L’AEPD – l’Autorità per la Protezione dei Dati spagnola – ha da poco pubblicato un documento tecnico dedicato alle app per dispositivi mobili, sviluppate per il benessere fisico e dedicate all’ambito educativo, all’esito di uno studio, condotto su un totale di 20 app, realizzato in collaborazione con l’Università di Madrid.
Il documento – che trovate, nella versione inglese, nella sezione “documenti utili” del Blog (al numero 46) – indica, in particolare, quali siano, in base alle regole del GDPR, le caratteristiche che dovrebbero possedere di queste app.
Secondo l’AEPD, le app dedicate al benessere fisico ed all’educazione, per essere conformi alla normativa, devono possedere i seguenti requisiti:
- le informative devono essere redatte su più livelli;
- l’informativa deve essere disponibile sia sulla app vera e propria sia sull’app store;
- l’accesso all’informativa deve essere semplice, raggiungibile con massimo due clic;
- il titolare del trattamento deve essere facilmente individuabile;
- l’informazione deve essere completa, sia sulla app sia sull’app store, senza discrepanze tre le due informative;
- le informative devono usare un linguaggio adatto all’utente che le usa, per età e livello di conoscenza e utilizzando la lingua dell’utente che le usa;
- le informazioni devono essere specifiche e vanno evitate espressioni generiche riferite ad una pluralità di servizi;
- deve essere puntualmente specificato quale tipologia di dato viene utilizzato e per quale scopo specifico; quali sono i trattamenti di base, quali sono quelli facoltativi e quali sono, analiticamente, le autorizzazioni che l’app richiederà all’utente, per quali finalità e con quale ampiezza di utilizzo;
- l’informativa deve spiegare in modo completo e chiaro come si possono gestire le autorizzazioni concesse;
- i consensi vanno richiesti in modo granulare;
- non devono essere utilizzate espressioni ambigue o vaghe, quali “i suoi dati saranno utilizzati per migliorare la sua esperienza utente“;
- devono essere forniti chiari termini di data retention;
- deve essere indicata la concreta logica applicata alla profilazione ed alle decisioni automatizzate;
- deve essere chiaramente espressa e specificamente indicata la base giuridica del trattamento;
- deve essere indicato in modo concreto quando, come e dove sono trasferiti i dati all’estero (trasferimenti extra UE);
- i titolari del trattamento devono assicurarsi, in caso di utilizzo e/o sviluppo dell’app da con terze parti, anche in qualità di Responsabili del trattamento, che questi soggetti rispettino i requisiti di cui all’art. 28 GDPR e che, in particolare, non utilizzino le banche dati per scopi diversi e/o ulteriori rispetto a quelli dichiarati;
- occorre evitare l’accesso indiscriminato dell’app agli identificativi dell’utente;
- l’app non deve consentire l’accesso agli strumenti di analytics nella sua fase di apertura ma solo dopo che l’utente abbia avuto il tempo di verificare le relative impostazioni ed effettuare le proprie scelte;
- deve essere impedito che i dati personali raccolti dall’app siano ceduti/trasferiti a destinatari non specificati e/o non individuati chiaramente;
- occorre evitare il trasferimento internazionale di dati se non dichiarato nell’informativa (ma questo, a mio avviso, dovrebbe essere vietato in ogni caso!).
Benchè il lavoro di AEPD e dell’Università di Madrid su 20 app specificamente individuate per i settori del benessere e dell’educazione sia un approccio molto pragmatico e utile, le indicazioni offerte non sembrano nè innovative nè risolutive dei problemi che affliggono questo tipo di applicativi.
Ancor meno, a mio avviso, le regole dell’AEPD sembrano poter semplificare la vita agli sviluppatori o consentire una maggior comprensibilità all’utente.
Anch’io mi ero occupato, in passato, di una app dedicata al wellness, evidenziandone le tragiche fragilità e non conformità al GDPR (“quando l’app non è trasparente” ).
Meglio sarebbe, forse, se le Autorità Indipendenti iniziassero una seria campagna di verifica di queste app, per verificare se le loro informative sono corrette e complete e se fanno ciò che dichiarano i loro Titolari e solo quello.
Finchè le Autorità Garanti non controllano le app e non sanzionano gli abusi, stabilire quando un app può dirsi perfetta, resta un puro esercizio di stile.
Il tutto senza dimenticare che, purtroppo, il vero problema sta a monte, in quanto è notorio che la stragrande maggioranza degli utenti non ha alcun interesse a sapere come le applicazioni usano i loro dati, se ottengono il servizio desiderato.