Nello svolgimento della vita quotidiana di ciascuno di noi, l’utilizzo delle app è ormai diventata la normalità. Ne esistono di svariato tipo, proprio per rispondere alle esigenze di ciascun utente: app per gli acquisti online, per la prenotazione di appuntamenti o sedute di training, app per la gestione dell’home banking, app in grado di misurare parametri legati alla salute, app per la spesa online, app per il food delivery… potremmo continuare fino all’infinito!
(Nella foto: Gianluca Lombardi, Delegato Federprivacy nella provincia di Como)
Ma, poniamo attenzione alla tutela dei dati personali nell’utilizzo di tali app? Innanzitutto, bisogna porre particolare accortezza ai seguenti aspetti, utilizzando la dovuta cautela:
1) Scaricare l’app solamente dopo aver verificato quali tipologie di dati verranno raccolti e per quali finalità verranno utilizzati, diffidando di quelle che non rispettano i principi di privacy by design e by default secondo quanto previsto dall’articolo 25 del Regolamento Europeo sulla Privacy 2016/679 (Gdpr). Molte applicazioni, infatti, non rispettano il basilare “principio di minimizzazione”, chiedendo dati non strettamente necessari. A tal proposito l’interessato dovrebbe essere in grado di accedere facilmente all’informativa privacy ex art. 13 Gdpr prima dell’installazione stessa.
L’utente dovrebbe infatti essere informato, sull’identità e sui dati di contatto del titolare del trattamento, nonché sulle finalità e sulla base giuridica a fondamento del trattamento stesso, in particolare se vi è:
– Utilizzo dei dati raccolti anche per attività di marketing diretto, quali l’invio di newsletter, comunicazioni commerciali, promozionali etc.;
– Utilizzo dei dati raccolti anche per attività di profilazione, ovvero al fine di creare dei “cluster” di utenti raggruppati in base ai gusti, alle preferenze ed alle abitudini comportamentali.
– Eventuale cessione dei dati a terzi.
2) Registrarsi, laddove l’app lo richieda, fornendo unicamente i dati strettamente necessari all’attivazione del servizio. Prendendo come esempio le app di food delivery, in fase di registrazione, all’utente potrebbe essere richiesto di fornire: nome, cognome, indirizzo di residenza presso il quale effettuare la consegna, dati di contatto quale il numero di telefono o l’indirizzo e-mail ed eventualmente dati relativi alla carta di credito nel caso in cui non vi sia la possibilità di pagamento alla consegna.
Qualsiasi altro dato ulteriore richiesto in fase di registrazione sarà dunque da considerarsi eccedente.
3) Porre attenzione alle eventuali richieste di accesso alle informazioni contenute o conservate sullo smartphone dell’utente, tra cui ad esempio, immagini, richiesta di attivazione del microfono e/o della videocamera, contatti presenti nella rubrica, collegamento ai profili social, dati di geolocalizzazione.
Tornando all’esempio delle app di food delivery, è evidente come, in occasione della transazione di un ordine, l’app, e dunque il titolare del trattamento, sia in grado di raccogliere informazioni relative alle abitudini, ai gusti alimentari ed alle attitudini di consumo.
Non solo, da queste informazioni è possibile desumere anche informazioni c.d. “particolari” relative all’utente, quali ad esempio le intolleranze alimentari. Questo consente al titolare del trattamento di acquisire e analizzare il comportamento dell’utente fino a definire quelle che sono le preferenze di consumo dello stesso verso un determinato tipo di prodotto o servizio. Cosa significa questo? Il titolare del trattamento, attraverso l’app, effettua un’attività di profilazione!
Per meglio comprende tale termine occorre innanzitutto fare riferimento alle disposizioni contenute nel Regolamento UE 679/2016 (Gdpr), il quale all’art. 4.4 definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
In aggiunta, il considerando 24 del Gdpr, prevede che “È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.”
Profilazione che quindi non potrà fondarsi su finalità contrattuali o precontrattuali ma dovrà prevedere il consenso, libero ed informato, come base giuridica lecita per il trattamento. Va da sé che questo tipo di attività comporta quasi sempre il monitoraggio su larga scala degli interessati determinando la necessità di una valutazione d’impatto specifica (DPIA) come previsto dall’art. 35 del Gdpr e la designazione di un Data Protection Officer come previsto dall’art. 37 paragrafo 1, lettera b.
Tutta questa mole di dati personali raccolti dagli intestatari delle app, integrati a informazioni aggiuntive, va a formare quelli che vengono definiti Big Data e che sono una fonte di guadagno vitale per le grosse aziende. Per riuscire a metterci le mani, si usano spesso incentivi per invogliare l’utente a scaricare l’applicazione, ad esempio con dei vantaggi economici per cui se installi la mia app ti riconosco uno sconto o un contenuto di valore.
Per essere sostenibile da chi la propone gratuitamente sugli store, il costo dello sviluppatore deve essere compensato o dal ritorno economico di chi utilizza l’applicazione per gli acquisti, o dalla visione di inserzioni pubblicitarie che interagiscono con essa. Spot che possono essere rimossi passando, magari, ad una versione plus della app con canone a pagamento.
È tutt’ora in atto un acceso dibattito sulla monetizzazione dei dati ceduti a questi colossi del marketing. I dati personali sono una proprietà dell’interessato che, quindi, ne dispone come meglio crede. E’ importante, però, che l’interessato ne comprenda appieno il valore, per poter decidere coscientemente a che prezzo barattare i propri dati in cambio di sconti o della fruizione di banali giochi sullo smartphone.
I dati sono il nuovo oro. I primi colonizzatori delle Americhe, in cambio di banali oggetti di uso comune, collanine di luccicanti perline di nessun valore, ottenevano casse d’oro dagli indigeni, ignari del valore che avesse l’oro. Evitiamo di essere i nuovi indigeni digitali!
Fonte: Gianluca Lombardi, Delegato Federprivacy nella provincia di Como