s'intendeil consenso limitato allo scopo specifico di informare l'utente in merito aristoranti nelle vicinanze. Quindi è possibile accedere a dati di geolocalizzazionedal dispositivo solo quando l'utente utilizza l'applicazione a tale scopo. Ilconsenso dell'utente al trattamento di dati di geolocalizzazione non permetteall'applicazione di raccogliere costantemente dati sull'ubicazione daldispositivo. Questo ulteriore trattamento richiederebbe informazioni aggiuntivee un consenso separato.

Analogamente, quando una app dicomunicazione accede alla rubrica dei contatti, l'utente deve essere in gradodi selezionare i contatti con i quali intende comunicare, invece di esserecostretto a concedere l'accesso all'intera rubrica (compresi i contatti dipersone che non utilizzano il servizio e non possono aver acconsentito altrattamento dei propri dati).

Tuttavia, è importante notare che,anche se il consenso soddisfa i tre elementi descritti sopra, non rappresentaun'autorizzazione a trattamenti sleali e illeciti. Se il trattamento èeccessivo e/o sproporzionato rispetto alla finalità, anche se l'utente vi haacconsentito, lo sviluppatore dell'applicazione non disporrà di un fondamentogiuridico valido, violando probabilmente la direttiva sulla protezione deidati.

Esempio di trattamento dei datieccessivo e illecito

Una app per la sveglia offre unafunzione facoltativa per cui l'utente può dare l'ordine verbale di spegnere lasveglia o lasciarla in funzione "snooze". In questo esempio, ilconsenso alla registrazione sarebbe limitato a quando la sveglia suona.L'eventuale monitoraggio o registrazione o audio quando la sveglia non suonasarebbero considerati eccessivi e illeciti.

In caso di applicazioniautomaticamente incorporate nel dispositivo (prima che ne diventi proprietariol'utente finale) o altri trattamenti effettuati dal sistema operativo che sibasano sul consenso come fondamento giuridico, i responsabili del trattamentodei dati devono valutare attentamente se tale consenso è effettivamente valido.In molti casi, bisognerebbe considerare un meccanismo di consenso separato,magari quando la app viene attivata per la prima volta, per offrire al responsabiledel trattamento un'adeguata opportunità di informare pienamente l'utentefinale. Nell'ipotesi di categorie particolari di dati, come definiteall'articolo 8 della direttiva sulla protezione dei dati, il consenso deveessere esplicito.

Infine, gli utenti devono averel'opportunità di revocare il loro consenso in modo semplice ed efficace.

Questo aspetto sarà trattato nellasezione 3.8 del presente parere.

3.4.2 Fondamenti giuridici deltrattamento dei dati durante l'utilizzo dell'applicazione

Come illustrato in precedenza, ilconsenso è il fondamento giuridico necessario per permettere allo sviluppatoredi leggere e/o scrivere legalmente informazioni e, di conseguenza, procedere altrattamento di dati personali. In una fase successiva, durante l'utilizzodell'applicazione, lo sviluppatore può invocare altri fondamenti giuridici perulteriori tipologie di trattamento, nella misura in cui non comportino iltrattamento di dati personali sensibili.

Tali fondamenti giuridici possonoessere la necessità di eseguire un contratto concluso con l'interessato o diperseguire interessi (commerciali) legittimi, ai sensi dell'articolo 7, lettereb) e f), della direttiva sulla protezione dei dati.

Detti fondamenti giuridici silimitano al trattamento di dati personali non sensibili di un utente specificoe possono essere invocati solo nella misura in cui un determinato trattamentosia strettamente necessario per svolgere il servizio desiderato o, nel casodell'articolo 7, lettera f), solo se non prevalgono l'interesse o i diritti ele libertà fondamentali dell'interessato.

Esempi di fondamento giuridicocontrattuale

Un utente acconsenteall'installazione di una app di mobile banking. Per adempiere a una richiestadi effettuazione di un pagamento la banca non deve chiedere il consensoseparato dell'utente a divulgare il suo nome e numero di conto bancario albeneficiario del pagamento. Queste informazioni sono strettamente necessarieper eseguire il contratto con questo specifico utente e pertanto la banca trovaun fondamento giuridico nell'articolo 7, lettera b), della direttiva sullaprotezione dei dati. Stesso ragionamento vale per le app di comunicazione;quando forniscono informazioni essenziali quali nome di account, indirizzoe-mail o numero di telefono a un altro individuo con cui l'utente desideracomunicare, la divulgazione è ovviamente necessaria per l'esecuzione delcontratto.

3.5 Limitazione della finalità eminimizzazione dei dati

I principi fondamentali alla basedella direttiva sulla protezione dei dati sono la limitazione della finalità ela minimizzazione dei dati. La limitazione della finalità consente agli utentidi scegliere volontariamente di affidare a un terzo i propri dati personalipoiché sanno in che modo vengono usati e sono in grado di basarsi sulladescrizione della finalità per capire per quali scopi saranno utilizzati. Lefinalità del trattamento dei dati devono pertanto essere ben definite ecomprensibili per un utente medio privo di conoscenze specialistiche di tipogiuridico o tecnico.

Nel contempo, la limitazione dellafinalità impone che gli sviluppatori di applicazioni abbiano un'idea precisadei propri obiettivi prima di cominciare a raccogliere dati personali dagliutenti. I dati personali possono essere trattati solo "lealmente elecitamente" (articolo 6, paragrafo 1, lettera a), della direttiva sullaprotezione dei dati) e gli scopi devono essere definiti prima dell'inizio deltrattamento.

Il principio di limitazione dellafinalità esclude improvvisi cambiamenti nelle condizioni fondamentali deltrattamento.

Ad esempio, se una apporiginariamente aveva lo scopo di consentire agli utenti di scambiarsi e-mail,ma lo sviluppatore decide di modificare il modello di business e accorpa gliindirizzi e-mail degli utenti con i numeri telefonici di utenti di un'altraapp. I rispettivi responsabili del trattamento dei dati a quel punto dovrebberocontattare singolarmente tutti gli utenti per richiedere il loro inequivocabileconsenso preliminare per questa nuova finalità del trattamento dei loro datipersonali.

La limitazione della finalitàprocede di pari passo con il principio della minimizzazione dei dati. Al finedi impedire trattamenti inutili e potenzialmente illeciti, gli sviluppatori diapplicazioni devono valutare attentamente quali dati sono strettamentenecessari per eseguire la funzionalità desiderata.

Potendo accedere a molte dellefunzionalità del dispositivo, le applicazioni sono in grado di eseguire moltefunzioni, come inviare un SMS invisibile, accedere a immagini e all'interarubrica. Molti app store prevedono aggiornamenti (semi)automatici dove losviluppatore può integrare nuove funzioni e renderle disponibili con unintervento minimo o nullo dell'utente finale.

Il Gruppo di lavoro sottolinea aquesto punto che i terzi che accedono ai dati dell'utente attraverso leapplicazioni devono rispettare i principi di limitazione della finalità eminimizzazione dei dati. Non si dovrebbero utilizzare i codici identificatividei dispositivi, univoci e spesso non modificabili, per scopi pubblicitari e/oanalitici mirati, data l'impossibilità degli utenti di revocare il proprioconsenso. Gli sviluppatori di applicazioni dovrebbero garantire che siimpedisca l'estensione indebita delle funzionalità (function creep) evitando dimodificare il trattamento da una versione all'altra di una stessa applicazionesenza fornire all'utente finale le opportune informazioni e la possibilità direvocare il trattamento o l'intero servizio. Inoltre, agli utenti dovrebberoessere offerti i mezzi tecnici per verificare gli enunciati in merito agliscopi dichiarati, consentendo loro di accedere a informazioni sulla quantità ditraffico in uscita per applicazione, in relazione al traffico avviatodall'utente.

L'informazione e i controlli dell'utentesono fondamentali per garantire il rispetto dei principi di minimizzazione deidati e limitazione della finalità.

L'accesso ai dati presenti neldispositivo attraverso le API offre ai produttori di OS e dispositivi e agliapp store un'opportunità per applicare regole specifiche e fornire informazionicorrette agli utenti finali. Ad esempio, i produttori di OS e dispositividovrebbero offrire una API con controlli precisi per distinguere ciascun tipodi dati e assicurare che gli sviluppatori possano richiedere l'accesso solo aidati che sono strettamente necessari per la funzionalità (lecita) della loroapplicazione. I tipi di dati richiesti dallo sviluppatore potranno quindiessere chiaramente evidenziati nell'app store per informare l'utente primadell'installazione.

A questo proposito, il controllosull'accesso ai dati archiviati nel dispositivo si basa su diversi meccanismi:

a. I produttori di OS edispositivi e gli app store definiscono le regole per la presentazione diapplicazioni nell'app store: gli sviluppatori devono rispettare queste regolese non vogliono rischiare di non essere presenti negli app store³⁷.

b. Le API dei sistemi operatividefiniscono metodi standard per accedere ai dati memorizzati

nel telefono ai quali hannoaccesso le app e influiscono anche sulla raccolta di dati da

parte del server.

c. Controlli ex-ante –controlli esistenti prima dell'installazione di una app³⁸.

d. Controlli ex-post –controlli introdotti dopo aver installato una app.

3.6 Sicurezza

Ai sensi dell'articolo 17 delladirettiva sulla protezione dei dati, i responsabili e gli incaricati deltrattamento dei dati devono prendere le necessarie misure organizzative etecniche per garantire le protezione dei dati personali oggetto deltrattamento. Di conseguenza, le misure devono essere prese da tutti gli attoriindividuati nella sezione 3.3, ciascuno secondo il proprio ruolo eresponsabilità.

L'obiettivo dell'osservanzadell'obbligo di sicurezza dei trattamenti è duplice: autorizza gli utenti acontrolli più rigorosi sui propri dati e rafforza la fiducia nelle entità cheeffettivamente gestiscono i dati degli utenti.

Per adempiere ai rispettiviobblighi di sicurezza in quanto responsabili del trattamento, gli sviluppatoridi applicazioni, gli app store, i produttori di OS e dispositivi e i terzidevono tenere conto dei principi di privacy by design e by default. Questorichiede una valutazione costante dei rischi esistenti e futuri per laprotezione dei dati, nonché l'attuazione e la valutazione di misure diattenuazione efficaci, tra cui la minimizzazione dei dati.

Sviluppatori di applicazioni

Esistono molte linee guidadisponibili al pubblico concernenti la sicurezza delle applicazioni perdispositivi mobili pubblicate da produttori di OS e terzi indipendenti, adesempio dall'ENISA (Agenzia europea per la sicurezza delle reti edell'informazione)³⁹.

L'esame delle migliori prassi infatto di sicurezza nello sviluppo di applicazioni non rientra nell'ambito delpresente parere; tuttavia, il Gruppo di lavoro intende sfruttare questaopportunità per esaminare quelle che presentano un impatto potenzialmente gravesui diritti fondamentali degli utenti di applicazioni.

Prima di progettareun'applicazione è importante decidere dove saranno archiviati i dati. In alcunicasi, i dati dell'utente sono archiviati nel dispositivo, ma gli sviluppatoripossono anche servirsi di un'architettura client-server. Questo significa che idati personali vengono trasferiti o copiati nei sistemi del fornitore di servizi.L'archiviazione o il trattamento di dati nel dispositivo garantisce agli utentifinali il massimo controllo su detti dati, ad esempio con la possibilità dicancellarli in caso di revoca del consenso al trattamento. Tuttavia,l'archiviazione sicura dei dati presso un'ubicazione remota può agevolare illoro recupero a seguito della perdita o del furto di un dispositivo. Sonopossibili anche soluzioni intermedie.

Gli sviluppatori di applicazionidevono individuare politiche chiare in materia di sviluppo e distribuzione delsoftware. Anche i produttori di OS e dispositivi svolgono un ruolo nelpromuovere il trattamento sicuro dei dati nelle applicazioni, che saràesaminato in seguito. In secondo luogo, gli sviluppatori e gli app store devonostudiare e realizzare un ambiente favorevole alla sicurezza, con strumenti attia impedire la diffusione di applicazioni "maligne" e consentirel'installazione/la disinstallazione agevole di ciascuna applicazione.

Le buone prassi che si possonoadottare nella fase di progettazione di un'applicazione comprendono lariduzione al minimo delle linee e della complessità del codice e l'introduzionedi controlli per escludere il trasferimento o la compromissione involontari didati. Inoltre, tutti gli input dovrebbero essere convalidati per impedire casidi riempimento del buffer o episodi di attacchi con iniezione. Altri meccanismidi sicurezza degni di nota comprendono strategie adeguate di gestione di patchdi sicurezza e l'esecuzione di verifiche di sicurezza del sistema periodiche eindipendenti. Inoltre, i criteri per la progettazione di applicazionidovrebbero comprendere l'attuazione del principio del privilegio minimo perdefault, per cui alle applicazioni è consentito accedere esclusivamente ai datidi cui hanno veramente bisogno per rendere disponibile una funzionalitàall'utente. Gli sviluppatori e gli app store dovrebbero anche incoraggiare gliutenti, con apposite avvertenze, a integrare queste buone prassi diprogettazione con prassi virtuose nell'uso, come aggiornare le app alle ultimeversioni disponibili e ricordarsi di evitare di utilizzare la stessa passwordper diversi servizi.

Nella fase di progettazionedell'applicazione, gli sviluppatori devono anche prendere misure per impedirel'accesso non autorizzato a dati personali, garantendone la protezione siaquando sono in transito sia quando sono archiviati, se del caso.

Le applicazioni per dispositivimobili dovrebbero funzionare in ubicazioni specifiche all'interno della memoriadei dispositivi (sandbox⁴⁰), al fine di ridurre le conseguenze dimalware/app maligne. In stretta collaborazione con i produttori di OS e/o gliapp store, gli sviluppatori devono utilizzare i meccanismi disponibili checonsentono agli utenti di vedere quali dati vengono trattati e da qualiapplicazioni, e di attivare e disattivare selettivamente le autorizzazioni.L'uso di funzionalità nascoste non dovrebbe essere consentito.

Gli sviluppatori di applicazionidevono valutare attentamente i propri metodi di identificazione e autenticazionedegli utenti. Non dovrebbero utilizzare identificativi persistenti (specificidi un dispositivo), ma piuttosto utilizzare identificativi a bassa entropiaspecifici di un'applicazione o identificativi temporanei per evitare iltracciamento degli utenti nel corso del tempo. Si dovrebbero consideraremeccanismi di autenticazione rispettosi della privacy. Nell'autenticazionedegli utenti, gli sviluppatori devono prestare un'attenzione particolare allagestione dell'identificativo dell'utente e della password. Quest'ultima, deveessere memorizzata in modo criptato e sicuro, come un valore hashcrittografico. Una tecnica utile per incoraggiare l'uso di password migliori èquella di mettere a disposizione degli utenti un test sulla robustezza dellepassword prescelte (controllo dell'entropia). Se del caso (accesso a datisensibili, ma anche accesso a risorse a pagamento) si potrebbe prevedere unari-autenticazione, anche mediante molteplici fattori e canali diversi (adesempio codice di accesso inviato via SMS) e/o l'utilizzo di dati diautenticazione collegati all'utente finale (invece che al dispositivo).Inoltre, nel selezionare gli identificativi di sessione, si dovrebberoutilizzare stringhe non prevedibili, magari in combinazione con informazionicontestuali come data e ora, ma anche indirizzo IP o dati di geolocalizzazione.

Gli sviluppatori di applicazionidovrebbero anche tenere conto dei requisiti indicati dalla direttiva e-privacyper quanto concerne le violazioni dei dati personali e la necessità di informaregli utenti in modo proattivo. Attualmente, tali requisiti si applicanoesclusivamente ai fornitori di servizi di comunicazione elettronica disponibilial pubblico, ma si prevede che l'obbligo sarà esteso a tutti i responsabili (egli incaricati) del trattamento dei dati in virtù del futuro regolamento sullaprotezione dei dati proposto dalla Commissione (COM 2012/0011/COD). Questorafforza ulteriormente la necessità di elaborare, e sottoporre a costantevalutazione, un "piano di sicurezza" completo, che copra la raccolta,l'archiviazione e il trattamento di dati personali, al fine di impedire che siverifichino violazioni e di evitare di incorrere nelle pesanti sanzionipecuniarie previste in simili casi. Il piano di sicurezza, tra l'altro, deve ancheprevedere la gestione delle vulnerabilità e la pubblicazione tempestiva esicura di correzioni affidabili degli errori (bug fix).

La responsabilità deglisviluppatori di applicazioni in merito alla sicurezza dei loro prodotti nontermina con l'immissione sul mercato di una versione funzionante. Comequalsiasi altro prodotto sofware, anche le app possono presentare difetti evulnerabilità in termini di sicurezza e gli sviluppatori devono studiareapposite correzioni, o patch, e fornirle ai soggetti che possono metterle adisposizione degli utenti, o provvedervi direttamente.

App store

Gli app store sono importantiintermediari tra utenti finali e sviluppatori e dovrebbero effettuare una seriedi controlli approfonditi ed efficaci sulle applicazioni prima di consentire laloro immissione sul mercato, fornendo informazioni sui controlli effettivamentesvolti, ivi comprese informazioni sui tipi di verifiche di conformità allenorme sulla protezione dei dati.

Benché questa misura non siaefficace al 100% per eliminare la diffusione di app maligne, le statisticherivelano che questa prassi riduce fortemente i casi di funzionalità malignenegli app store "ufficiali"⁴¹.

Per far fronte al gran numero diapplicazioni che vengono presentate quotidianamente, questo processo potrebbebeneficiare della disponibilità di strumenti di analisi automatici, nonchédella realizzazione di canali per lo scambio di informazioni tra esperti disicurezza e professionisti del software, nonché di procedure e politiche efficaciper gestire i problemi segnalati.

Oltre ad essere sottoposte averifica prima dell'ammissione negli app store, le applicazioni dovrebberoessere soggette a un meccanismo di reputazione presso il pubblico. Gli utentinon dovrebbero limitarsi a classificare le app solo per quanto sono"forti", ma anche sulla base delle loro funzionalità, con unriferimento specifico alla privacy e ai meccanismi di sicurezza. Inoltre, imeccanismi di reputazione dovrebbero essere studiati in modo da impedire recensionifalse. I meccanismi di qualifica e reputazione per le app possono rivelarsiefficaci anche nella costruzione di una fiducia reciproca tra le varie entità,in particolare se i dati sono scambiati attraverso una lunga catena di terzi.

Spesso gli app store adottano unmetodo per disinstallare a distanza app maligne o poco sicure. Questomeccanismo, se non è studiato correttamente, può costituire un ostacolo per laresponsabilizzazione degli utenti ai fini di un controllo più rigoroso deipropri dati. Nel rispetto della privacy, lo strumento utilizzato dall'app storeper la disinstallazione a distanza delle applicazioni dovrebbe basarsisull'informazione e sul consenso dell'utente. Inoltre, da un punto di vista piùpratico, gli utenti dovrebbero disporre di canali di feedback per segnalareproblemi di sicurezza nelle applicazioni e riferire sull'efficacia di eventualiprocedure di rimozione a distanza.

Come gli sviluppatori, anche gliapp store dovrebbero essere consapevoli dei futuri obblighi di notifica di violazionidi dati personali e collaborare strettamente con gli sviluppatori per impedireil verificarsi di tali violazioni.

Produttori di OS e dispositivi

Anche i produttori di OS edispositivi sono attori importanti nella definizione di norme minime e miglioriprassi tra gli sviluppatori di applicazioni, non solo per quanto concerne lasicurezza del software sottostante e delle API, ma anche con riguardo aglistrumenti, agli orientamenti e ai materiali di riferimento offerti. Iproduttori di OS e dispositivi dovrebbero rendere disponibili algoritmi dicrittografia validi e noti e supportare chiavi di lunghezza adeguata. Essi,inoltre, dovrebbero mettere a disposizione degli sviluppatori meccanismi diautenticazione efficaci e sicuri (ad es. l'uso di certificati firmati daautorità di certificazione affidabili per verificare l'autorizzazione di unarisorsa remota). In questo modo, gli sviluppatori non avrebbero la necessità disviluppare meccanismi di autenticazione di proprietà esclusiva. Nella pratica,tali misure sono scarsamente attuate e possono rappresentare una gravevulnerabilità⁴².

L'accesso ai dati personali e illoro trattamento da parte di applicazioni dovrebbero essere gestiti attraversoclassi e metodi integrati di API che offrano controlli e salvaguardie adeguati.I produttori di OS e dispositivi dovrebbero garantire che i metodi e lefunzioni che consentono l'accesso a dati personali includano caratteristichevolte ad effettuare richieste di consenso specifiche. Allo stesso modo,dovrebbero essere adottate misure per escludere o limitare l'accesso ai datipersonali utilizzando funzioni di basso livello o altri mezzi in grado dieludere controlli e salvaguardie incorporati nelle API.

I produttori di OS e dispositividevono anche inserire nei dispositivi tracce di controllo (audit trail) chiare,affinché gli utenti possano vedere distintamente quali app hanno avuto accessoai dati sui loro dispositivi.

Tutte le parti devono rispondererapidamente alle vulnerabilità in termini di sicurezza, affinché gli utentifinali non risultino inutilmente esposti a difetti di sicurezza. Purtroppoalcuni produttori di OS e dispositivi (e operatori delle telecomunicazioni chedistribuiscono dispositivi brandizzati) non forniscono assistenza a lungotermine a versioni successive del sistema operativo, lasciando gli utentiesposti a note vulnerabilità in termini di sicurezza. I produttori di OS edispositivi, insieme agli sviluppatori, devono informare anticipatamente gliutenti finali in merito alla periodicità prevista per gli aggiornamenti disicurezza. Inoltre, se la soluzione a un problema di sicurezza richiede unaggiornamento, essi dovrebbero informarne al più presto gli utenti.

Terzi

Anche i terzi, principalmentepubblicitari e fornitori di dati analitici, sono tenuti ad applicare leconsiderazioni e le caratteristiche di cui sopra in fatto di sicurezza quandoprocedono alla raccolta e al trattamento di dati personali per finalitàproprie, ad esempio mediante la trasmissione sicura e l'archiviazione criptatadi codici identificativi univoci di dispositivi e utenti di app e altri datipersonali.

3.7 Informazione

3.7.1 Obbligo di informazione econtenuto richiesto

Ai sensi dell'articolo 10 delladirettiva sulla protezione dei dati, ciascun interessato ha il diritto diconoscere l'identità del responsabile del trattamento dei suoi dati personali.Inoltre, nel contesto delle applicazioni, l'utente finale ha il diritto disapere che tipo di dati personali sono oggetto di trattamento e per qualifinalità si intende utilizzarli. Se i suoi dati personali sono raccolti daaltri attori dell'ecosistema delle applicazioni (come descritto nella sezione3.3 del presente parere), l'utente finale, a norma dell'articolo 11 delladirettiva sulla protezione dei dati, ha comunque il diritto di essere informatoin merito al trattamento dei dati, secondo le stesse modalità descritte. Diconseguenza, in caso di trattamento di dati personali, i responsabili deltrattamento pertinenti sono tenuti a informare i potenziali utenti almeno suiseguenti aspetti:

. chi sono (identità e recapiti),

. le precise categorie di datipersonali oggetto di raccolta e trattamento,

. il motivo (per quali finalitàprecise),

. se i dati saranno divulgati aterzi

. in che modo gli utenti possonoesercitare i propri diritti, in termini di revoca del consenso e cancellazionedi dati.

La disponibilità di questeinformazioni sul trattamento dei dati personali è fondamentale per ottenere ilconsenso dell'utente, che può ritenersi valido solo se l'interessato è statopreviamente informato in merito agli elementi chiave del trattamento dei dati.La comunicazione di tali informazioni solo dopo che l'applicazione ha avviatoil trattamento dei dati personali (spesso già durante l'installazione) non è ritenutasufficiente, né legalmente valida. In linea con il rapporto informativo FTC, ilGruppo di lavoro sottolinea la necessità di fornire informazioni nel momento incui sono rilevanti per i consumatori, appena prima della raccolta dei dati daparte delle applicazioni. L'informazione in merito a quali dati sono oggettodel trattamento è particolarmente importante in considerazione dell'ampioaccesso a sensori e strutture di dati presenti sul dispositivo generalmenteconcesso alle applicazioni e che in molti casi non è evidente a livellointuitivo. Un'informazione adeguata è inoltre di vitale importanza quandol'applicazione tratta categorie particolari di dati personali, ad esempio,concernenti condizioni di salute, convinzioni politiche, orientamento sessuale,ecc. Infine, lo sviluppatore dovrebbe differenziare chiaramente le informazioniobbligatorie e quelle facoltative e il sistema dovrebbe consentire all'utentedi rifiutare l'accesso alle informazioni facoltative utilizzando opzionipredefinite rispettose della privacy.

Per quanto concerne l'identità delresponsabile del trattamento, occorre che gli utenti sappiano chi è legalmenteresponsabile del trattamento dei loro dati personali e in che modo è possibilecontattare tale responsabile. Diversamente, non possono esercitare i lorodiritti, come il diritto di accesso a dati archiviati (da remoto) che liriguardano. Data la natura frammentata del panorama delle applicazioni, èessenziale che ogni app preveda un unico punto di contatto, che assuma la responsabilitàdi tutti i trattamenti realizzati tramite la app. Non deve essere compitodell'utente finale individuare le relazioni tra gli sviluppatori e le altreparti che procedono al trattamento di dati personali mediante l'applicazione.

Per quanto concerne le finalità,gli utenti finali devono essere adeguatamente informati su quali dati personalivengono raccolti e per quale motivo. Inoltre, si dovrebbe comunicare agliutenti con un linguaggio semplice e chiaro se i dati potranno essereriutilizzati da terzi e in tal caso per quali scopi.

Indicazioni generiche come"innovazione del prodotto" sono inadeguate per informare gli utenti.

Occorre dichiarare apertamente seagli utenti sarà richiesto di acconsentire alla condivisione di dati con terziper scopi pubblicitari e/o analitici. Gli app store hanno una responsabilitàrilevante per garantire che queste informazioni siano disponibili e facilmenteaccessibili per ciascuna applicazione.

Agli app store viene attribuitaun'importante responsabilità per garantire un'informazione corretta. Siraccomanda fortemente l'uso di simboli visivi o icone sull'utilizzo dei datiper informare gli utenti in merito alle tipologie di trattamento dei dati.

In aggiunta all'informativa minimadi cui sopra, necessaria per ottenere il consenso dell'utente, il Gruppo dilavoro raccomanda fortemente, in considerazione del trattamento corretto deidati personali, che i responsabili del trattamento forniscano agli utenti ancheinformazioni su quanto segue:

. considerazioni sullaproporzionalità per le tipologie di dati raccolti o visionati sul dispositivo,

. periodi di conservazione deidati,

. misure di sicurezza applicatedal responsabile del trattamento.

Il Gruppo di lavoro raccomandainoltre che gli sviluppatori di applicazioni includano nella propria politicasulla privacy dedicata agli utenti europei informazioni sulla conformità allanormativa sulla protezione dei dati, ivi compresi possibili trasferimenti didati personali, ad esempio, dall'Europa agli USA e se e come, in tal caso,l'applicazione rispetta il quadro di riferimento Safe Harbor (approdo sicuro).

3.7.2 Formato dell'informazione

Le informazioni essenziali sultrattamento dei dati devono essere disponibili agli utenti primadell'installazione dell'applicazione, tramite l'app store. In secondo luogo, leinformazioni pertinenti sul trattamento dei dati devono essere accessibilianche dall'interno della app, dopo l'installazione.

In qualità di responsabilicongiunti del trattamento insieme agli sviluppatori per quanto concernel'informazione, gli app store devono garantire che ogni applicazione forniscale informazioni essenziali sul trattamento dei dati personali, verificando ilink alle pagine con informazioni sulla privacy ed eliminando le applicazionicon collegamenti interrotti o comunque con informazioni non accessibili sultrattamento dei dati.

Il Gruppo di lavoro raccomanda chele informazioni sul trattamento dei dati personali siano disponibili efacilmente individuabili, ad esempio anche all'interno dell'app store epreferibilmente sui normali siti web dello sviluppatore responsabiledell'applicazione. » inaccettabile che gli utenti si trovino a dover ricercarein rete le informazioni sulle politiche di trattamento dei datidell'applicazione, invece di esserne informati direttamente dallo sviluppatoreo altri responsabili del trattamento dei dati.

Ogni applicazione dovrebbeprevedere, come minimo, una politica sulla privacy leggibile, comprensibile efacilmente accessibile, che comprenda tutte le informazioni summenzionate.Molte applicazioni non soddisfano neppure questo requisito minimo ditrasparenza. Secondo lo studio FPF del giugno 2012, il 56% delle app apagamento e quasi il 30% delle app gratuite non prevedono una politica sullaprivacy.

Le applicazioni che non trattano idati personali, né sono progettate per farlo, dovrebbero dichiararloesplicitamente nella politica sulla privacy.

Naturalmente esistono alcunelimitazioni alla quantità di informazioni che si possono presentare su unpiccolo schermo, ma questo non giustifica il fatto di non informareadeguatamente gli utenti finali. Si possono adottare numerose strategie pergarantire che gli utenti siano a conoscenza degli elementi fondamentali delservizio. Il Gruppo di lavoro rileva alcuni vantaggi nell'utilizzo diavvertenze multistrato, come indicato in dettaglio nel parere 10/2004⁴³,dove l'avvertenza iniziale all'utente contiene le informazioni minime richiestedal quadro giuridico dell'UE e ulteriori informazioni sono disponibili tramitecollegamenti alla politica sulla privacy nella sua versione integrale. Leinformazioni dovrebbero essere presentate direttamente sullo schermo, inmaniera facilmente accessibile e ben visibile. Oltre a ricevere informazionigenerali adatte al piccolo schermo dei dispositivi mobili, gli utenti devonoessere in grado di collegarsi a spiegazioni più ampie, ad esempio contenutenella politica sulla privacy, su come l'applicazione utilizza i dati personali,chi è il responsabile del trattamento dei dati e dove è possibile esercitare ipropri diritti di utente.

Tale approccio può essereassociato all'utilizzo di icone, immagini, video e audio, nonché notifichecontestuali in tempo reale quando una app accede alla rubrica o a foto⁴⁴.Queste icone devono essere significative, ossia chiare, autoesplicative einequivocabili. Chiaramente, il produttore di OS condivide una parte rilevantedi responsabilità nell'agevolare l'utilizzo di queste icone.

In effetti, gli sviluppatori diapplicazioni eccellono nella programmazione e nella progettazione di interfaccecomplesse per piccoli schermi e il Gruppo di lavoro sollecita il settore asfruttare questo talento creativo per fornire soluzioni più innovative ai finidi un'informazione più efficace agli utenti su dispositivi mobili. Pergarantire che le informazioni siano veramente comprensibili per gli utentiprivi di conoscenze tecniche o giuridiche, il Gruppo di lavoro (in linea con ilrapporto informativo FTC) raccomanda vivamente di sottoporre a test tra i consumatorile strategie di informazione prescelte⁴⁵.

3.8 Diritti dell'interessato

Secondo gli articoli 12 e 14 delladirettiva sulla protezione dei dati, gli sviluppatori di applicazioni e altriresponsabili del trattamento nell'ecosistema delle app per dispositivi mobilidevono consentire agli utenti di esercitare i propri diritti di accesso,rettifica, cancellazione e opposizione al trattamento dei dati. Se un utenteesercita il diritto di accesso, il responsabile del trattamento è tenuto ainformarlo in merito ai dati oggetto del trattamento e alla relativa origine.Se il responsabile del trattamento prende decisioni automatizzate sulla basedei dati compilati è tenuto anche a informare l'utente in merito alla logicaapplicata a tali decisioni. Questo potrebbe valere quando si valutano leprestazioni o la condotta degli utenti, ad esempio sulla base di datifinanziari o relativi alla salute, o altri dati del profilo. Su richiestadell'utente, il responsabile del trattamento dei dati è tenuto anche a consentirela rettifica, la cancellazione o il congelamento dei dati personali se questisono incompleti, inesatti o trattati illecitamente.

Affinché gli utenti siano in gradodi esercitare il controllo sul trattamento dei propri dati personali, leapplicazioni devono informarli chiaramente e visibilmente dell'esistenza diquesti meccanismi di accesso e correttivi. Il Gruppo di lavoro "articolo29" raccomanda la progettazione e la realizzazione di strumenti semplicima sicuri di accesso online. » preferibile che gli strumenti di accesso sianodisponibili all'interno di ciascuna applicazione, o tramite un link a unafunzione online, dove gli utenti possono accedere istantaneamente a tutti idati trattati che li riguardano, con le necessarie spiegazioni.

Iniziative analoghe, come lediverse dashboard e altri meccanismi di accesso, sono state intraprese dafornitori di servizi online.

Un accesso online agevole èparticolarmente necessario nel caso di applicazioni che trattano profili utentemolto ricchi, come le app di networking, sociali e di messaggistica o le appche trattano dati sensibili o finanziari. Ovviamente, l'accesso dovrebbe essereconcesso solo se è stata stabilita l'identità dell'interessato, al fine dievitare perdite di dati verso terzi. Tuttavia, questo obbligo di verificare lacorretta identità non dovrebbe comportare una raccolta aggiuntiva ed eccessivadi dati personali dell'interessato. In molti casi, potrebbe bastarel'autenticazione invece dell'identificazione (completa).

Inoltre, gli utenti dovrebberosempre avere la possibilità di revocare il proprio consenso in maniera semplicee non onerosa. Un interessato può revocare il consenso al trattamento dei datiin vari modi e per una serie di motivi. » preferibile che l'opzione dellarevoca del consenso sia disponibile tramite i meccanismi facilmente accessibilidi cui sopra. Deve essere possibile disinstallare le applicazioni eliminandonel contempo tutti i dati personali, anche dai server del responsabile deltrattamento.

Per consentire agli utenti di farcancellare i propri dati dallo sviluppatore dell'applicazione è importante ilruolo del produttore del sistema operativo, che trasmette un segnale allosviluppatore quando un utente disinstalla l'applicazione. Il segnale potrebbeessere fornito attraverso la API. In linea di principio, dopo che l'utente hadisinstallato l'applicazione, lo sviluppatore non dispone più di un fondamentogiuridico per continuare il trattamento dei dati personali relativi all'utentee pertanto è tenuto a cancellare tutti i dati. Uno sviluppatore che desidericonservare determinati dati, ad esempio per facilitare la reinstallazione dellaapp, deve ottenere separatamente il relativo consenso nella procedura didisinstallazione, chiedendo all'utente di acconsentire a un ulteriore periododi conservazione definito.

L'unica eccezione a questa regolaè la possibile esistenza dell'obbligo legale di conservare taluni dati perscopi specifici, ad esempio obblighi fiscali relativi a operazioni finanziarie⁴⁶.

3.9 Periodi di conservazione

Gli sviluppatori devono tenerconto della conservazione dei dati raccolti con le applicazioni e dei rischiposti in termini di protezione dei dati. I tempi specifici dipendono dalloscopo dell'applicazione e dalla rilevanza dei dati per l'utente finale. Adesempio, in un calendario, un diario o un'applicazione per la condivisione difoto, il periodo di conservazione solitamente è controllato dall'utente finale,mentre per una app di navigazione può bastare archiviare solo gli ultimi 10 sitivisitati di recente. Gli sviluppatori dovrebbero anche prendere inconsiderazione i dati degli utenti che non usano l'applicazione da un lungoperiodo di tempo. Può darsi che abbiano perso il loro dispositivo mobile, osiano passati ad un altro dispositivo senza disinstallare attivamente tutte leapp dal dispositivo precedente. Gli sviluppatori dovrebbero pertanto definireun periodo di tempo di inattività dopo il quale l'account sarà consideratoscaduto e garantire che l'utente ne sia informato. Alla scadenza di taleperiodo di tempo, il responsabile del trattamento dovrebbe avvertire l'utente edargli la possibilità di recuperare i dati personali. Se l'utente non rispondeall'avvertimento, i suoi dati personali e relativi all'utilizzodell'applicazione dovrebbero essere resi anonimi o cancellati in modoirreversibile. Il periodo di promemoria dipende dalla finalitàdell'applicazione e dal luogo dove sono archiviati i dati.

Nel caso di dati archiviati suldispositivo stesso, ad esempio un punteggio alto in un gioco, i dati siconservano finché resta installata l'applicazione. Nel caso di dati utilizzatisolo una volta all'anno, come informazioni su una stazione sciistica, ilperiodo di promemoria potrebbe arrivare a 15 mesi.

3.10 Minori

I minori sono avidi utenti diapplicazioni, su dispositivi propri o condivisi (ad esempio di genitori,fratelli o nel contesto scolastico) ed evidentemente esiste un mercato vasto ediversificato per le applicazioni rivolte ai minori. Nello stesso tempo però iminori hanno una comprensione e una conoscenza scarse o nulle in merito allaportata e alla delicatezza dei dati ai quali possono accedere le applicazioni,o alla portata della condivisione di dati con terzi per scopi pubblicitari.

Il Gruppo di lavoro ha affrontatoampiamente il problema del trattamento dei dati di minori nel parere 2/2009sulla protezione dei dati personali dei minori e nel presente paragrafo trattasolo una serie di rischi e raccomandazioni specifici per le applicazioni⁴⁷.

Gli sviluppatori di applicazioni ealtri responsabili del trattamento dei dati dovrebbero prestare attenzione allimite di età che definisce i minori nella legislazione nazionale, dove ilconsenso dei genitori al trattamento dei dati è un requisito indispensabile peril trattamento legittimo dei dati nelle applicazioni⁴⁸.

Laddove sia possibile ottenerelegalmente il consenso di un minore e l'applicazione debba essere utilizzata daun bambino o un minore, il responsabile del trattamento dei dati dovrebbetenere conto della comprensione e dell'attenzione potenzialmente limitate delminore in merito alle informazioni sul trattamento dei dati. A causa dellavulnerabilità generale dei minori e considerando che i dati personali devonoessere trattati lealmente e lecitamente, i responsabili del trattamento di datidi minori dovrebbero essere anche più rigorosi nel rispettare i principi diminimizzazione dei dati e limitazione della finalità.

Nello specifico, i responsabilidel trattamento non dovrebbero trattare dati di minori, direttamente oindirettamente,a fini di pubblicità comportamentale, poiché è al di fuori della portata dellacomprensionedi un minore e pertanto supera i limiti del trattamento lecito.

Il Gruppo di lavoro condivide lepreoccupazioni espresse dalla Federal Trade Commission nel suo rapportoinformativo sulle applicazioni per dispositivi mobili destinate a minori⁴⁹.

Gli sviluppatori di applicazioni,in collaborazione con app store e produttori di OS e dispositivi, dovrebberopresentare le informazioni pertinenti in maniera semplice e con un linguaggioadatto all'età. Inoltre, i responsabili del trattamento dovrebbero evitare diraccogliere dati relativi a genitori o famigliari del minore, nonchéinformazioni finanziarie o relative a particolari categorie, quali i datimedici.

4 Conclusioni e raccomandazioni

Molte tipologie di datidisponibili su un dispositivo mobile intelligente sono dati personali. Ilquadro giuridico pertinente è la direttiva sulla protezione dei dati, incombinazione con il requisito specifico del consenso contenuto nell'articolo 5,paragrafo 3, della direttiva e-privacy. Queste norme si applicano a qualsiasiapplicazione destinata ad utenti all'interno dell'UE, a prescinderedall'ubicazione dello sviluppatore o dell'app store.

La natura frammentatadell'ecosistema delle applicazioni, l'ampia gamma di possibilità tecniche diaccesso a dati archiviati in dispositivi mobili o generati dagli stessi e lascarsa consapevolezza giuridica tra gli sviluppatori creano una serie di rischirilevanti in fatto di protezione dei dati per gli utenti delle applicazioni.Questi rischi vanno dalla mancanza di trasparenza e consapevolezza tra gliutenti a scarse misure di sicurezza e meccanismi di consenso privi di validità,nonché una tendenza alla massimizzazione dei dati e all'elasticità dellefinalità del trattamento.

Esiste una sovrapposizione diresponsabilità in fatto di protezione dei dati tra le diverse parti coinvoltenello sviluppo, nella distribuzione e nelle funzionalità tecniche delleapplicazioni. Le conclusioni e le raccomandazioni si rivolgono per lo più aglisviluppatori (in quanto detentori del maggior controllo sulle modalità precisedel trattamento o della presentazione delle informazioni all'interno delleapplicazioni), che tuttavia, nell'intento di raggiungere i massimi livelli diprotezione della privacy e dei dati, spesso devono collaborare con altre partinell'ecosistema delle applicazioni, quali produttori di OS e dispositivi, appstore e terzi, ad es. fornitori di dati analitici e reti pubblicitarie.

Gli sviluppatori di applicazionidevono

. essere consapevoli dei propriobblighi in qualità di responsabili del trattamento dei dati e rispettarli neltrattamento di dati degli utenti o relativi ad essi;

. essere consapevoli dei propriobblighi in qualità di responsabili del trattamento dei dati e rispettarli nell'ingaggiareincaricati del trattamento, ad esempio se affidano la raccolta e il trattamentodi dati personali a sviluppatori, programmatori e fornitori di servizi diarchiviazione cloud;

. chiedere il consenso prima che l'applicazionecominci a recuperare o inserire informazioni sul dispositivo, ossia prima dell'installazione.

Il consenso deve essereliberamente prestato, specifico e informato;

. chiedere il consenso granulareper ciascun tipo di dati a cui avrà accesso l'applicazione, almeno per lecategorie quali ubicazione, contatti, codice identificativo univoco, identitàdell'interessato, identità del telefono, dati di carta di credito e pagamento,telefonia e SMS, cronologia di navigazione, e-mail, credenziali per socialnetwork e dati biometrici;

. essere consapevoli del fatto cheil consenso non legittima trattamenti eccessivi o sproporzionati;

. indicare finalità ben definite ecomprensibili per il trattamento dei dati prima dell'installazione dell'applicazionee non modificarle senza un nuovo consenso; fornire informazioni complete se idati saranno usati per scopi di terzi, come pubblicità o analisi;

. consentire agli utenti direvocare il consenso e disinstallare l'applicazione, cancellando i dati se delcaso;

. rispettare il principio diminimizzazione dei dati e raccogliere solo i dati strettamente necessari pereseguire la funzionalità desiderata;

. adottare le necessarie misuretecniche e organizzative per garantire la protezione dei dati personalitrattati, in tutte le fasi della progettazione e attuazione dell'applicazione(privacy by design), come definito nella sezione 3.6 del presente parere;

. fornire un unico punto dicontatto per gli utenti dell'applicazione;

. prevedere una politica sullaprivacy leggibile, comprensibile e facilmente accessibile, che come minimoinformi gli utenti in merito a quanto segue:

. chi sono (identità e recapiti),

. le precise categorie di datipersonali oggetto di raccolta e trattamento,

. perché è necessario iltrattamento (per quali finalità precise),

. se i dati saranno divulgati aterzi (con una descrizione specifica, e non solo generica, dei soggetti a cuisaranno divulgati i dati)

. quali sono i diritti degliutenti, in termini di revoca del consenso e cancellazione di dati;

. consentire agli utenti diesercitare i propri diritti di accesso, rettifica, cancellazione e opposizioneal trattamento dei dati, informandoli in merito all'esistenza di questimeccanismi;

. definire un periodo diconservazione ragionevole per i dati raccolti tramite l'applicazione e un periododi inattività al termine del quale l'account sarà considerato scaduto;

. per quanto concerne leapplicazioni destinate a minori: prestare attenzione al limite di età chedefinisce i minori nella legislazione nazionale, scegliere l'approccio piùrestrittivo al trattamento dei dati nel pieno rispetto dei principi diminimizzazione dei dati e limitazione della finalità, astenersi dal trattaredati di minori, direttamente o indirettamente, per scopi di pubblicitàcomportamentale e astenersi dal raccogliere tramite i minori dati relativi aloro parenti e/o amici.

Il Gruppo di lavoro raccomanda chegli sviluppatori di applicazioni

. studino gli orientamentipertinenti in merito a specifici rischi per la sicurezza e relative misure;

. si attivino per informare gliutenti in merito a violazioni di dati personali secondo le disposizioni delladirettiva e privacy;

. informino gli utenti in merito aconsiderazioni di proporzionalità per i tipi di dati raccolti o consultati suldispositivo, i periodi di conservazione dei dati e le misure di sicurezzaapplicate;

. sviluppino strumenti perconsentire agli utenti di personalizzare i periodi di conservazione dei datipersonali sulla base delle loro preferenze e situazioni specifiche, invece diprevedere periodi di conservazione predefiniti;

. nella politica sulla privacyincludano informazioni destinate a utenti europei;

. sviluppino e attuino strumentidi accesso online semplici ma sicuri per gli utenti, senza raccogliereeccessivi dati personali aggiuntivi;

. insieme ai produttori di OS edispositivi e agli app store sfruttino il loro talento creativo per svilupparesoluzioni innovative per informare adeguatamente gli utenti sui dispositivimobili, ad esempio mediante un sistema di avvertenze multistrato in combinazioneall'uso di icone con un chiaro significato.

Gli app store devono

. essere consapevoli dei propriobblighi in qualità di responsabili del trattamento dei dati e rispettarli neltrattare i dati degli utenti o che li riguardino;

. applicare l'obbligo diinformazione dello sviluppatore, ivi compresi i tipi di dati ai quali l'applicazioneè in grado di accedere e per quali scopi, e se i dati sono condivisi con terzi;

. prestare una particolareattenzione alle applicazioni destinate a minori per proteggerli nei confrontidel trattamento illecito dei loro dati e in particolare applicare l'obbligo dipresentare le informazioni pertinenti in modo semplice e con un linguaggioadatto all'età;

. fornire informazioni dettagliatesui controlli effettuati per l'ammissione delle applicazioni, tra cui quelliintesi a valutare aspetti relativi a privacy e protezione dei dati.

Il Gruppo di lavoro raccomanda chegli app store

. in collaborazione con iproduttori di OS, sviluppino strumenti di controllo per gli utenti, qualisimboli che rappresentano l'accesso a dati contenuti nel dispositivo mobile egenerati dallo stesso;

. sottopongano tutte leapplicazioni a meccanismi di reputazione presso il pubblico;

. prevedano un meccanismo didisinstallazione remota rispettoso della privacy;

. offrano agli utenti dei canalidi feedback per segnalare problemi relativi a privacy e/o sicurezza;

. collaborino con gli sviluppatoridi applicazioni per informare in modo proattivo gli utenti in merito aviolazioni dei dati personali;

. avvertano gli sviluppatori diapplicazioni in merito alle particolarità della legislazione europea prima diproporre l'applicazione in Europa, come ad esempio il requisito del consenso enel caso di trasferimenti di dati personali in paesi extra-UE.

I produttori di OS e dispositividevono

. aggiornare le loro API, regoledi archiviazione e interfacce utente per offrire agli utenti un controllosufficiente ad esercitare un valido consenso sui dati trattati dalleapplicazioni;

. inserire nei sistemi operatividei meccanismi di consenso al primo lancio dell'applicazione o la prima voltache l'applicazione cerca di accedere a una delle categorie di dati cheesercitano un impatto significativo sulla privacy;

. adottare i principi della privacyby design per impedire il monitoraggio segreto dell'utente;

. garantire la sicurezza deltrattamento;

. garantire che le (impostazionipredefinite delle) applicazioni preinstallate siano conformi alla normativaeuropea sulla protezione dei dati;

. offrire l'accesso granulare adati, sensori e servizi, al fine di garantire che lo sviluppatore possaaccedere solo ai dati necessari per la sua applicazione;

. fornire mezzi agevoli edefficaci per evitare di essere tracciati da pubblicitari e altri terzi.

Le impostazioni predefinite devonoessere tali da evitare qualsiasi tracciamento;

. garantire la disponibilità dimeccanismi adeguati per informare ed educare l'utente finale in merito a quelloche possono fare le applicazioni e a quali dati sono in grado di accedere;

. garantire che l'accesso aciascuna categoria di dati sia indicato nell'informativa all'utente prima dell'installazionedell'applicazione: le categorie presentate devono essere chiare ecomprensibili;

. creare un ambiente rispettosodella sicurezza, con strumenti atti a impedire la diffusione di app maligne econsentire l'installazione/disinstallazione agevole di ciascuna funzionalità.

Il Gruppo di lavoro raccomanda cheproduttori di OS e dispositivi

. consentano agli utenti di disinstallarele app e trasmettano un segnale (ad esempio tramite l'API) allo sviluppatoreper consentire la cancellazione dei relativi dati dell'utente;

. offrano e agevolinosistematicamente aggiornamenti di sicurezza periodici;

. garantiscano che i metodi e lefunzioni che consentono l'accesso a dati personali includano funzionalitàintese ad effettuare richieste di consenso granulare;

. contribuiscano attivamente allosviluppo di icone che avvertano gli utenti in merito a diversi utilizzi deidati da parte di applicazioni;

. sviluppino nei dispositivitracce di controllo (audit trail) chiare, affinché gli utenti finali possanovedere chiaramente quali applicazioni hanno avuto accesso ai dati sui lorodispositivi e le quantità di traffico in uscita per applicazione, in relazioneal traffico avviato dall'utente.

I terzi

. devono essere consapevoli deipropri obblighi in qualità di responsabili del trattamento dei dati erispettarli nel trattare dati personali degli utenti;

. devono rispettare il requisitodel consenso stabilito all'articolo 5, paragrafo 3, della direttiva e

- privacy quando leggono oscrivono dati su dispositivi mobili, in collaborazione con gli sviluppatori diapplicazioni e/o app store, che essenzialmente forniscono all'utente informazionisulle finalità del trattamento dei dati;

. devono astenersi dall'eludereeventuali meccanismi studiati per evitare il tracciamento, come attualmenteaccade spesso con i meccanismi "Do Not Track" inseriti nei browser;

. i fornitori di servizi di comunicazione,quando distribuiscono dispositivi brandizzati, devono garantire il validoconsenso degli utenti ad applicazioni preinstallate e assumersi le relativeresponsabilità nel contribuire alla determinazione di certe funzionalità deldispositivo e del sistema operativo, ad esempio, nel limitare l'accessodell'utente a certi parametri di configurazione o nel filtrare fix release (disicurezza e funzionali) fornite dai produttori di dispositivi e OS;

. i pubblicitari devono evitarespecificamente di trasmettere annunci fuori dal contesto dell'applicazione, adesempio modificando le impostazioni del browser o inserendo icone sul desktopdel dispositivo mobile. Inoltre, devono astenersi dall'utilizzare codiciidentificativi univoci di dispositivi o abbonati a fini di tracciamento;

. devono astenersi dal trattare,direttamente o indirettamente, dati di minori per scopi di pubblicitàcomportamentale e devono applicare adeguate misure di sicurezza, checomprendono la trasmissione sicura e l'archiviazione criptata di codiciidentificativi univoci di dispositivi e utenti di app e altri dati personali.

Il Gruppo di lavoro raccomanda chei terzi

. sviluppino e realizzinostrumenti di accesso online semplici ma sicuri per gli utenti, senzaraccogliere eccessivi dati personali aggiuntivi;

. raccolgano e trattino solo daticoerenti con il contesto dove li fornisce l'utente.

NOTE                                               

1 Relazione in ConceivablyTech del19 agosto 2012, disponibile all'indirizzo

www.conceivablytech.com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of.Citata da Kamala D. Harris, procuratore generale del dipartimento di giustiziadella California, Privacy on the go, Recommendations for the mobile ecosystem,gennaio 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf.

2 Stima mondiale per il 2012 diABI Research, http://www.abiresearch.com/press/smartphone-users-

worldwide-will-download-37-apps-o.

3 Un sensore capace di individuarela presenza di un oggetto materiale senza un contatto fisico. Cfr.:

http://www.w3.org/TR/2012/WD-proximity-20121206/.

4 Cfr. parere 13/2011 del Gruppodi lavoro "articolo 29" sui servizi di geolocalizzazione sudispositivi mobili intelligenti (maggio 2011),

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp185_it.pdf.

5 Benché i browser per desktopstiano acquisendo un accesso più ampio a dati da sensori su dispositivi diutenti finali, spinti dagli sviluppatori di giochi web.

6 Cfr., tra l'altro, il rapportoinformativo FTC Mobile Privacy Disclosures, Building Trust ThroughTransparency, febbraio 2013,http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, il rapportoinformativo FTC Mobile Apps for Kids: Current Privacy Disclosures areDisappointing, febbraio 2012,

http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdfe la relazione di follow-up, Mobile Apps for Kids: Disclosures Still Not Makingthe Grade, dicembre 2012,

http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf,Ufficio del commissario per la privacy del Canada, Seizing Opportunity: GoodPrivacy Practices for Developing Mobile Apps, ottobre 2012,

http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf,Kamala D. Harris, procuratore generale del dipartimento di giustizia della California,Privacy on the go, Recommendations for the mobile ecosystem, gennaio 2013,http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf.

7 Studio FPF Mobile Apps, giugno2012, http://www.futureofprivacy.org/wp-content/uploads/Mobile-Apps-Study-June-2012.pdf.

8 "L'89% [degli utenti]considera importante sapere quando un'informazione personale è condivisa daun'applicazione ed essere in grado di attivare o disattivare la funzione".Fonte: User perspectives on mobile privacy, settembre 2011, http://www.gsma.com/publicpolicy/wp-

content/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf.

9 Wall Street Journal, Your AppsAre Watching You,

http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html.

10 Nella misura in cuil'applicazione genera traffico di dati personali verso responsabili deltrattamento. Questo criterio potrebbe non essere soddisfatto se il trattamentodei dati avviene solo localmente nel dispositivo stesso.

11 Ad esempio, dichiarazionisull'esclusiva applicazione del diritto di una giurisdizione al di fuori delSEE.

12 I dati possono essere i)generati automaticamente dal dispositivo, sulla base di funzionipredeterminatedal produttore del sistema operativo e/o dispositivo o dal relativo fornitoredi telefonia mobile (ad esempiodati di geolocalizzazione, impostazioni di rete,indirizzo IP); ii) generati dall'utente mediante app (liste dicontatti,appunti, foto); iii) generati dalle app (ad es. cronologia di navigazione).

13 Codice IMEI (InternationalMobile Equipment Identity).

14 Codice IMSI (InternationalMobile Subscriber Identity).

15 Codice identificativo univocodel dispositivo (Unique Device Identifier).

16 Gli utenti tendono a chiamareil telefono con il proprio nome: "iPhone di Mario Rossi".

17 Pur utilizzando l'espressionecomune "sviluppatore di applicazioni", il Gruppo di lavorosottolineache il termine non si riferisce solo a programmatori o sviluppatoritecnici di applicazioni, ma comprende anche i proprietari, ossia società e organizzazioniche commissionano lo sviluppo di applicazioni e nedeterminano le finalità.

18 In alcuni casi, il produttoredel sistema operativo coincide con il produttore del dispositivo, mentre inaltri il produttore del dispositivo è un'azienda diversa dal fornitore delsistema operativo.

19 Cfr. Corte di giustiziadell'Unione europea, causa C-101/01, procedimento penale a caricodiBodilLindqvist, sentenza del 6 novembre 2003, e causa C-73/07,Tietosuojavaltuutettu controSatakunnanMarkkinapˆrssiOy e SatamediaOy, sentenzadel 16 dicembre 2008.

20 Cfr. parere 5/2009 del Gruppodi lavoro "articolo 29" sui social network on-line (giugno 2009),

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_it.pdf.

21 Cfr. parere 05/2012 del Gruppodi lavoro "articolo 29" sul cloud computing (luglio 2012),

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-

recommendation/files/2012/wp196_it.pdf.

22 Cfr. parere 2/2010 del Gruppodi lavoro "articolo 29" sulla pubblicità comportamentale online (giugno 2010),

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_it.pdfe il parere 1/2010 del Gruppo di lavoro "articolo 29" sui concetti di"responsabile del trattamento" e "incaricato deltrattamento" (febbraio 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf.

23 Cfr. considerando 46 e articolo17.

24 Cfr. articolo 14, paragrafo 3.

25 Direttiva 1999/5/CE, del 9marzo 1999, riguardante le apparecchiature radio e le apparecchiature terminalidi telecomunicazione e il reciproco riconoscimento della loro conformità,Gazzetta ufficiale delle Comunità europee, L 91 del 7.4.1999, pag. 10.L'articolo 3, paragrafo 3, lettera c), prevede che la Commissioneeuropea puòstabilire che i dispositivi degli utenti finali "siano costruiti in mododa contenere elementi disalvaguardia per garantire la protezione dei datipersonali e della vita privata dell'utente e dell'abbonato".

26 Il Gruppo di lavoro apprezza leraccomandazioni della FTC a questo proposito nel rapporto informativo MobilePrivacy Disclosures di cui alla nota 6, ad esempio a pagina 15: "

(ä) le piattaforme sono in una posizione unica per fornire informativecoerenti attraverso le app e sono incoraggiate a farlo. In linea con leosservazioni del workshop, potrebbero anche considerare di pubblicare leinformative più volte in diversi momenti (ä)".

27 Parere 2/2010 del Gruppo dilavoro "articolo 29" sulla pubblicità comportamentale online (giugno2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_it.pdf.

28 Cfr. anche l'interpretazionedel concetto di dati personali nel parere 4/2007 del Gruppo di lavoro"articolo 29" sul concetto di dati personali (giugno 2007),

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_it.pdf.

29 I fornitori di servizi dicomunicazione sono soggetti anche ad obblighi specifici del settore in materiadi protezione dei dati non rientranti nell'ambito di applicazione del presenteparere.

30 Parere 2/2010 del Gruppo dilavoro "articolo 29" sulla pubblicità comportamentale online, pagg.10-11.

31 Mobile Station IntegratedServices Digital Network (rete digitale integrata dell'abbonato mobile).

32 Parere 15/2011 del Gruppo dilavoro "articolo 29" sulla definizione di consenso (luglio 2011),

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_it.pdf.

33 Idem, pag. 19.

34 Consenso granulare significache le persone possono controllare con esattezza (in modo specifico) qualifunzioni di trattamento di dati offerte dall'applicazione intendono attivare.

35 La necessità di tale consensogranulare è anche espressamente sostenuta dalla FTC nel suo rapporto piùrecente (cfr. nota 6), pagg. 15-16: "(ä) le piattaforme dovrebbero consideraredi fornire informative in tempo reale (just-in-time) e ottenere l'esplicitoconsenso affermativo alla raccolta di altri contenuti che molti consumatoritroverebbero sensibili in molti contesti, quali fotografie, contatti,appuntamenti o la registrazione di contenuti audio e video".

36 Idem, pagg. 34-35: "Ilconsenso generico senza una precisa indicazione dell'intento del trattamento alquale l'interessato acconsente non soddisfa il presente requisito. Ciòsignifica che l'informazione sulla finalità del trattamento non deve esserecompresa nelle disposizioni generali, bensì in una clausola di consensoseparata".

37 I dispositivi jailbrokenconsentono l'installazione di app alternative a quelle degli storeufficiali;anche i dispositivi Android consentono l'installazione di app daaltre fonti.

38 Con il caso particolare delleapp preinstallate.

39 ENISA "Smartphone SecureDevelopment Guideline":http://www.enisa.europa.eu/activities/Resilience-and-

CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines.

40 Un sandbox è un meccanismo disicurezza per separare programmi in esecuzione.

41 "Hey, You, Get Off of MyMarket: Detecting Malicious Apps in Official and Alternative AndroidMarkets", Y Zhou et al., Network and Distributed System Security Symposium(NDSS) 2012.

42 Recentemente è stato rilevatoche la mancanza di indicatori di sicurezza visivi per l'utilizzo di protocolliSSL/TLS e l'uso inadeguato di SSL/TLS si possono sfruttare per lanciareattacchi Man-in-the-Middle (MITM). Secondo ricerche recenti, la base cumulativadi app installate con vulnerabilità confermate nei confronti di attacchi MITMcomprende diversi milioni di utenti. "Why Eve and Mallory Love Android: AnAnalysis of Android SL (In)Security", Bernd Freisleben e Matthew Smith,19th ACM Conference on Computer and Communications Security (ACM CCS 2012).

43 Gruppo di lavoro "articolo29", parere 10/2004 sulla maggiore armonizzazione della fornitura diinformazioni (luglio 2004), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_it.pdf.

44 Ad esempio, l'icona diavvertimento per il trattamento di dati di geolocalizzazione utilizzata suiPhone.

45 Rapporto informativo FTC, nota6, pag. 16.

46 Il Gruppo di lavoro rammenta atutti i servizi della società dell'informazione, come le app, che l'obbligoeuropeo di conservazione dei dati (direttiva 2006/24/CE) non si applica nelloro caso e pertanto non può essere invocato come fondamento giuridico percontinuare il trattamento dei dati di utenti di applicazioni dopo che le hannocancellate. Il Gruppo di lavoro coglie questa opportunità per evidenziare lanatura particolarmente rischiosa dei dati sul traffico, che meritano specialiprecauzioni e salvaguardie di per sé– come indicato nella relazione didetto Gruppo sull'applicazione della direttiva sulla conservazione deidati(WP172) – dove tutte le parti interessate sono state invitate ad attuarele opportune misure di sicurezza.

47 WP 160, parere 2/2009 sullaprotezione dei dati personali dei minori (Principi generali e caso specificodelle scuole) (11 febbraio 2009),http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_it.pdf.

48 Negli Stati membri dell'UE illimite di età va da 12 a 18 anni.

49 Rapporto informativo FTC MobileApps for Kids: Current Privacy Disclosures are Disappointing (febbraio 2012),http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf. "Benché si siaindividuata una gamma diversificata di applicazioni per minori create dacentinaia di sviluppatori diversi, si sono riscontrate