App per smartphone: la tutela della privacy e il GDPR

Da tempo ormai i device (smartphone, tablet ecc..) sono diventati parte integrante della nostra vita. Negli ultimi anni sono poi nate le APP o applicazioni per device mobili che ci consentono di svolgere moltissime attività: conoscere il ritardo del treno, verificare disponibilità di alberghi, aggiornamenti professionali, e tanto altro ancora. Ma di fatto che cosa è una app e soprattutto in che modo il GDPR, il Regolamento generale sulla protezione dei dati, impatta sulla sua progettazione e gestione? In questo articolo dedicato alla tutela della privacy nelle App, tratteremo nello specifico i seguenti temi:

• Che cos’è e come funziona un’app, in sintesi
• Distinguere le app: App native, Web App e App Ibride
• I problemi giuridici delle App
  • A) legge applicabile
  • B) Correttezza del trattamento
  • C) Consenso al trattamento
  • D) misure organizzative e tecniche
• Qualificazione giuridica di un’app

Per approfondire i temi delle nuove tecnologie alla luce delle più stringenti questioni di privacy, dati personali e GDPR, vi suggeriamo “Diritto e nuove tecnologie” di Michele Iaselli, autore di questo articolo e curatore dell’area “Privacy” di Altalex.com.

Che cos’è e come funziona un’app, in sintesi

Sostanzialmente, l’APP è un’applicazione software progettata per consentire di interagire con le informazioni e gli strumenti su cui è installata. In effetti l’ APP non è altro che l’abbreviazione del termine “applicazione” ed è indicativo di un software contraddistinto da semplificazione ed eliminazione del superfluo le cui caratteristiche principali, pertanto, sono leggerezza, essenzialità e velocità, anche in considerazione delle limitate risorse hardware dei dispositivi mobili (smartphone, tablet, lettori mp3, smartwatch, etc.) i quali utilizzano batterie e processori meno potenti rispetto ai personal computer. Un’altra caratteristica delle APP è la loro capacità di poter interagire totalmente sia a livello software sia hardware del dispositivo mobile sul quale vengono installate aumentandone così le possibilità di utilizzo e gestione: ad esempio display, fotocamera, funzionalità di geolocalizzazione, consumi, etc. Le APP possono essere scaricate dagli appositi store o market dei quali dispone ogni sistema operativo mobile. A seconda del sistema operativo di destinazione, le APP sono create con l’apposito linguaggio di programmazione: – Sistema operativo Android di Google utilizza come linguaggio di programmazione Java; – Sistema operativo iOS di Apple utilizza come linguaggio di programmazione Objective-C, ma dal 2014 utilizza anche il nuovo linguaggio Swift che prenderà progressivamente il posto del vecchio Objective-C; – Sistema operativo Windows Runtime di Windows utilizza vari linguaggi di programmazione, come C#, Visual Basic, C++ o Javascript. Ovviamente, una APP scritta con un tipo di linguaggio di programmazione non sarà compatibile con gli altri sistemi operativi che usano un linguaggio differente e, pertanto, andrà riscritta secondo gli standard del relativo sistema operativo. Dagli albori ad oggi il numero delle applicazioni per dispositivi mobili ha avuto un trend di crescita continua: dalle 500 app disponibili al lancio dell’ App Store di Apple si è arrivati a quota 1.500.000 applicazioni nel Google Play Store (inizialmente Google aveva a disposizione solo 50 app). Le applicazioni coprono varie aree di interesse e possono essere raggruppate secondo diverse tipologie: possono essere distinte in base al prezzo, alla categoria di appartenenza, alla tecnologia applicata, etc.

App native, Web App e App Ibride

La principale distinzione tra APP si ha a livello “strutturale”, ovvero da come le APP sono state “scritte” e come si rapportano con il sistema operativo e la portabilitià su più piattaforme. Allo stato attuale si distinguono tre categorie “strutturali”:

• APP native

  Sono applicazioni che si installano e si utilizzano interamente sul proprio dispositivo mobile tramite l’apposito Store. La possibilità di interagire con le API (Application Programming Interface) messe a disposizione dal costruttore del sistema operativo garantisce l’accesso immediato a tutte le funzionalità del dispositivo mobile (ad esempio rubrica, messaggi, notifiche, localizzazione) permettendone, inoltre, il funzionamento offline. Questo tipo di app mira ad ampliare quelle che sono le capacità native del dispositivo mobile, migliorandone sensibilmente l’usabilità.

• Web APP

  Sono normali applicazioni web – quindi non vengono installate fisicamente e interamente sul dispositivo dell’utente – consistenti in un collegamento verso un applicativo remoto il cui codice dell’interfaccia utente può risiedere sul dispositivo mobile o anch’esso essere in remoto. A causa della loro natura “incontrollabile” (i contenuti web, di fatti, possono cambiare continuamente) questo tipo di applicazioni non possono essere pubblicate negli Store con l’ulteriore limitazione che, per poter funzionare, le web APP richiedono il costante accesso alla connessione internet dalla cui velocità di connessione dipendono anche le sue prestazioni. Un vantaggio delle web APP è che non risiedendo sul dispositivo non incidono in alcun modo o in maniera minima sulle capacità di memoria del dispositivo e sulle sue capacità di calcolo dei dati in quanto il nucleo elaborativo e/o l’interfaccia utente dell’applicazione, come già detto, è presente su server remoti.

• APP Ibride

  Sono applicazioni che presentano i caratteri tipici delle app native e delle app web. Esse, infatti, sono tipicamente app native che hanno comunque una parte web capace di adattarsi con facilità alle diverse piattaforme e device mobili. Nonostante non siano altrettanto performanti, le app ibride vengono considerate come le app native (e, pertanto, soggiacciono al controllo dei contenuti degli Store dove vengono pubblicate) con l’indubbio vantaggio di essere scritte con un linguaggio comune a tutti i device essendo solo un contenitore che verrà cambiato in funzione del dispositivo mobile che dovrà ospitare l’applicazione.

I problemi giuridici delle App

Quali sono i problemi giuridici che scaturiscono dallo sviluppo e dall’utilizzo delle APP? Fondamentalmente due: quello relativo al trattamento dei dati, ovvero della privacy e quello relativo alla qualificazione giuridica dell’APP. Nel primo caso il problema del corretto trattamento dati è stato ampiamente affrontato nello specifico a livello comunitario dal Gruppo di lavoro ex art. 29 nel parere 2/2013. Vediamoli per punti.

A) legge applicabile

Un primo aspetto esaminato dal Gruppo di Lavoro riguarda l’individuazione del diritto applicabile alle APP. Possiamo infatti avere l’interessato (ovvero il soggetto che usa la APP e a cui i dati si riferiscono) in uno Stato, lo sviluppatore in un altro Stato, il produttore ubicato in un altro Stato ancora, etc. Ed allora come è possibile individuare quale diritto si applica e soprattutto se si può applicare il diritto UE? Come è noto ormai attualmente a livello comunitario si applica il Regolamento n. 2016/679 o GDPR che diventerà obbligatorio per tutti i paesi dell’UE a decorrere dal 25 maggio 2018. In base a quanto prescritto dall’art. 3 del GDPR, viene rivista completamente la concezione tradizionale del principio di stabilimento del territorio e la normativa comunitaria si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Inoltre il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un titolare del trattamento o responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

1. a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure
2. b) il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione europea.

Infine il Regolamento si applica anche al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.

B) Correttezza del trattamento

Dal punto di vista della correttezza del trattamento dati il Gruppo di Lavoro ex art. 29 pone l’attenzione su alcuni trattamenti in particolare. Innanzitutto evidenzia la necessità di identificare i ruoli dei soggetti coinvolti. Normalmente nella realizzazione di una APP possiamo trovare gli sviluppatori, i produttori della APP, le APP store o i rivenditori e le parti terze come gli sponsor, ma nel caso di APP mediche potremmo avere anche gli operatore sanitari. Non esistono regole rigide, ma dovrà essere lo sviluppatore e impostare le regole per il trattamento dati con la APP che va a sviluppare ed è bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato. Come sopra detto, l’individuazione del responsabile del trattamento può incidere anche sul diritto applicabile. La definizione dei ruoli, nel contratto o anche semplicemente nell’informativa, consentirà di individuare le responsabilità in caso di trattamento illecito di dati. Nel caso di APP mediche, andrà definito il ruolo degli operatori sanitari che eventualmente elaboreranno o raccoglieranno il dato.

C) Consenso al trattamento

Conditio sine qua non di qualsiasi trattamento dati, resta poi il consenso preventivo all’installazione e al trattamento di dati personali dell’interessato. Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso, poiché con l’installazione di un’applicazione, nel dispositivo dell’utente finale vengono inserite delle informazioni e spesso le stesse APP accedo ai dati memorizzati sul dispositivo. La validità del consenso necessita che consista in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato….. ” (ai sensi della definizione di cui all’articolo 4, n. 11 del GDPR). Nel contesto dei dispositivi intelligenti volontà “libera” significa che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali. Quindi, se un’applicazione richiede il trattamento di dati personali, l’utente deve essere libero di accettare o rifiutare, senza trovarsi di fronte a uno schermo contenente un’unica opzione “Sì, accetto”, per completare l’installazione. In altre parole deve essere disponibile anche un’opzione “Cancella” o che comunque blocchi l’installazione. Volontà “Informata” significa che l’interessato deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso. Ovviamente, per maggiore correttezza le informazioni devono essere disponibili prima di qualunque trattamento di dati personali, ivi compreso il trattamento che potrebbe avere luogo durante l’installazione, ad esempio per scopi di debugging o tracking. Volontà “Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati. Per questo motivo, il semplice clic su un tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali, poiché il consenso non può essere un’autorizzazione formulata genericamente. In alcuni casi, gli utenti sono in grado di fornire un consenso cosiddetto granulare, laddove il consenso è richiesto per ciascun tipo di dati ai quali l’applicazione intende accedere. Con il consenso granulare gli interessati possono verificare con esattezza quali funzioni comportano un trattamento e di quali dati. Un simile approccio soddisfa due importanti requisiti giuridici: in primo luogo quello di informare adeguatamente l’utente in merito a elementi importanti del servizio e in secondo luogo quello di chiedere il consenso specifico per ognuno di essi. L’approccio alternativo per cui lo sviluppatore chiede ai propri utenti di accettare una lunga serie di termini e condizioni e/o politiche sulla privacy non costituisce un consenso specifico. Ovviamente, anche qualora il consenso soddisfi tutti gli elementi sopra descritti, questo non consente l’autorizzazione a trattamenti sleali e illeciti. Se il trattamento è eccessivo e/o sproporzionato rispetto alla finalità, anche se l’utente vi ha acconsentito, lo sviluppatore dell’applicazione non disporrà di un fondamento giuridico valido, violando probabilmente la direttiva sulla protezione dei dati. Inoltre si ricorda che, ai sensi dell’art. 7 del GDPR qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali. Se il consenso dell’interessato è espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato viene informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. Nel valutare se il consenso sia stato liberamente espresso, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, dipenda dal consenso al trattamento di dati non necessario all’esecuzione di tale contratto. Particolari condizioni sono poi dettate dall’art. 8 del Regolamento nell’interesse dei minori il quale chiarisce che il trattamento di dati personali di minori al di sotto dei 16 anni – o, se previsto dal diritto degli Stati membri, di un’età inferiore ma non al di sotto di 13 anni – è lecito soltanto se e nella misura in cui tale consenso è espresso o autorizzato dal titolare della responsabilità genitoriale sul minore. Nelle situazioni, poi, in cui emergono “gravi rischi per la protezione dei dati”, è richiesto un consenso esplicito: un diverso livello di consenso rispetto a quello ordinario appena sopra descritto. Ci si riferisce in particolare ai dati relativi all’articolo 9 del GDPR tra cui quelli sulla salute (categoria speciale), ai trasferimenti verso Paesi o organizzazioni privi di una decisione di adeguatezza e al processo decisionale individuale automatizzato (compresa la profilazione). Le linee guida dei garanti europei suggeriscono per esempio che il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito. Sono previste altre modalità, in particolare nel contesto elettronico che includono il coinvolgimento dell’interessato: compilare un modulo elettronico; inviare una mail; caricare un documento scansionato con firma; registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).

D) misure organizzative e tecniche

Il Gruppo di lavoro, evidenzia l’obbligo per titolari e responsabili del trattamento di adottare misure organizzative e tecniche per garantire la protezione dei dati personali. In tema di sicurezza, si ricorda che l’art. 32 del GDPR stabilisce che tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:

1. a) la pseudonimizzazione e la cifratura dei dati personali;
2. b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
3. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
4. d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5. E) dati genetici e biometrici

Da ultimo si segnala un ulteriore adempimento richiesto per il trattamento di dati genetici e biometrici. Questi ultimi possono essere “definiti proprietà biologiche, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità.” Esempi tipici di dati biometrici sono le impronte digitali, la voce, la forma della manto, la struttura della retina, etc… Si ricorda che alla luce del GDPR entrambe le tipologie di dati rientrano tra i dati sensibili.

Qualificazione giuridica di un’App

Altro tema di ampio rilievo è la qualificazione giuridica di una APP. In primo luogo non vi è dubbio che le APP rientrano nella definizione di “servizi della società dell’informazione” ovvero qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi (Direttiva 2000/31/CE, D.lgs. 70/2003). Con la conseguenza che per le APP troverà applicazione la normativa sul commercio elettronico che richiede l’obbligo di rendere informazioni generali e pre-contattuali. Come ogni altra tipologia di commercio, il commercio elettronico può essere diviso in categorie in base ai rapporti che il venditore persegue: il venditore o, nel caso che ci occupa, lo sviluppatore può avere rapporti diretti con operatori commerciali (B2B) o con utenti finali consumatori (B2C). Installando una applicazione su un dispositivo mobile di avrà a disposizione il software desiderato e potrà essere usato quando e quanto si desidera. Ma quella applicazione che viene scaricata è davvero di proprietà dell’utente? Viene davvero acquistata una applicazione oppure viene acquistato solo un contenuto? In realtà, sia che si scarichi una applicazione gratuita, o a pagamento, o ancora in abbonamento, ciò che si andrà ad acquisire non è un diritto di proprietà, bensì la licenza d’uso di quel determinato software. Lo sviluppatore, infatti, non vende il diritto d’autore allo store, bensì ne cede la concessione all’utilizzo. Non essendo prevista dalla legge sul diritto d’autore, la cessione del diritto d’autore su una applicazione è riconducibile alle norme del codice civile in tema di contratti in genere e può essere definito come un contratto di cessione di utilizzazione economica dell’ APP o licenza. Per la normativa comunitaria la licenza è imposta da chi detiene il diritto d’autore sul software che, in quanto opera dell’ingegno, non rientra nella categoria giuridica del “prodotto”. Legittimato a invocare la tutela giuridica garantita dalla normativa comunitaria e nazionale è solo il titolare dei diritti di sfruttamento economico, ovvero l’autore il quale , in quanto unico titolare dei diritti sull’opera creata, può stabilire per lo stesso software differenti regimi di uso e circolazione, prevedendo per esempio, a seconda del tipo di utente, una diversa versione proprietaria o libera. Anche la legge 22 aprile 1941, n.633 – legge sul diritto d’autore o L.D.A. – prevede il diritto dell’autore di mantenere sempre la paternità dell’opera vantandone in modo assoluto ed intrasmissibile i relativi diritti. È con la licenza che l’autore ha la possibilità di trasferire ciò che vuole, compresi i diritti di utilizzazione economici e di sfruttamento, modifica, traduzione, integrazione, fino a poterne modificare contenuto o anche il nome. Difatti, il contratto che lo sviluppatore stipula con gli store non è volto a trasferire l’intera applicazione, eliminando così la possibilità di intervenire su di essa, sul prezzo o sul mercato: oggetto del contratto, infatti, è solo il diritto di rivendere l’applicazione per l’uso esclusivo. La licenza d’uso sarà, infine, acquistata dall’utente finale tramite accettazione indiretta e implicita derivante dall’utilizzo della applicazione sul proprio dispositivo mobile e dall’accettazione del contratto degli store. Dello stesso autore, leggi anche: Il Cloud Computing e i problemi di sicurezza dei dati personali: focus