Le App si definiscono tecnicamente come applicazioni software che ci permettono di semplificare la nostra quotidianità superando la dimensione del web. Un’icona di un centimetro quadrato su smartphone e tablet ci fornisce la possibilità diretta di usufruire di un servizio: dalle previsioni meteo allo scanner dei documenti, dall’accesso al conto in banca al pagamento del parcheggio.
Insomma sono utility da scaricare con pochi click e una manciata di dati personali.
I dispositivi mobile in nostro possesso hanno App installate di default e altre a nostra disposizione sugli appositi store e sono, quindi, un concentrato di dati personali: foto, contatti, mail, chat… ma ci siamo mai chiesti come i produttori e i rivenditori di App utilizzino i nostri dati?
La crescente diffusione di applicazioni mobile ha generato una particolare attenzione da parte delle Autorità per la protezione dei dati personali, tanto da regolamentare la materia con appositi provvedimenti.
Partendo da un piano sovranazionale, la Carta dei Diritti Fondamentali dell’Unione Europea stabilisce all’art. 8 (“Protezione dei dati di carattere personale”) che ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano e che questi devono essere trattati secondo il principio di lealtà, per finalità determinate e con il consenso della persona interessata. Specificamente il Gruppo di Lavoro per la Tutela dei Dati Personali ha indicato gli obblighi che devono essere rispettati dagli sviluppatori di tali applicazioni software, dai produttori e distributori dei dispositivi e da altri soggetti terzi dediti alla raccolta e al trattamento dei dati personali.
Solo il 60% delle App più scaricate ha un‘informativa sulla privacy
Queste applicazioni sono in grado di raccogliere grandi quantità di dati dal dispositivo (contatti telefonici nella rubrica, dati di geolocalizzazione, file multimediali come foto e video) e di elaborarli per fornire servizi nuovi e innovativi all’utente. Molto spesso, però, le modalità di elaborazione di questi dati non sono conosciute dal soggetto interessato, o se conosciute, possono comunque risultare indesiderate.
Da una recente indagine si evince che solo il 60% delle applicazioni più scaricate ha un‘informativa sulla privacy, ed essendo il consenso dell’utente fondamentale non solo per l’accettazione dell’informativa stessa, ma anche per utilizzo “consapevole” dell’applicazione, molte volte quest’ultimo può essere espresso “cliccando” su una casella di verifica indicante l’accettazione dei termini e condizioni applicabili, senza offrire la possibilità di rifiutare. Nelle direttive succitate è stabilito che gli utenti debbano essere in grado di controllare i propri dati personali, e per questo gli sviluppatori delle applicazioni devono fornire informazioni sufficienti sui dati che verranno trattati. La mancanza di trasparenza nei confronti dell’utente è connessa alla mancanza di un consenso libero e informato, e ciò implica il trattamento non autorizzato di dati personali (comuni e spesso sensibili).
I soggetti coinvolti nella responsabilità sulla privacy e il trattamento dei dati sono: gli sviluppatori delle App (inconsapevoli – o finti tali – degli obblighi di protezione dei dati sensibili), gli App Store, i produttori di sistemi operativi ed eventuali soggetti terzi.
È quindi diritto degli utenti essere informati sia sull’identità del titolare e degli eventuali responsabili del trattamento dei dati, sia sui dati che verranno trattati e per quali finalità. Gli utenti devono avere anche la possibilità di revocare il proprio consenso e ottenere la cancellazione dei propri dati; questo significa che tali soggetti devono avere il diritto di accesso, rettifica, cancellazione e opposizione e deve essere assicurato loro il valido esercizio di tale diritto.
Dovrebbe, inoltre, essere sempre garantito il principio della limitazione della finalità, secondo cui i dati personali possono essere raccolti e trattati solo ed esclusivamente per finalità ben determinate e ovviamente legittime. Tali finalità devono essere chiare, ben definite e comprensibili per un utente medio privo di conoscenze specifiche di tipo giuridico o tecnico, così come previsto dal punto 3.5 del parere n. 2/2013 – WP 202. C’è da sottolineare che tale principio esclude, quindi, “improvvisi cambiamenti nelle condizioni fondamentali del trattamento”.
Le indagini sulle applicazioni
Lo scorso anno, durante i cosiddetti “Sweep Days”, l’Autorità italiana Garante per la Tutela dei Dati Personali ha condotto un’indagine a tappeto inerente il mercato delle applicazioni, che ha fatto emergere un preoccupante scenario. Su un campione di 1.200 applicazioni, solo il 15% ha un’informativa privacy chiara e facilmente consultabile prima dell’installazione. È evidente, dunque, che c’è una totale mancanza di trasparenza.
Un’altra indagine, questa volta a carattere internazionale, è stata elaborata dalla Elettronic Frontier Foundation (EFF), che ha voluto testare le principali applicazioni di messaggistica istantanea e anche in questo caso ciò che è emerso non è confortante.
Per quanto riguarda i programmi più noti come Whatsapp e Facebook Messenger, è stato reso evidente come il provider possa accedere, senza controllo, ai messaggi e non ci sia alcuna garanzia di sicurezza per le conversazioni archiviate.
Il caso dell’applicazione torcia
Le cosiddette applicazioni torcia permettono di trasformare il flash al LED, di cui sono forniti quasi tutti gli smartphone, in una luce d’emergenza. Seguendo un ragionamento logico, questo tipo di applicazioni dovrebbero avere accesso alla funzionalità del flash in modo da trasformarlo, temporaneamente, in una torcia. In realtà, quello che accade in fase di installazione è molto diverso: le applicazioni torcia per funzionare richiedono l’accesso a tutti i nostri dati e probabilmente l’utente, abbagliato dall’APP, acconsente senza una reale consapevolezza. Queste applicazioni, spesso gratuite, fanno pagare un caro prezzo ai soggetti che le scaricano sui propri dispositivi.
I dati comuni e anche di natura sensibile che vengono ricavati sono ceduti a società di marketing e, in casi più estremi, a hacker, e vengono utilizzati poi per la creazione di pubblicità mirate oppure per raccogliere dati e tenere sotto controllo alcune fasce della popolazione.
Anche WhatsApp sotto accusa per violazione della privacy
WhatsApp, il celebre servizio di messaggistica istantanea, è stato accusato di violare le normative sulla privacy vigenti in Canada e Olanda. Dopo l’indagine condotta dall’Office of the Privacy Commissioner of Canada (OPC) e dalla Dutch Data Protection Authority, è emerso che tale applicazione consente l’utilizzo solo se gli utenti accettano l’accesso del software all’intera rubrica del dispositivo mobile. Questo implica l’archiviazione di tutti i dati personali degli utenti sui server dell’azienda, e anche il prelievo e la memorizzazione dei numeri di telefono dei soggetti che non utilizzano il servizio di messaggistica, violando così la privacy dei non utenti.
Anche il Garante per la Privacy italiano, dopo la questione sollevata dalle autorità canadesi e olandesi, ha chiesto a WhatsApp di offrire chiarimenti tecnici in merito ai dati raccolti e al loro trattamento.
WhatsApp, in risposta alle accuse, ha implementato politiche di crittografia per evitare le eventuali intercettazioni delle comunicazioni tra gli utenti, soprattutto in caso di utilizzo di una rete Wi-Fi non protetta. Sono stati migliorati i processi d’autenticazione attraverso l’uso di una chiave generata casualmente in luogo dell’utilizzo degli indirizzi MAC o codici IMEI. Rimane però il fatto che l’applicazione continua a prelevare e immagazzinare anche i dati degli utenti che non fanno uso della stessa.
App, privacy e trattamento dei dati personali dovranno prima o poi trovare il loro giusto equilibrio di applicazione. Sono necessarie regolamentazioni efficaci che tutelino in modo proattivo l’utente e limitino l’abuso di potere dei grandi operatori del mercato. Di pari passo è opportuno perseguire la costante sensibilizzazione degli utenti sui rischi determinati da un uso inconsapevole degli strumenti tecnologici, nonostante la loro effettiva utilità.
* Digital & Law Department, Studio Legale Lisi
