Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.
Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.
Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.
Il family tracking
Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.
Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.
Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.
Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?
Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.
Localizzazione dei server e trasferimento dei dati
Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.
Diritti degli utenti interessati
Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.
App per minori
Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).
È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.
Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.
Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli. O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.
I dati raccolti tramite queste app possono essere venduti a soggetti terzi?
Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.
Profilazione e marketing
Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.
Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.
