app di tracciamento – Consulenza Legale Moda

10 Luglio 2020

LE APP DI TRACCIAMENTO FAMILIARE

Sticky
app, Contrattualistica, privacy, Start-up
no comments

Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.

Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.

Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.

Il family tracking

Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.

Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.

Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.

Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?

Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.

Localizzazione dei server e trasferimento dei dati

Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.

Diritti degli utenti interessati

Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.

App per minori

Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).

È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.

Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.

Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli. O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.

I dati raccolti tramite queste app possono essere venduti a soggetti terzi?

Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.

Profilazione e marketing

Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.

Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.

Continua a leggere →

25 Maggio 2020

MI PRESENTO: SONO IMMUNI, L’APP ITALIANA ANTI CORONAVIRUS

Le nuove tecnologie possano certamente aiutare nella lotta al diffondersi della pandemia da Covid-19. Non a caso, prima in oriente e poi in occidente, si è iniziato a parlare delle app di tracciamento, di cui abbiamo già discusso qui. In Italia, la bagarre sulla questione infuria ormai da mesi. Tutti abbiamo letto e sentito parlare della fantomatica Immuni: l’app che dovrebbe rivoluzionare la Fase due del nostro paese (anche se con un certo ritardo). Ormai è questione di giorni e tutti potremmo scaricare sui nostri cellulari l’applicazione. Più di qualcuno, infatti, avrà ricevuto sul proprio smartphone questo messaggio di Google, che pare voler dettare le regole del gioco mentre il governo italiano ancora latita.

Ma come dovrebbe funzionare Immuni?

Per chi ancora non sapesse con certezza di che cosa si tratta, Immuni è un’applicazione per smartphone in grado di registrare i contatti interpersonali, attraverso lo sfruttamento dei Bluetooth.

Sul suo funzionamento tanti rumors, ma poche certezze. In ogni caso, non appena disponibile, l’app potrà essere scaricata, su base volontaria e gratuitamente, dal play store Android e dall’Apple store. Immuni dovrebbe essere composta di due parti: una dedicata al contact tracing vero e proprio (via Bluetooth) e l’altra destinata ad ospitare una sorta di “diario clinico”, in cui l’utente potrà annotare i dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.

Il tracciamento avverrà in questo modo: i cellulari dotati dell’app conserveranno nella loro memoria i dati di altri cellulari con cui siano entrati in contatto (in forma di codici crittografati). Qualora uno dei soggetti che ha scaricato l’app risulti positivo al virus, gli operatori sanitari gli forniranno un codice di autorizzazione, con il quale questi potrà scaricare su un server ministeriale il proprio codice crittografato. I cellulari, automaticamente, scaricheranno dal server i codici dei contagiati. Qualora l’app dovesse riconoscere, tra i codici in memoria, il codice di un contagiato, invierà un segnale di allerta all’utente, proprietario del cellulare.

Ma…perché se parla tanto? Innanzitutto, perché vi sono tantissimi dubbi sul funzionamento di Immuni.

Notifica del possibile contagio. Per esempio, immaginiamoci che Immuni avverta con una notifica l’utente che è stato, nelle scorse due settimane, a contatto con un soggetto positivo al Covid; l’utente cosa deve fare? Si chiude dentro casa? Se per ipotesi lavora e il suo datore di lavoro non gli riconosce lo smart working, deve comunque notificargli che è entrato in contatto con un Covid positivo? A chi telefona, alla Asl o al medico di famiglia? Non si sa.

Numero di tamponi. Tutte le volte che un utente scopre di essere positivo al virus, affinché l’applicazione sia utile al contenimento dell’epidemia, è necessario sottoporre tutti i suoi contatti al tampone. Quanti sono? In media 200. Calcolando, ottimisticamente, 2.000 nuovi casi al giorno, moltiplicandoli, poi, per 200 contatti, ne risultano 400 mila tamponi al giorno. Il nostro sistema sanitario è pronto? Ai posteri l’ardua sentenza, ma per darvi un’idea, finora sono stati effettuati circa 1 milione di tamponi al mese.

Bluetooth. La tecnologia dei Bluetooth è molto più imprecisa dei GPS, che tuttavia non possono essere utilizzati per questioni connesse alla privacy. Ne consegue che il rischio di falsi positivi è davvero molto alto. L’app, pertanto, potrebbe riportare il Paese nella situazione di panico iniziale, che si vuole in tutti i modi scongiurare.

Anziani. Quanti voi conosco ultrasessantenni che normalmente utilizzano uno smartphone? È chiaro che la fascia di popolazione più a rischio non utilizzerà mai Immuni, posto che spesso non dispone di uno smartphone, o comunque è pratica nell’utilizzare tale genere di dispositivo.

Sostenibilità. L’app è gratuita, ma per utilizzarla è necessario possedere un cellulare di ultima generazione. Chi non può permetterselo è pertanto escluso dalle cautele anti-Covid?!

Utilità. Tanto si è detto a proposito dell’effettiva utilità di Immuni. Evitando qualsivoglia genere di polemica, si riporta un dato oggettivo. L’app potrà effettivamente contribuire alla lotta contro il Coronavirus, unicamente se sarà utilizzata almeno dal 60% della popolazione, ovverosia da più di 30 milioni di italiani. Un’applicazione di così tanto successo non si è mai vista. Basti, tra l’altro, pensare che solo il 70% degli italiani dispone di uno smartphone.

Se decido di utilizzarla corro dei rischi per quanto concerne la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche Immuni non va esente da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Vero è che il Governo italiano pare (non v’è certezza, purtroppo) aver deciso di strutturare l’applicazione con un sistema decentralizzato, che potrebbe nel concreto assicurare un maggior grado di protezione contro eventuali data breach. Tuttavia, non si può fare a meno di sottolineare come tale rischio persista, posto che Immuni è comunque connessa ad un server centrale, che potrebbe essere hackerato. Senza contare che i dati di tracciamento vengono salvati in locale nei cellulari, i quali possono, forse anche più facilmente, finire nelle mani di malintenzionati, che non si esclude siano capaci di “bucare” le misure protettive di Immuni.

E se non la utilizzo?

Il Governo, a fronte delle raccomandazioni del Garante Privacy e delle Linee Guida n. 4/2020 del Comitato Europeo per la protezione dei dati, ha rassicurato i cittadini, sottolineando come l’uso dell’app sarà strettamente volontario e non condizionerà in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. D’altronde sarebbe evidentemente anticostituzionale imporre delle restrizioni a tutti coloro che non scaricano o usano Immuni. In altri termini, sarebbe contrario al principio fondamentale di uguaglianza (art. 3 Costituzione) e al dovere di solidarietà (art.2 Costituzione) limitare l’accesso ai test diagnostici o addirittura alle cure, attuando soluzioni del tipo “se non usi la App passi in coda rispetto a quelli che la usano”, oppure imporre restrizioni alla mobilità dei cittadini, costringendo a non uscire di casa coloro che non utilizzano Immuni, ovvero limitare il loro diritto al lavoro.

Nessuna conseguenza negativa, insomma, se si decide di non utilizzare Immuni.

Fattore fiducia.

È evidente che il successo di questa impresa tecnologica dipende strettamente dal grado di fiducia che i cittadini rivestono nelle Istituzioni che hanno sviluppato il progetto di Immuni.

Quest’ultime paiono impegnarsi, ma non abbastanza, a fronte una così sentita necessità. Un esempio? Lo scorso 11 maggio, il Ministro dell’Innovazione (Paola Pisano) rispondeva alle domande inoltratele dall’associazione ANORC, in ordine all’app Immuni. Tuttavia, la Pisano sorvolava sulla maggior parte dei nodi critici messi in evidenza dalle domande di ANORC.

In assenza di trasparenza da parte delle istituzioni governative, è davvero difficile immaginare che Immuni possa davvero avere successo nel contesto italiano.

Continua a leggere →

21 Maggio 2020

FASE DUE: APP DI TRACCIAMENTO DEI CONTATTI UTILI O INUTILI? FACCIAMO CHIAREZZA.

Le nuove tecnologie possono svolgere un ruolo importante nel contrasto del diffondersi della pandemia da Covid-19. Non si tratta di ipotesi, ma di realtà che sono già state implementate in altri Paesi, che – al pari del nostro – hanno affrontato e stanno affrontando la situazione emergenziale che ben conosciamo. Tra le prime ad attivarsi in questo senso vi è senza dubbio la Cina, che, in tempi record, verso la metà di marzo, ha implementato un sistema di data tracing, denominato “codice salute”, integrato, fra l’altro, all’interno delle app più usate dalla popolazione cinese, ovverosia Alipay e Wechat.
L’esempio cinese non poteva non affascinare l’occidente. Ed in breve, anche in Francia, Germania ed Italia si è cominciato a parlare di app di data tracing

Ma che cos’è questa nuova tecnologia?

In estrema sintesi, si tratta di un’app in grado di registrare tutti i nostri contatti interpersonali, attraverso lo sfruttamento dei Bluetooth. Qualora uno dei soggetti con cui siamo è entrati in contatto risulti positivo al Covid-19, l’app genera una notifica, avvertendo noi, e tutti gli altri contatti a rischio, dell’accaduto.

Ci sono rischi per la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche le app di tracciamento dei contatti non vanno esenti da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Per questo, il 21 aprile scorso, il Comitato Europeo per la protezione dei dati (EPDB) ha emanato le linee guida n. 4/2020, al fine di scongiurare qualsivoglia forma di abuso. Tali Linee Guida riprendono i principi cardine del GDPR che abbiamo già imparato a conoscere: liceità, limitazione delle finalità e del tempo di conservazione, minimizzazione, esattezza, integrità e riservatezza. In particolare, il Comitato mette in luce come il monitoraggio su larga scala dei contatti sia una grave intrusione della privacy, che può essere legittimata solo a fronte dello svolgimento di un compito di interesse pubblico e della volontarietà dell’utilizzo della tecnologia implementata. Per questo, in ossequio al principio di minimizzazione, i dati trattati devono essere quelli strettamente indispensabili per le finalità stabilite. Il Comitato precisa, inoltre, che tali finalità dovrebbero essere, preferibilmente, regolamentate per il tramite di apposito intervento legislativo, atto a fornire idonea base giuridica per il monitoraggio. In ogni caso, il fatto che la base giuridica sia costituita dalla legge non vuol dire che la tecnologia in questione possa essere imposta ai cittadini. Il Comitato precisa, infatti, che l’uso della medesima deve essere strettamente volontario, e non deve condizionare in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Infine, viene sottolineato come sia essenziale la redazione di apposita DPIA, cioè una valutazione di impatto del trattamento, che analizzi nel dettaglio i possibili rischi e le conseguenze connesse al medesimo.

Cosa sta accadendo in Europa?

Innanzitutto, va premesso, che in Europa lo sviluppo e l’implementazione delle app di data tracing è stato accompagnato, fin dal principio, da una farraginosa bagarre, per la definizione delle misure tecniche più adeguate non solo per l’efficientamento delle app, ma anche per la protezione dei dati personali. In particolare, i tecnici si sono divisi tra sostenitori di un sistema di salvataggio dei dati personali centralizzato e i sostenitori di un sistema invece decentralizzato.

Le differenze fra i due? Posto che le app di tracciamento funzionano creando un elenco completo di utenti con cui si è interagito per più di qualche minuto, il cui identificativo non è il nome e/o il cognome, ma un codice criptato, la differenza essenziale risiede nelle modalità con cui tale codice viene realizzato. Nel sistema decentralizzato, il medesimo viene generato direttamente sui dispositivi mobili dell’utente, nel sistema centralizzato, è invece un server, per l’appunto centrale, ad eseguire tale operazione. Il sistema più sicuro? Difficile a dirsi, entrambi possono di fatto prestare il fianco ad abusi e attacchi hacker.

Le nostre eterne rivali (Francia e Germania) cosa stanno facendo?

Francia. L’app di tracciamento dei contatti francese, denominata StopCOVID, è ai blocchi di partenza. Il Ministro Cédric O, responsabile per il digitale, ha infatti reso noto come il lancio dovrebbe avvenire il prossimo 2 giugno. Il dibattito tra sostenitori del sistema centralizzato e sostenitori del decentralizzato – che, il 26 aprile scorso, avevano addirittura presentato formale petizione contro il primo sistema – ha visto prevalere i sostenitori del centralizzato. Tuttavia, non sono del tutto sopite le critiche, posto che l’applicazione – al pari di Immuni – sarà efficace unicamente qualora almeno la metà della popolazione (il 60%) la scarichi e la installi, contribuendo così a rendere capillare il suo raggio d’azione in tutto il territorio.

Germania. La Germania, come la Francia, inizialmente, pareva aver abbracciato la soluzione centralizzata, promuovendo lo sviluppo del c.d. Protocollo Robert (ROBust and privacy-presERving proximity Tracing protocol) e l’implementazione della dell’app, denominata Datenspenden. Tuttavia, il 25 aprile scorso, il governo federale ha dovuto cedere alla pressione degli attivisti, preoccupati per la gestione dei dati personali, e prediligere la soluzione della decentralizzazione, al fine di scongiurare il timore di abusi da parte delle autorità. Va, tuttavia, sottolineato che, a fronte della diffidenza della popolazione tedesca e della ancora scarsa digitalizzazione del paese, l’app tedesca difficilmente verrà mai alla luce. In attesa, i cittadini tedeschi possono comunque utilizzare la Datenspenden, che, previo loro consenso, è in grado di raccogliere tutti i dati custoditi da app di fitness, come Fitbit, Garmin e Polar, compresi gli smartwatch, utilizzandoli, in forma anonima, per analizzare statisticamente la diffusione del virus.

Cosa sta accadendo in Italia?

I rumors su Immuni sono molti ed i dubbi ancora di più. Di questo però vi parleremo nella prossima puntata. Nel frattempo, per qualsivoglia dubbio o perplessità, potete visitare il sito e farci pervenire le vostre domande.

Continua a leggere →

Posts Taggati ‘app di tracciamento’