Il complesso rapporto tra privacy e app è di lunga durata. Il Garante italiano aveva già espresso alcune preoccupazioni quando scriveva che le app “possono raccogliere e trattare una grande quantità di dati personali, a volte anche di natura sensibile. Basti pensare che le app possono avere accesso alla rubrica dei contatti, a foto, video e documenti di vario tipo, ai dati della carta di credito o magari anche al microfono dello smartphone o del tablet. Ma possono anche registrare informazioni sulle abitudini di vita, sui consumi, sulla posizione geografica e perfino sulla forma fisica e sullo stato di salute”.

Un vademecum per i clienti

Il tema è tornato fortemente in auge con l’acceso dibattito sollevato nei mesi passati su IMMUNI e, di recente, l’Authority italiana ha pubblicato un vademecum che spiega, in termini semplici, cosa succede alla privacy quando ciascuno di noi installa una qualunque applicazione.

Il focus del documento è sensibilizzare gli utenti, affinché pongano maggiore attenzione a questi 3 fattori:

  • Chi tratterà i propri dati personali e con quali finalità;
  • Se verranno condivisi con terze parti;
  • Per quanto tempo verranno conservati.

Lo step della sensibilizzazione del cliente è sicuramente un aspetto importante; infatti, come scrive lo stesso Garante, “non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy”.

Quindi, leggere attentamente l’informativa, limitare le informazioni fornite per l’attivazione del servizio, verificare se è in ogni momento possibile disattivare alcune funzionalità, fino ad arrivare alla decisione di non installare nulla, nel caso in cui l’accesso a determinati dati personali è richiesto come obbligatorio per usufruire dei servizi dell’applicazione sono i principali suggerimenti riportati nel vademecum.

Un focus particolare è poi dedicato ai rischi che possono correre i minori, in quanto “meno consapevoli dei pericoli e più esposti al rischio di una raccolta e diffusione incontrollata di dati personali propri o dei familiari”.

L’utilizzo dei dati personali delle APP

Eppure, dal punto di vista della normativa, sorge il dubbio che le regole attualmente in vigore non siano sufficientemente specifiche e dettagliate per una tutela efficace dei clienti, soprattutto se si allarga la lettura alle dinamiche del mercato sottostante.

Il dibattito è aperto in molti Paesi ed è strettamente connesso all’enorme business derivante dall’utilizzo di questi dati, soprattutto quando questo si concentra su enormi multinazionali operanti a livello globale.

È davvero recente, ad esempio, la notizia che negli Stati Uniti si sta investigando sulla posizione di monopolio di Apple rispetto alle app iOS, disponibili su App Store, che avrebbero raggiunto il numero di ben 1.8 Milioni in tutto il mondo, con un giro d’affari nel 2019 pari a circa 519 miliardi di dollari americani (di cui 138 miliardi solo negli Stati Uniti). La difesa di Apple passa proprio dal tema della Privacy, rilanciando che le sue API sono adeguate a proteggere la privacy degli utenti e che quasi 150.000 app sono state scartate durante il processo di revisione proprio per la violazione delle norme sulla privacy.

Alcuni esempi normativi e punti aperti

Negli USA

Negli Stati Uniti non esiste una legge sulla privacy specifica per le applicazioni, mentre si applicano le regole generali, sia a livello federale che statale, incluse alcune normative specifiche per alcune tipologie di dati, quali:

  • il Federal Health Insurance Portability and Accountability Act (HIPAA), nato per modernizzare la gestione dei flussi di dati in ambito sanitario, stabilendo in che modo le informazioni devono essere conservate dalle industrie sanitarie e di assicurazione sanitaria;
  • il Gramm-Leach-Bliley (GLB) Act, conosciuto anche come Financial Services Modernization Act, relativo ai dati finanziari;
  • il Children’s Online Privacy Protection Act (COPPA) che copre i dati raccolti on line sui minori di 13 anni.

È la California, insieme alla Federal Trade Commission (FTC) che già nel 2013 aveva avviato un ragionamento sul framework esistente, pubblicando alcune best practices per gli sviluppatori di app, a maggiore tutela della privacy.

In Cina

Il regolatore cinese si è posto il problema della raccolta e dell’uso illegale delle informazioni personali degli utenti da parte delle APP nel 2019.

Una normativa, pubblicata congiuntamente dalla Cyberspace Administration cinese, dal Ministero dell’Industria e della Tecnologia dell’informazione, dal Ministero della Pubblica Sicurezza e dall’Amministrazione per la Regolamentazione dei Mercati, fornisce uno standard per identificare quando la raccolta e l’utilizzo di dati risulta illegale.

Tra i comportamenti vietati vi sono, ad esempio, il mancato chiarimento relativo allo scopo e alle modalità di raccolta dei dati, oppure la condivisione di informazioni personali senza il consenso degli utenti, o ancora la raccolta di informazioni dell’utente, senza che queste siano strettamente correlate al servizio fornito.

All’incirca nello stesso periodo, la China Consumers Association dichiarava che un gran numero di app per smartphone nel Paese stava raccogliendo una quantità eccessiva di dati personali. Separatamente, un rapporto pubblicato nel 2018 affermava che 91% delle app mobili esaminate raccoglievano eccessivi dati.

In Europa

La normativa sulla privacy Europea si basa prevalentemente sulla difesa di alcuni diritti fondamentali, delineati nella Carta dell’UE e in varie direttive della Commissione europea in tema di privacy.

In particolare, il GDPR sancisce il diritto fondamentale delle persone di essere informate su come i propri dati sono utilizzati ed elaborati; permette di esercitare un controllo sul trattamento delle proprie informazioni personali ed impedisce che i dati vengano utilizzati per scopi differenti rispetto a quelli specificati, senza un nuovo ulteriore consenso; si applica, ancora, a tutte le app che raccolgono ed elaborano dati personali dei cittadini dell’Unione Europea, anche se la app è gestita al di fuori dei Paesi membri.

Un report di ENISA (European Union Agency for Network and Information Security) del 2017 si intitolava “Privacy and data protection in mobile applications” e concludeva che la funzionalità di una APP dipende in minima parte dagli sviluppatori, ma è legata ad un ecosistema molto più ampio, che include hardware, software, sistemi operativi, protocolli, API, infrastrutture, contratti e molto altro.

Per un poter quindi valutare l’applicazione del GDPR in questo ambito, è fondamentale che si allarghi la discussione su questioni generali di governance che coprano l’intera filiera e che richiederanno sviluppi futuri.

In Russia

Per quanto riguarda la Russia, le normative di riferimento in ambito privacy sono la Legge Federale sui dati personali e la Legge federale sulle informazioni, le tecnologie informatiche e la protezione delle informazioni.

L’app Social Monitoring è stata sviluppata dal Dipartimento delle tecnologie dell’informazione per la città di Mosca. L’applicazione è inteso per monitorare le violazioni di un regime di autoisolamento e quarantena stabilita per coloro che vengono curati presso casa e / o sono limitati a lasciare il luogo di residenza.

Questa app ottiene l’accesso alla posizione dell’utente, alle chiamate, alla fotocamera, alle informazioni di rete, ai sensori e ad altri dati per garantire che le persone incaricate di auto-quarantena non escano di casa durante il periodo di due settimane. Non è chiaro il motivo per cui l’app debba accedere a tutti questi dati per monitorare la conformità con l’autoisolamento. I dati raccolti dovrebbero essere di portata limitata e dovrebbero essere messe in atto misure di salvaguardia per garantire che non vengano utilizzati per altri scopi.

Nel resto del mondo

Molte altre normative hanno, sia pur nelle loro diversità in termini di specifiche tecniche, una similitudine nel fatto che non comprendono requisiti ad hoc sulla gestione della privacy nell’ambito delle app.

A titolo esemplificativo, le Australian Privacy Principle (‘APP’) Guidelines hanno una struttura molto simile a quella del GDPR europeo, ad esempio sui diritti all’informativa, sul diritto di revoca del consenso, sul diritto di avere accesso ai propri dati conservati da un titolare del trattamento, ecc.

Ancora, molti Paesi arabi, del Medio Oriente e del Nord Africa si sono approcciati di recente alle tematiche della privacy, prime fra tutte l’Arabia Saudita (legge del 2019) e l’Egitto (aggiornata in Ottobre 2020, con standard e linee guida introdotte nel 2021). Anche in questi casi, non si trovano elementi specifici sull’utilizzo dei dati provenienti dalle APP.

Dati, strumenti utili per migliorare le nostre vite senza controllarle

È l’OECD che, nell’approfondire gli impatti del COVID sull’utilizzo dei dati, ha osservato che “i governi stanno adottando misure senza precedenti per monitorare e contenere la diffusione del nuovo coronavirus (COVID-19) e stanno sfruttando la potenza dei dati per guidare le soluzioni digitali”.

I dati in questo ambito specifico sono fondamentali per valutare e migliorare la capacità dei sistemi sanitari e per valutare l’efficacia delle politiche di contenimento e mitigazione che limitano la circolazione delle persone e l’accesso a dati quali dati di geolocalizzazione e dati biometrici diventano elemento chiave per questo tipo di monitoraggio, aprendo margini molto ampi sull’accesso pubblico a informazioni private.

Ma la partita internazionale si gioca in realtà su altri piani, laddove l’utilizzo dei dati delle APP diventa strumento di controllo o scontro politico.

Il duello non è solo, come si può immaginare, tra Stati Uniti e Cina. Ricordiamo il caso del 2019, in cui era emersa l’accusa del governo americano nei confronti degli Emirati Arabi, sul progetto Raven, con cui, accedendo a dati, foto ed altre informazioni dei cellulari, il governo avrebbe spiato non solo i cittadini interni, ma anche gli stranieri.