Le applicazioni per smartphone, tablet, smart TV o altri dispositivi connessi ad internet (come quelli di domotica) sono sempre più diffuse e offrono agli utenti una vasta gamma di servizi ormai considerati irrinunciabili dai più. Non solo svago e intrattenimento, ma anche la possibilità di interagire con la pubblica amministrazione o di usufruire di servizi sanitari.
La diffusione ha raggiunto un livello tale che, di recente, le app sono state oggetto di attenzione da parte del Garante per la protezione dei dati personali: nell’ottobre 2020, l’Autorità ha pubblicato un vademecum contenente dei suggerimenti sul come tutelare la propria privacy utilizzando le app[1]. Tra i consigli, quello di verificare chi tratterà i dati per quali finalità, per quanto tempo saranno conservati i dati e se saranno condivisi con terze parti per ulteriori finalità. L’Autorità suggerisce poi di prestare attenzione ai permessi richiesti dall’app per l’accesso a determinate informazioni e funzionalità (tra gli esempi di permessi possibili: accesso alla rubrica, ai dati di geolocalizzazione, alla fotocamera o al microfono).
Il Garante consiglia inoltre agli utenti di scaricare le app dai “market ufficiali” in grado di garantire la presenza di controlli sull’affidabilità delle app stesse. Ed è proprio affrontando tale aspetto che bisogna analizzare una delle recenti novità introdotte da Apple: a partire dall’8 dicembre 2020, l’azienda richiede, infatti, a tutti gli sviluppatori di app di dichiarare determinate informazioni in merito al trattamento dei dati personali e delle informazioni riferite agli utenti. Tali informazioni permettono ad Apple stessa di contrassegnare e classificare le app – tramite delle etichette mostrate agli utenti – e, in ipotesi, questo sistema di catalogazione potrebbe evidenziare le app che presentano fattori di rischio per gli utenti. Non basterà più quindi il “classico” link dell’informativa privacy per pubblicare un’app sullo cd. “App Store” di iOS, ma lo sviluppatore dovrà fornire ad Apple informazioni di maggior dettaglio sui propri trattamenti che saranno inserite in un riquadro apposito (ormai viene da tutti definito come “nutrition label”).
I principi del GDPR
Prima di approfondire la novità in ambito iOS, è importante analizzare la normativa applicabile in materia. Chi sviluppa un’app, infatti, dovrebbe innanzitutto tenere conto del principio di cd. privacy by design (o protezione dei dati sin dalla progettazione) di cui all’art. 25 del Regolamento (UE) 2016/679, del 27 aprile 2016 (di seguito, “GDPR”). In particolare, s’intende l’implementazione della disciplina concernente la protezione dei dati personali, fin dalla fase di progettazione dell’app, con lo scopo di ridurre il trattamento in via preventiva, tenendo conto non solo dello stato dell’arte e dei costi di attuazione, ma anche della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. Lo scopo è la creazione applicazioni che tengano conto delle regole e dei principi di protezione dei dati, al fine di minimizzare a priori il trattamento.
Ancora, sempre secondo quanto stabilito dall’art. 25 del GDPR, lo sviluppatore è tenuto al rispetto del principio della protezione per impostazione predefinita (cd. privacy by default), che consiste nell’attuazione di misure tecniche e organizzative per garantire che, fin dalla raccolta, vengano trattati solamente i dati personali necessari per ogni specifica finalità perseguita. Sostanzialmente, l’app che si intende offrire agli utenti deve essere dotata – di default – di impostazioni che garantiscano il massimo livello di tutela possibile. Le misure tecniche e organizzative (come la pseudonimizzazione o la minimizzazione) devono garantire che, per impostazione predefinita, “non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
I dati raccolti devono essere trattati in modo trasparente nei confronti dell’utente: si deve infatti rispettare il principio della trasparenza, il quale impone che “(…) le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro” (considerando 39 del GDPR), e allo stesso tempo, dev’essere fornita un’informativa privacy nel rispetto di quanto richiesto dall’art. 13 del GDPR.
Le novità di Apple: “nutrition label”
Proprio nell’ottica di incrementare la trasparenza, Apple ha deciso di lanciare l’iniziativa nota ormai come “nutrition label”. Come dichiarato dall’azienda di Cupertino, sul suo sito web, nella nuova sezione dedicata alla privacy “Every one of the more than 1.8 million apps on the App Store is required to follow strict privacy guidelines and report how it uses your data. And every app is rigorously reviewed by a team of experts at Apple.”[2].
Di cosa si tratta nello specifico? Una sorta di informativa – si sottolinea che non sostituisce la “classica” informativa privacy ex art. 13 del GDPR – che gli sviluppatori che vorranno lanciare un’app nello Store di Apple dovranno fornire al fine di rendere facilmente disponibile agli utenti un riepilogo di alcuni dei trattamenti che verranno svolti. Tale riquadro è paragonabile ad una sorta di “tabella nutrizionale” (come quelle mostrate nelle etichette dei prodotti alimentari), e ha come scopo di rendere immediatamente comprensibile all’utente il trattamento dei suoi dati che potrebbe essere svolto a seguito del download dell’app sul suo dispositivo. Con questa “rivoluzione”, Apple cerca di aumentare la trasparenza e di rendere gli utenti più consapevoli[3].
Quali informazioni andranno inserite? Innanzitutto, andranno dichiarate le tipologie di dati trattati, e Apple ha già preimpostato delle categorie tra le quali lo sviluppatore dovrà scegliere. Si devono poi dichiarare le finalità (tra le quali figurano “App functionality”, “Third-Party Advertising”, “Developer’s Advertising or Marketing”, “Analytics”, “Product Personalization”).
Cosa fare dunque prima di lanciare un’app sull’Apple Store?
Ove non già compiuto, prima della pubblicazione di un’app andrà fatto un attento assessment dell’applicazione stessa, considerando almeno i seguenti aspetti:
- categorie di trattamenti da effettuarsi: stabilire per quali finalità e con che modalità saranno utilizzati i dati personali e le informazioni del dispositivo dell’utente (ad esempio, invio di notifiche in app per finalità pubblicitarie, misurazioni della performance dell’app ecc.);
- permessi da utilizzare: indagare quanti e quali permessi l’app richiederà all’utente (accesso alla fotocamera, alla rubrica ecc.), in relazione ai trattamenti da effettuarsi;
- eventuali trattamenti che verranno svolti da terzi (fornitori o partner)[4]: ad esempio, andrà verificata l’eventuale integrazione di software development kit (cd. “SDK”) di terze parti all’interno dell’app.
In ultima analisi, prima di procedere con la pubblicazione sullo store, andranno valutati i dati personali raccolti, le modalità di raccolta così come le terze parti che, per il tramite dell’app, potranno raccogliere dati ed informazioni riferite all’utente[5]. In ogni caso, l’assessment in questione sarà sì volto a rispettare i prerequisiti imposti da Apple, ma è da considerarsi fondamentale anche in vista della predisposizione dell’informativa privacy ex art. 13 del GDPR (nonché della propria generale compliance con la normativa privacy).
Inoltre, è bene tenere presente che non tutti i trattamenti andranno obbligatoriamente indicati e mostrati agli utenti nella pagina informativa presentata prima del download dell’app. Apple, infatti, lascia agli sviluppatori la facoltà di indicare solo alcune tipologie di dati, ma soltanto se concorrono tutte le seguenti caratteristiche:
- i dati non sono usati per finalità di tracking, vale a dire i dati non sono collegati a “Third-Party Data” (cioè dati relativi ad un particolare utente o device raccolti da app, siti web o altre properties offline di terze parti), per finalità di advertising o di sua misurazione, o non sono condivisi con terze parti;
- i dati non sono usati per “Third-Party Advertising” (vale a dire per l’erogazione di annunci pubblicitari nell’app o per la condivisione dei dati a terzi soggetti al fine di erogare i predetti annunci), per “Developer’s Advertising or Marketing” (vale a dire per l’erogazione di annunci dell’editore all’interno dell’app, così come per l’invio di comunicazioni di marketing direttamente all’utente, oppure per la condivisione dei dati con terzi soggetti che erogheranno pubblicità dell’editore), ovvero per altre finalità non espressamente definite nelle policy di Apple (“Other Purposes”);
- la raccolta di dati avviene solamente in circostanze occasionali che non rappresentano primarie funzionalità dell’app, facoltative per l’utente;
- i dati sono forniti dall’utente nell’interfaccia dell’app, dove è chiaro all’utente quali dati sono necessari, il nome dell’utente o il suo account è presentato in vista nel form di raccolta (insieme agli altri dati che saranno inviati), e l’utente affermativamente sceglie, volta per volta, di fornire i dati[6].
Infine, si segnala che il predetto nuovo assessment, potrebbe dover essere necessariamente effettuato anche in caso di pubblicazione di un mero aggiornamento dell’app sull’Apple Store dato che, a partire dal dicembre scorso, nessun aggiornamento potrà essere pubblicato se non dopo aver correttamente portato a termine il nuovo processo. E non solo, le informazioni inserite andranno anche tenute costantemente aggiornate (su questo aspetto, precisa Apple, in caso di variazione delle informazioni inizialmente dichiarate, non occorrerà un aggiornamento dell’app).
Considerazioni conclusive
“La privacy è un diritto umano fondamentale ed è al centro di tutto quello che facciamo” afferma Apple nella pagina di presentazione del nuovo iOS14: con l’aggiornamento in questione, in definitiva, l’azienda mira a fornire ai suoi utenti maggiori informazioni circa il trattamento dei loro dati, direttamente nell’App Store, in relazione a ciascuna app e prima del download. Non si tratta dell’unico aggiornamento privacy dell’azienda. Gli utenti iOS, infatti, beneficeranno anche: i) di un indicatore di registrazione, che li avvisa ogni qualvolta un’app usa il microfono o la fotocamera; ii) di una nuova funzione per accedere alle app tramite l’ID Apple (il cd. “Accedi con Apple”), per i fornitori che supportano il servizio; iii) di una funzionalità che permette loro di condividere la posizione meramente approssimativa (anziché quella precisa), tutte le volte in cui un’app debba utilizzare la posizione per erogare dei servizi (ad esempio, le previsioni meteo o le news locali); iv) di un “resoconto sulla privacy” dei siti web, che permetterà loro di verificare tutti i tracciamenti bloccati dall’antitracking di Safari[7].
Sicuramente, il nuovo requisito di Apple relativo alla trasparenza delle app, con il quale Apple stessa catalogherà le applicazioni in base al loro livello di protezione dei dati personali, richiederà a tutti gli sviluppatori un impegno aggiuntivo, al di là e in aggiunta agli obblighi già imposti loro dal GDPR: dovranno essere analizzati per tempo i trattamenti, i dati raccolti e le terze parti, i cui tracciamenti sono veicolati all’interno dell’app o cui sono trasmessi, in altro modo, i dati personali e le informazioni degli utenti raccolti tramite le app (e le finalità da queste terze parti perseguite).
Ancora, gli sviluppatori dovranno tenere conto di un’ulteriore importante novità, vale a dire il cd. “AppTrackingTransparency Framework”, un sistema che dovrà essere utilizzato all’interno di ciascuna app per richiedere il consenso degli utenti[8]. Si segnala che quest’iniziativa di Apple, ha scatenato non poche reazioni tra gli operatori, soprattutto alla luce delle importanti conseguenze che riguardano il settore del digital advertising. Negli ultimi anni si è registrata infatti una crescita esponenziale del mercato pubblicitario attivo sui dati personali raccolti tramite SDK, strumenti che – in ambiente app – permettono di raccogliere identificativi quali il cd. “MAID” (Mobile Advertising ID), ed in particolare l’“IDFA” (Identifier for Advertising, per dispositivi Apple) e il “GAID” (Google Advertising ID, per dispositivi Android), identificativi necessari per la targetizzazione pubblicitaria e l’erogazione di annunci personalizzati.
Il più agguerrito in questi mesi è stato senz’altro Facebook che, per contrastare il blocco della raccolta dell’IDFA e il conseguente calo drammatico dei propri introiti pubblicitari, ha comprato annunci sui giornali, pubblicato un nuovo sito Web e realizzato numerosi post sui propri blog esponendo i suoi argomenti contro Apple. Nelle varie pubblicazioni si legge l’opinione di Facebook: “la nuova normativa iOS 14 di Apple avrà un impatto negativo su molte piccole imprese che stanno lottando per non chiudere e per non perdere l’uso gratuito di Internet su cui tutti contiamo ora più che mai.”[9], e ancora, Facebook ritiene che “(…) le inserzioni personalizzate e la privacy degli utenti possano coesistere, evitando i danni collaterali causati da iOS 14” e ribadisce “noi e altri operatori del settore stiamo effettuando notevoli investimenti in soluzioni che aumentino la privacy e consentano, al tempo stesso, alle aziende di crescere online.”.
Con riguardo agli investimenti e agli altri operatori del settore, si ricorda che già da prima dell’entrata in vigore del GDPR, è stato lanciato il Transparency and Consent Framework (TCF) un progetto con scopi non commerciali ed open source promosso da IAB Europe, dallo IAB Tech LAB e da alcune preminenti società all’interno del settore del digital advertising che ha come obiettivo quello di aiutare editori, fornitori di tecnologia ed inserzionisti a soddisfare i requisiti chiave della normativa in materia di protezione dei dati personali, in particolare, con riferimento alla raccolta del consenso.
Il TCF è anche già stato aggiornato nella sua versione 2.0 (pubblicata il 21 agosto 2019), che prevede espressamente l’utilizzo delle Consent Management Platforms (cd. “CMP”) anche in ambiente app: si tratta di strumenti che supportano gli sviluppatori (e gli editori) delle app nella raccolta del consenso per tutte quelle attività che Apple intende bloccare di default, di fatto andando ad ostacolare migliaia di operatori del settore pubblicitario. Per assurdo, le nuove impostazioni di Apple, qualora l’utente non prestasse il suo consenso a livello di sistema operativo, impedirebbero all’editore dell’app di presentare la CMP e di chiedere i consensi per le proprie attività e/o delle terze parti con cui collabora.
A questo proposito, IAB Europe e altre 15 associazioni a livello globale, hanno inviato una lettera congiunta[10] a Tim Cook, CEO di Apple, avvertendo Apple non solo delle conseguenze pratiche e operative delle sue scelte, ma anche dei potenziali rischi economici e sotto il profilo della concorrenza. E su quest’ultimo aspetto, si segnala che non è mancata una prima segnalazione all’autorità nazionale della concorrenza (francese) – ad opera delle associazioni IAB France, MMAF, SRI and UDECAM – che rispetto alle novità introdotte dall’azienda di Cupertino, accusano: “Questo caso non riguarda la privacy; si tratta di Apple che abusa del suo potere di mercato per distorcere la concorrenza”.
La partita non è certamente alle sue battute finali: sembra più che altro l’inizio di un match che, soprattutto per la “rilevanza” dei giocatori in campo, si preannuncia senza esclusione di colpi.
___________
[1] Si tratta del vademecum pubblicato sul sito dell’Autorità “APProva di privacy. Suggerimenti per usare le app proteggendo i propri dati”.
[2] La sezione in oggetto è raggiungibile al seguente link.
[3] Come dichiarato da Apple nel suo sito, nella pagina “Nuove funzioni disponibili con iOS 14” le predette informazioni sulla privacy sull’App Store saranno disponibili in seguito solo dopo un aggiornamento di iOS.
[4] Apple, nella pagina informativa “App privacy details on the App Store”, parla di “Third-party partners” definendoli come “analytics tools, advertising networks, third-party SDKs, or other external vendors whose code you’ve added to your app.”
[5] A tal proposito, è Apple stessa che fornisce la definizione di raccolta (“Collect”) dirimente ai fini del rispetto dell’adempimento imposto da Apple: “transmitting data off the device in a way that allows you and/or your third-party partners to access it for a period longer than what is necessary to service the transmitted request in real time”.
[6] All’interno della pagina informativa “App privacy details on the App Store”, Apple stessa fornisce alcuni esempi di casi facoltativi: “Examples of data that may not need to be disclosed include data collected in optional feedback forms or customer service requests that are unrelated to the primary purpose of the app and meet the other criteria above. For the purpose of clarity, data collected on an ongoing basis after an initial request for permission must be disclosed.”.
[7] Maggiori informazioni in merito si trovano nella suddetta pagina “Nuove funzioni disponibili con iOS 14”.
[8] Dalla pagina “User Privacy and Data Use” di Apple si evince quanto segue in merito: “With iOS 14, iPadOS 14, and tvOS 14, you will need to receive the user’s permission through the AppTrackingTransparency framework to track them or access their device’s advertising identifier. Tracking refers to the act of linking user or device data collected from your app with user or device data collected from other companies’ apps, websites, or offline properties for targeted advertising or advertising measurement purposes. Tracking also refers to sharing user or device data with data brokers.”.
[9] Si veda ad esempio il blog post “A difesa delle piccole imprese”.
[10] Il testo integrale della comunicazione è disponibile al seguente link.
