L’attenzione delle autorità europee e internazionali si è di recente soffermata sulla capacità delle applicazioni per cellulari e dispositivi mobili (apps) di garantire il rispetto delle normative in materia di proprietà intellettuale, concorrenza, pubblicità e protezione dei dati.
Le ricerche di settore hanno rilevato che gran parte delle applicazioni diffuse dagli app stores non sono conformi ai requisiti legali minimi richiesti per la tutela degli utenti.
Il gruppo europeo Article 29 Working Party e la Federal Trade Commission americana hanno quindi elaborato delle linee guida destinate ai soggetti coinvolti nello sviluppo delle apps, allo scopo di precisare le caratteristiche richieste.
Le preoccupazioni delle autorità derivano dalle caratteristiche peculiari delle apps: sono strumenti particolarmente diffusi e utilizzati; possono avere accesso a molte più informazioni rispetto ai browser tradizionali (ad esempio rubrica telefonica e posizione geografica degli utenti) e possono combinarle facilmente tra loro; permettono di trasferire tali informazioni velocemente in vari luoghi e di renderle disponibili a diversi soggetti (proprietari delle App, sviluppatori, App stores, creatori dei sistemi operativi e terze parti); inoltre, lo spazio a disposizione per fornire le informazioni agli utenti è particolarmente ridotto (anche se, come scrive il Working Party, non deve essere una ragione per dare informazioni incomplete o vaghe).
Data la potenziale complessità di questi strumenti tecnologici, che possono costituire dei veri e propri buchi neri dei dati personali, le linee guida sollevano l’attenzione su diversi aspetti fondamentali.
Prima di tutto, le apps devono rispettare i requisiti di qualsiasi (altra) campagna pubblicitaria. Le comunicazioni devono avvenire in maniera trasparente, chiara ed esaustiva. Affermazioni fuorvianti o poco chiare riguardo ai servizi offerti possono configurare pubblicità ingannevole. Questi aspetti, in un certo senso risaputi, rischiano di acquistare nuovi significati e di essere difficilmente attuabili nel caso delle apps, date le peculiarità evidenziate sopra.
Particolare rilevanza è attribuita al rispetto delle normative sulla la protezione dei dati. In Europa le norme di riferimento sono la Direttiva 95/46/CE sulla protezione dei dati personali e la Direttiva 2002/58/EC, riguardante il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche.
Le linee guida europee del Working Party evidenziano una serie di requisiti minimi validi anche per altri mezzi di comunicazione, nonchè alcuni accorgimenti specifici, particolarmente stringenti, da adottare per questo nuovo strumento tecnologico al fine di renderlo il più trasparente possibile nei confronti dei consumatori.
Per permettere che una app sia scaricata sui dispositivi e possa interagire con questi, è necessario richiedere un consenso agli utenti. Il consenso al trattamento deve essere libero, informato, specifico e ottenuto prima che qualsiasi dato venga raccolto o processato.
Ogni App deve quindi contenere una privacy policy chiara e facilmente accessibile.
Consenso libero: per potersi configurare accettazione non è sufficente una sola casella da spuntare per poter proseguire una volta presa visione della privacy policy, ma deve essere presente anche una esplicita opzione di uscita, che permetta di negare il consenso o tornare indietro.
Consenso informato: la privacy policy deve contenere necessariamente alcune informazioni essenziali, ovvero l’identità del titolare del trattamento e le informazioni per poterlo contattare, l’indicazione precisa delle categorie di dati personali che la app raccoglierà e tratterà, gli scopi specifici della raccolta, la dettagliata previsione di eventuali soggetti terzi ai quali i dati verranno trasmessi, e infine le modalità attraverso cui gli utenti potranno esercitare i loro diritti di revoca del consenso e di cancellazione dei dati.
Oltre a queste, è raccomandata una serie di informazioni non essenziali che rimandano a considerazioni di proporzionalità sui tipi di dati raccolti dal dispositivo, periodo di conservazione dei dati e misure di sicurezza adottate dal titolare del trattamento.
Le dimensioni del carattere e la leggibilità della privacy policy potrebbero essere determinanti.
Non è sufficente raggruppare tutte le indicazioni in lunghe e illeggibili condizioni legali oppure dietro collegamenti ipertestuali. Questi ultimi possono essere efficacemente utilizzati solo per rimandare a informazioni facoltative, se quelle fondamentali sono già state adeguatamente evidenziate, oppure per rendere più scorrevole la lettura di testi lunghi.
Per sviluppare apps che rispettino i requisiti legali emerge quindi la necessità di attuare una collaborazione con i tecnici che sviluppano le piattaforme e con gli app stores. Le applicazioni devono essere struttrate in modo conforme e non solo contenere un numero di informazioni standard.
Consenso specifico: nell’indicare le finalità del trattamento, particolare attenzione deve essere posta per evitare descrizioni troppo generiche o omnicomprensive. Il Working party ad esempio non reputa sufficienti indicazioni quali “per ricerche di marketing” o “per innovare i prodotti”, considerate sommarie.
Anche per le apps le autorità raccomandano la “Data minimization” dei dati: le informazioni raccolte devono essere solo quelle necessarie per le finalità indicate, e non eccedenti rispetto alle finalità del trattamento.
Oltre all’accettazione iniziale della privacy policy e delle condizioni legali, è necessario richiedere un consenso specifico durante l’uso dell’applicazione prima del rilevamento di ogni nuova tipologia di dati. Questo può avvenire tramite un avviso pop-up da fornirsi immediatamente prima che il dato venga raccolto. Esemplificando, il consenso andrebbe rinnovato per la raccolta delle informazioni concernenti la posizione geografica, i contatti, l’identità della persona interessata, i dati di credito e di pagamento, e le e-mail, tra gli altri.
Questo ulteriore adempimento non può essere evitato a meno che i dati raccolti, non sensibili, siano strettamente necessari per effettuare il servizio desiderato.
Ciascuna app deve inoltre garantire il controllo da parte degli interessati sui propri dati personali. Le informazioni sui dati raccolti devono quindi essere facilmente rintracciabili in qualsiasi momento all’interno della App, e questi devono poter essere modificati o cancellati.
Le Autorità attribuiscono molta importanza anche alle misure di sicurezza da adottare per evitare la perdita o la diffusione indebita di dati, con particolare riguardo per quelli sensibili, nonchè agli accorgimenti prescritti in caso di navigazione dei minori.
Le linee guida non specificano le sanzioni che conseguono alla violazione degli obblighi legali, le quali presumibilmente riflettono le misure previste per le medesime violazioni commesse con altri mezzi di comunicazione.
Degno di nota è l’obbligo, menzionato dal Working Party in capo agli App Stores, di controllare la conformità delle diverse apps alla normativa sulla privacy e alle linee guida, collegato alla facoltà di rimuovere dallo store le apps che non rispettano i requisiti.
Un altro importante motivo per prestare particolare attenzione ai principi di trasparenza, proporzionalità e sicurezza enfatizzati dalle autorità è rappresentato dai public ratings: ossia i voti e i commenti pubblici degli utenti, destinati ad orientare le scelte degli altri consumatori.
Da notare alcuni importanti attori già finiti sotto accusa.
Negli Stati Uniti, Apple sta affrontando una class action intentata da un gruppo di genitori a seguito dei conti salati derivanti dalle spese per le applicazioni per bambini disegnate per iPhone e Ipad. Apple ha tralasciato di specificare in maniera adeguata che alcune app indicate come specifiche per bambini, pur essendo scaricabili gratuitamente, consentivano aggiornamenti e acquisti di altre applicazioni a pagamento senza far però richiedere il reinserimento del codice di sicurezza.
La class action è stata accettata dal giudice della corte federale degli Stati Uniti che ha rigettato la richiesta di Apple di respingere il caso.
Inoltre la popolare app Whats App risulta indagata dal Garante Privacy per il meccanismo che consente di accedere automaticamente alla rubrica dei contatti dell’utente che l’ha scaricata, e di individuare i nomi di coloro che già utilizzano il servizio. Questo tipo di operazione permette di accedere a dati personali di soggetti terzi, che però non hanno scaricato l’applicazione e non utilizzano il servizio. Sono state inoltre ipotizzate possibili criticità nelle misure di sicurezza adottate, in particolare riguardo alla conservazione dei dati trattati e al loro accesso da parte di terzi non autorizzati.
– Linee guida dell’ Article 29 Data Protection Working Party
– Linee guida FTC “Marketing your mobile app: get it right from the start”, http://business.ftc.gov/sites/default/files/pdf/bus81-marketing-your-mobile-app.pdf
