La protezione dei dati personali nello sviluppo di app mobili: linee guida e best practices

L’evoluzione tecnologica ha permesso lo sviluppo di strumenti sempre più sofisticati e personalizzati, tra cui le applicazioni mobili. Queste ultime, tuttavia, non sono prive di criticità, soprattutto per quanto riguarda la protezione dei dati personali.

Il rispetto della privacy è un fattore imprescindibile in questo contesto e richiede trasparenza, controllo sulla raccolta dei dati e una corretta gestione della loro conservazione. In questo scenario, diventa fondamentale comprenderne le dinamiche, i rischi e le possibili soluzioni.

Un esempio concreto? La decisione della FTC contro InMobile che ha messo in luce numerose similitudini con i provvedimenti delle autorità europee. Al centro di tutto resta l’individuo: utente o consumatore che sia, il suo ruolo è sempre più centrale nell’ecosistema digitale contemporaneo.

Definizione di API e SDK: strumenti per lo sviluppo delle applicazioni

L’utilizzo di API (Application Programming Interface) e di SDK (Software Development Kit) consente alle soluzioni informatiche di scambiarsi informazioni. Si può considerare che le API siano set di definizioni e protocolli con i quali vengono realizzati o integrati i software applicativi che consentono ai prodotti e ai servizi di comunicare tra di loro; diversamente, gli SDK sono strumenti che permettono di creare un’applicazione mobile, che può essere connessa ad altri software. L’utilizzo di queste tecnologie è noto da tempo, e non è questa la sede per interrogarsi sulle implicazioni tecniche. Ci soffermiamo invece sugli aspetti principali a cui prestare attenzione, tenendo in considerazione l’approccio delle Autorità e, in particolare, la tendenza sul livello di trasparenza richiesto per la loro realizzazione e implementazione.

Protezione dei dati personali nello sviluppo di applicazioni mobili

L’adozione di impostazioni adeguate al trattamento di dati personali, da parte di un’applicazione mobile o di altro strumento, è guidata dai principi di privacy by design e privacy by default, fermo restando che spetta al titolare dimostrare che le dovute misure sono state adottate. L’obbligo di rispettare la normativa privacy, peraltro, non grava solo sui titolari, ma anche sugli sviluppatori di applicazioni volte ad un utilizzo da parte di terzi. Il Considerando 78 del Regolamento (UE) 2016/679 (GDPR) evidenzia come “[…] In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, … i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati … e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati […]”). Si tratta di uno dei molti indici di quel “mercato virtuoso” che il GDPR ha introdotto: idee come la accountability, il comportamento proattivo, il controllo della filiera, intendono ridurre al minimo le scusanti per gli operatori del mercato, imponendo loro di controllare debitamente in che modo vengono utilizzati i dati dei consumatori. Come viene indicato nel successivo paragrafo, questa posizione non è propria solo delle autorità europee bensì è condivisa anche oltreoceano.

Aspetti critici da considerare nello sviluppo di un’applicazione mobile

Quali sono gli aspetti cui prestare maggiore attenzione, quando si sviluppa una applicazione mobile?

• La scelta del sistema operativo (SO), in quanto i termini imposti dagli SO / app store possono comportare un significativo lavoro per i creatori di applicazioni. Meglio prepararsi già in fase di sviluppo della soluzione, per evitare sorprese e limitare modifiche al momento della richiesta di autorizzazione alla commercializzazione.
• L’appropriatezza delle informazioni fornite tramite la documentazione resa disponibile agli utenti. È oramai affermato che le autorità pretendono che le informazioni rese mediante una informativa privacy, una cookie policy e i termini di utilizzo siano allineate. Eventuali difformità vengono individuate quali sintomi di carenza di controllo sulle politiche di gestione delle informazioni. Pertanto, la rappresentazione dei trattamenti effettuata mediante tali documenti, come pure mediante il questionario che gli app store richiedono di completare (si veda, tra tutti, quello imposto da Apple Store), devono essere considerati come il biglietto da visita del titolare.
• Il mantenimento di un registro dei trattamenti aggiornato, che peraltro deve presentare una descrizione conforme alla documentazione menzionata al punto sopra.
• L’individuazione delle finalità e delle basi giuridiche del trattamento, considerando se il servizio sia rivolto anche a minori oppure implichi la collazione di dati sensibili o giudiziari. Particolare attenzione deve prestarsi con riferimento ai dati che possono essere desunti (cd inferred data), i.e. che non sono raccolti direttamente dagli interessati; infatti, si tratta di informazioni che espongono a maggiori rischi gli individui, anche in quanto la loro attendibilità non è comprovata. Nelle Linee guida 8/2020, lo European Data Protection Board (EDPB) evidenzia che il targeting degli utenti viene basato anche su dati desunti dal titolare. Ciò appare riconducibile al concetto di profilazione, al di là della sua definizione secondo il GDPR. Da ultimo – certo non per importanza – va ricordata la sussistenza degli obblighi imposti dalla normativa ePrivacy, che si sovrappone (creando non poche problematiche, come di recente l’EDPB ha ricordato con le Linee guida 2/2023) al GDPR.
• Una mappatura della filiera di trattamento e di trasferimento dei dati. Si potrebbe dire molto sull’argomento ma basti qui ricordare che è praticamente certo che il coinvolgimento di fornitori IT implichi un trasferimento extra spazio economico europeo.
• La valutazione dei rischi, che implica l’individuazione delle opportune misure di sicurezza (di natura tecnica ma, da ricordare sempre, anche di natura organizzativa, onde ridurre il rischio e/o l’impatto dell’errore umano). Sembrano ancora utili le raccomandazioni rese nel Parere 02/2013 dal Gruppo di Lavoro Articolo 29. Queste sottolineano anche l’importanza della scelta del luogo di conservazione e l’esigenza di ridurre al minimo le informazioni raccolte. Trattandosi di applicazioni mobili, molto spesso si richiede anche la redazione di valutazioni di impatto, specie laddove vi sia una raccolta massiva di dati personali, il loro arricchimento mediante informazioni provenienti da diverse fonti, monitoraggi sistematici, profilazioni invasive.
• L’adozione di una policy interna per la valutazione delle API e SDK che si intendono adottare, differenziando tra quelle di uso quotidiano e quelle che richiedono un controllo più approfondito. Anche la Commission Nationale de l’Informatique et des Libertés (CNIL) è intervenuta con alcune indicazioni in merito ad una corretta condivisione dei dati tramite API.
• Un sistema di controllo puntuale, che coinvolga le varie funzioni aziendali competenti, il DPO, eventuali consulenti esterni.

Vi sono innumerevoli altri aspetti da considerare, che assumono anche connotazioni tecnologiche e di proprietà intellettuale. Tuttavia, si evidenziano quelli sopra riportati non a caso, dato che sollevano l’interesse di autorità anche non privacy e diverse da quelle nostrane.

La decisione della FTC vs InMobile e le similitudini con le autorità europee

Uno degli aspetti ricorrenti quando vengono rilevate non conformità nel trattamento di dati personali è la carenza di trasparenza. Da intendersi come assenza di strumenti forniti agli utenti affinché possano assumere decisioni consapevoli e altresì prestare un consenso valido. Si sa che i due concetti sono fortemente interconnessi, sebbene non coincidano pienamente. L’EDP, nelle sue Linee guida 5/2020 sul consenso fornisce utili spunti in merito ai requisiti che rendono un consenso “informato”: a tratti questi requisiti riprendono quelli imposti dall’art. 13 (e 14) GDPR per una informativa valida ma a tratti se ne discostano. Di fondo, comunque, l’intento è quello di consentire scelte consapevoli, un controllo sui dati e anche di poter interrompere un trattamento mediante revoca del consenso.

È ormai noto che l’utilizzo di diciture generiche o ipotetiche e la proposizione di consensi pre-flaggati, non sono pratiche ammissibili. Tuttavia, sono pratiche ancora diffuse. Il problema È che in assenza di trasparenza, data anche la complessità del sottobosco (per usare un termine caro al nostro Garante privacy italiano) che vede la compresenza spesso di diverse società, diviene impossibile controllare l’utilizzo delle informazioni.

Proprio quanto accaduto in un recente caso deciso dalla Federal Trade Commission (FTC) americana, su cui vale la pena di soffermarsi per i numerosi aspetti di similitudine con la posizione delle autorità europee. Il caso riguarda una società US il cui business si basa sulla raccolta di dati inerenti i propri utenti, nonché quelli raccolti da terzi che implementano il SDK fornito dalla società in questione (e altre informazioni ottenute per il tramite di altre fonti). Tra i molti dati raccolti, anche quelli relativi alla posizione degli utenti. Secondo la FTC, queste informazioni sarebbero state impiegate dalla società per offrire ai propri clienti business profilazioni efficaci degli utenti, cui rivolgere contenuti marketing. Tali operazioni, sarebbero state condotte in assenza di un chiaro contesto informativo, tale per cui agli utenti veniva suggerito che le informazioni fossero necessarie per rendere il servizio, senza chiarirne l’impiego per fini di monetizzazione.

Dei molti aspetti affrontati, si ritiene utile riportare i seguenti:

• È richiesto uno sforzo nel controllare non solo le informazioni raccolte direttamente dal “titolare”, ma anche quelle provenienti da terzi, in via precauzionale prima di avviare un trattamento. In particolare, a parere della FCT, mere dichiarazioni di conformità alla normativa non sarebbero state sufficienti ad escludere la responsabilità della società, che avrebbe dovuto invece applicare idonei controlli sulle modalità di raccolta dei dati (i.e. sulla raccolta di un valido consenso) da parte delle società terze che integravano il suo SDK. Nel caso specifico, peraltro, la confusa rappresentazione del trattamento da parte della società avrebbe contribuito a impedire a tali società terze di poter rendere, a loro volta, informazioni agli utenti.

Questa posizione è in linea con quanto ribadito più volte dal Garante italiano, che oramai da anni rimarca l’esigenza che sia verificata la provenienza dei dati personali raccolti (quantomeno tramite controlli a campione). Se a questo si collega l’esigenza, anch’essa varie volte sottolineata dal nostro Garante, che il consenso raccolto per la cessione dei dati a terzi non deve intendersi come autorizzazione a trasmettere i dati a innumerevoli destinatari, è chiaro che la possibilità di utilizzo dei dati raccolti ne esce significativamente limitata.

• Una durata di conservazione pari a cinque anni è stata ritenuta eccessiva, considerando la finalità perseguita. Il rischio maggiore è che i dati siano esposti a violazioni e in particolare, avendo riguardo alla loro natura, ad essere utilizzati con fini malevoli.

Conclusioni

Sembra quindi emergere che – con riferimento allo sviluppo di applicazioni mobili, ma non solo – principi come la trasparenza siano sempre più al centro delle decisioni delle autorità competenti. Un trend interessante, ormai rilevato da tempo, è che le Autorità che sottolineano l’esigenza di trasparenza non sono solo quelle privacy ma anche, e sempre di più, quelle garanti della tutela dei consumatori; si assiste ad una sempre maggiore “sovrapposizione” degli interventi, caratterizzata da una tendenziale comunione di vedute. La centralità dell’individuo – utente o consumatore – si rafforza al punto di richiedere, alle aziende sforzi ulteriori che talvolta paiono andare ben oltre la mera applicazione alla lettera della norma.