Quando l’app non è trasparente

Da qualche giorno la palestra che frequento invita tutti i propri iscritti a scaricare sullo smartphone la propria app per partecipare ad un’iniziativa benefica, con l’obiettivo di donare attrezzature sportive ad una ONLUS.

Il meccanismo ideato dalla palestra per coinvolgere i propri clienti nell’iniziativa benefica sembra, a prima vista, richiedere solo un po’ di impegno fisico da parte dei partecipanti, attività non particolarmente difficoltosa per chi frequenta un centro fitness: l’app, infatti, monitora il tempo e l’intensità dell’allenamento (sul tapis roulant, sui vogatori, sugli step, etc.) e attribuisce ad ogni allenamento un punteggio; più punti totalizzano i partecipanti, più sarà alto il valore della donazione alla ONLUS.

Bella e lodevole iniziativa, non c’è dubbio.

Ma, parafrasando il noto detto, “tra il dire e il fare”, c’è di mezzo un’app non proprio trasparente e tanto meno compliant con le norme vigenti in materia di protezione dei dati personali.

Ho provato a iscrivermi all’iniziativa e vi racconto com’è andata.

Il sistema funziona così: scarico l’applicazione della palestra (il nome dell’app è chiaramente evocativo del brand della palestra) e, in fase di attivazione, mi viene chiesto di inserire:

  • la data di nascita;
  • il sesso;
  • il peso;
  • il mio numero di telefono;
  • l’autorizzazione al trattamento dei (sigh..) miei “dati sensibili” (benché, come ormai tutti sanno, dopo l’entrata in vigore del GDPR, dovremmo, a rigore, parlare di “categorie particolari di dati”, ma tant’è..) con la specificazione che il mio consenso è obbligatorio per utilizzare l’app.

Quando, però, cerco di capire chi utilizzerà (e per quanto) quei dati (ex) sensibili, la risposta si rivela complessa.

I termini di servizio mi informano, infatti, che l’app è di proprietà dell’azienda che produce le macchine fitness utilizzate dalla palestra e che è stata progettata per “promuovere il wellness lifestyle in uno scenario digitale dove – grazie a smartphone, tablet e nuove tecnologie disponibili – ciascuno è sempre connesso ai propri contenuti”.

Vengo, inoltre, informato che il servizio erogato tramite l’app prevede “l’archiviazione, l’organizzazione e il trattamento di dati, inclusi, a titolo esemplificativo, dati identificativi quali foto, nome e cognome, data di nascita, indirizzo email, peso e altezza, all’interno di un database accessibile da remoto tramite il Sito oppure via mobile” (non capisco il distinguo, dato che “sito” e “mobile” non mi sembrano due modalità alternative di accesso ai contenuti).

I termini di servizio rimandano, infine, alle condizioni relative al trattamento dei dati personali degli utilizzatori del Servizio, all’interno delle quali scopro che, se mi alleno in una palestra che utilizza la piattaforma fruibile tramite l’app in questione, devo “far riferimento alla privacy policy che ti è fornita dalla (sob…) Facility” (quindi, in ultima analisi, dalla mia palestra) perché – così mi viene spiegato – “il tuo rapporto contrattuale è direttamente con la Facility, alla quale l’app in questione fornisce servizi tramite la piattaforma (…) nella versione dedicata ai professionisti, in qualità di mero fornitore di servizi e responsabile del trattamento“.

Dopo aver letto queste informazioni, mi sento un po’ disorientato: un’app con il nome della mia palestra ma di proprietà dell’azienda produttrice dei macchinari dichiara di trattare i miei dati in qualità di responsabile del trattamento secondo la policy privacy della mia palestra che mi invita a leggere sul sito della palestra stessa! Mi domando quanti degli utenti che hanno scaricato l’app senza avere specifiche conoscenze dei termini utilizzati dal GDPR siano in grado di capire questa spiegazione!

Dopo la lettura di tutti i documenti informativi contenuti nell’app, non ho comunque ancora trovato risposta alle mie domande: chi tratta i miei dati particolari? Per quanto tempo? Con quali finalità?

Accetto, comunque, le condizioni di iscrizione dell’app, che, a questo punto, mi avvisa: “sembra che il nostro staff (quale? quello della palestra o dell’azienda proprietaria dell’app?) abbia già creato un profilo associato al tuo indirizzo email”; vengo, quindi, invitato a verificare il profilo registrato nei database della palestra e, con mio stupore, si apre una schermata in cui appare la mia fotografia, nome e cognome, nonché la data di prima registrazione alla palestra (anche con un errore, perché viene indicata la data “marzo 61, 2016”).

Se, per qualche motivo, l’email che ho inserito fosse stata associata ad un altro individuo (circostanza prevista dal programmatore, altrimenti non mi chiederebbe la conferma dei dati registrati!), ora conoscerei – immotivatamente – i dati identificativi, compreso il volto, di un’altra persona!

E’ evidente che nessuno si è posto il problema della minimizzazione e pertinenza dei dati che vengono utilizzati in fase di registrazione, perché l’identificazione del socio della palestra tramite la sua fotografia sarebbe facilmente sostituibile con sistemi di autenticazione più rispettosi dei dati personali degli iscritti.

Superato anche quest’ultimo passaggio di registrazione, l’app mi chiede, per prima cosa, di abilitare la localizzazione! La richiesta mi viene giustificata con la scusa che, in questo modo, possono “tenere traccia dei miei allenamenti all’aperto, per trovare centri vicini a te (la mia palestra ha solo tre centri in due città…) e molto altro” (un vero capolavoro di genericità circa le finalità del trattamento!).

Non accetto, naturalmente, la geolocalizzazione ed entro – finalmente! – nell’app.

A questo punto, trovo la sezione dedicata all’iniziativa benefica – che è l’unico motivo che mi ha indotto a scaricare l’app e ad iscrivermi! – dove trovo una classifica di 116 persone (tutti clienti della mia palestra), con tanto di foto e di nome, già iscritte a questo specifico programma.

Quindi, con un semplice click, ho concesso all’app di condividere la mia foto e il mio nome con altre 116 persone (di cui ne ho riconosciute solo 2), senza essermi neppure reso conto di aver concesso tale facoltà all’applicazione e senza che mi sia stata richiesta alcuna specifica autorizzazione al trattamento dei miei dati biometrici al momento di iscrizione all’iniziativa!

Cerco, quindi, nella sezione “informazioni importanti” se mi sia sfuggito qualcosa in fase di registrazione, ma vengo solo a conoscenza che l’app traccerà automaticamente le attività che effettuerò sugli attrezzi o durante i corsi nel centro o utilizzando applicazioni gps o la fascia cardiaca.

Sono trascorsi 15 minuti e non ho ancora capito, nonostante la strenua ricerca, a chi andranno i miei dati e quanto verranno conservati.

Cerco la privacy policy e scopro che è l’esatta copia di quella già letta in fase di iscrizione, perché si ripete che l’app non appartiene alla mia palestra, ma accede, evidentemente, al suo dabase, perché la mia foto è conservata solo dalla mia palestra, o così pensavo!

Oltretutto, la pagina dedicata a questo tipo di informazioni scorre anche molto male ed è estremamente difficile leggere l’intero testo e, confesso, se non avessi l’obiettivo dichiarato di andare a fondo di questa storia, ci avrei già rinunciato da molti minuti!

La policy privacy mi rimanda, ancora una volta, alla lettura della policy della mia palestra e, quindi, dopo altri minuti di ricerca, sono sempre al punto di partenza: non sono ancora riuscito a comprendere se il proprietario dell’app (cioè l’azienda che costruisce l’attrezzatura sportiva) conserva i miei dati o fornisce solo l’applicazione alla palestra, che è l’unica a trattarli e conservarli.

La policy – che, nemmeno a dirlo, scorre sempre malissimo – mi permette, comunque, di capire che:

  1. i miei dati, raccolti dalla app, vengono trasmessi alla mia (sob..) “Facility“, che li utilizza in qualità di autonoma titolare del trattamento: non mi risulta, però, di aver ricevuto alcuna informativa ai sensi dell’art. 13 GDPR, dalla mia (sob..) Facility per il trattamento dei miei dati di movimento durante le sessioni di allenamento tramite questa app;
  2. i miei dati verranno trattati per tutto il tempo in cui sarà attivo il mio account sull’app (quindi, potenzialmente, moltissimo tempo) e verranno anonimizzati solo dopo la cancellazione, ma con l’ulteriore (e tutt’altro che irrilevante) precisazione che
  3. la proprietaria della app (cioè l’azienda produttrice dei macchinari) “potrebbe continuare a trattare i tuoi dati personali in qualità di responsabile del trattamento per conto di una Facility cui sei iscritto. Dovrai richiedere a tale Facility l’indicazione del periodo di conservazione cui essa ricorre”. A questo punto, so che non troverete tanto strano che vi racconti che, dall’informativa reperita sul sito della mia palestra (scusate, “Facility”..) non si fa alcun cenno ai dati raccolti tramite l’app né si evince alcuna regola sul periodo di conservazione!
  4. inoltre, i dati raccolti tramite l’app “verranno cancellati dal proprietario della stessa ma non dalla mia Facility”, che pertanto – deduco – li conserverà non si sa né dove, né per che finalità, né per quanto e potrebbe anche (vedi punto 3) dare istruzioni in qualità di Titolare del trattamento al proprietario della app, in qualità di Responsabile del trattamento, di conservarli per un tempo ignoto! Non c’è fine al peggio!

A conclusione di tutta questa mia ricerca, comprendo, quindi, che, con la (capziosa) prospettazione di aiutare una ONLUS tramite i miei allenamenti quotidiani, mi sto facendo derubare di moltissimi dati personali, cedendo sostanzialmente alla cieca i dati sulle mie condizioni di forma fisica a due aziende che si scaricano reciprocamente le responsabilità in ordine al loro trattamento, senza neppure riuscire a sapere come questi dati verranno utilizzati, sia durante il tempo in cui terrò attiva l’applicazione sia successivamente, quando la campagna benefica terminerà (cioè, nell’arco di tre settimane).

Il tutto, ammesso e non concesso che io non dimentichi di disinstallare l’app, consentendo alle due aziende di fare dei miei dati ciò che vogliono per moltissimo tempo in conseguenza della mia dimenticanza o semplice inerzia o ignoranza delle conseguenze!

A prescindere dalla straordinario esempio di approssimazione e di collezione di errori (ma forse, come diceva una mia professoressa del Liceo, sono più “orrori” che errori!) nella progettazione di un’app che tratta dati personali di una certa delicatezza, mi domando: per chi è, realmente, la beneficenza?

Per la ONLUS o per le due aziende che, attraverso una subdola motivazione (l’adesione ad una campagna a scopo benefico), inducono centinaia di sportivi – che generosamente pensano di fare una buona azione – a scaricare un’applicazione che raccoglie dati utilissimi per le suddette aziende sulle modalità di fruizione dei servizi della palestra e dei macchinari fitness, senza sborsare un solo centesimo per queste informazioni e senza neppure fornire loro una chiara informativa su come i loro stili di vita e le loro abitudini di allenamento saranno trattate, protette e conservate nel tempo?

Ho disinstallato immediatamente l’applicazione e, se vorrò aiutare la ONLUS, le farò un bonifico.

La tragicomica esperienza che vi ho descritto mi costringe, comunque, a ricordare che l’art. 12 del GDPR impone ai Titolari del trattamento di predisporre un’informativa:

  1. concisa;
  2. trasparente;
  3. intelligibile;
  4. facilmente accessibile;
  5. utilizzando unlinguaggio semplice e chiaro.

Il GDPR richiede, in particolare, che l’informativa sia:

  1. breve (requisito della concisione), tenendo anche conto del fatto che le versioni on-line permettono di modulare lo spazio ed i contenuti in modi differenti;
  2. espressa con linguaggio semplice, evitando termini ambigui ed eccessivamente specialistici, cercando di evitare quanto più possibile i tecnicismi ed i riferimenti ad articoli, leggi, etc. (requisito della trasparenza);
  3. quando le informazioni da dare sono molte, si può strutturare l’informativa utilizzando icone che facilitino la lettura o sfruttare layout e format efficaci in funzione del tipo di supporto (cartaceo, digitale, mobile) allo scopo di spiegare nel modo più diretto possibile all’interessato quale sarà la destinazione dei suoi dati (requisito dell’intelligibilità);
  4. facile da trovare all’interno del sito (requisito dell’accessibilità);
  5. scritta in termini comprensibili per l’uomo medio, attraverso un testo veloce da scorrere, eventualmente facendo uso di tabelle o infografiche (requisito di chiarezza e semplicità).

Non c’è dubbio che l’app sopra descritta non rispetta neppure uno di questi parametri e spero facciate tesoro del mio racconto come fulgido esempio di ciò che non va assolutamente fatto!

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Digital life, Privacy e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!