Nella giornata europea per la protezione dei dati, mini guida per creare una app complian al GDPR

di Luisa Di Giacomo, Avv.
PDF

Nella quindicesima giornata europea per la protezione dei dati personali, che cade il 28 gennaio di ogni anno, apprendiamo con dispiacere che l’Italia è al secondo posto in Europa per numero di sanzioni irrogate dall’Autorità Garante, dopo la Spagna e prima della Romania. Un podio tutt’altro che onorevole, se si considera che le 83 sanzioni comminate raggiungono un totale complessivo di circa 80 milioni di euro.

Ormai parlare di dati e della loro protezione è diventato imprescindibile. Non solo parlarne, anzi, ma occuparsene, fare sì che diventi un argomento sul tavolo delle istituzioni a tutti i livelli, europei (come di fatto già avviene), nazionali, ma anche locali e via via sempre più nello specifico: le scuole e le famiglie dovrebbero organizzare corsi, lezioni, tavole rotonde, sensibilizzare, formare, istruire. Perché che viviamo nell’era dei dati ormai è fuori discussione, perché il diritto dei dati è già diventato il diritto tout court, e perché occuparci della protezione dei dati personali, nostri e altrui, significa occuparsi della protezione dell’uomo, dei suoi diritti e libertà fondamentali.

Indice:

  1. Dati personali e diritti umani
  2. Mobile app e trattamento dei dati su internet
  3. App a prova di GDPR: cinque consigli
  4. Primo: impariamo a scegliere
  5. Secondo: progettiamo la app con cura. La valutazione di impatto
  6. Terzo: minimizzazione dei dati
  7. Quarto: informativa adeguata e consensi
  8. Quinto: cancellazione dei dati

Dati personali e diritti umani

Forse è un caso, ma forse no, che questo giorno venga subito dopo un’altra ricorrenza mondiale, il giorno della memoria. Ieri, 27 gennaio, abbiamo ricordato nel mondo la tragedia della Shoah, i 6 milioni di ebrei, ma non solo, anche omosessuali, zingari, disabili fisici e mentali, spazzati via dalla furia nazi-fascista.

Ma quello su cui forse non ci siamo mai soffermati a riflettere è che per arrivare a compiere questa follia omicida, è stata compiuta dagli Stati che se ne sono resi colpevoli un’opera di profilazione dettagliatissima, precisa, meticolosa, altamente rifinita, volta a colpire precise categorie di individui sulla base di loro caratteristiche specifiche e con la conoscenza, appunto dei loro dati.

Tutti i loro dati.

Ecco che cosa è successo quando Governi brutali hanno potuto scavare dentro ogni casa e famiglia, violare ogni diritto alla riservatezza, conoscere tutto sulle abitudini personali, le origini, le preferenze, i desideri, le mosse, gli amici, la vita di ognuno.

Ed il tutto senza internet, senza che la tecnologia si avvicinasse di nemmeno un millimetro a quello che abbiamo a disposizione oggi.

Ecco perché proteggere i dati personali significa proteggere la persona umana ed i suoi diritti inviolabili.

Perché con la mole infinita dei nostri dati che oggi viaggiano indisturbati online, e con la nostra privacy di cui ci interessa meno di zero, perché tanto non abbiamo niente da nascondere, se tutte queste informazioni fossero utilizzate contro di noi (e ci vorrebbe veramente un niente, un soffio, un semplice click), il mondo che conosciamo potrebbe essere molto diverso.

Mobile app e trattamento dei dati su internet

Ogni cittadino italiano ha in media 80 app sul proprio smartphone e le usa in media 3 ore al giorno. Sono numeri da capogiro, se si pensa che nel mondo ci sono 2,3 miliardi di smartphone attivi.

Quando ci serve una app la cerchiamo e la scarichiamo senza preoccuparci di leggere le note legali, l’informativa privacy o altre informazioni sull’utilizzo dei nostri dati. Clicchiamo “accetta” perché sostanzialmente sappiamo di non avere scelta: se vogliamo utilizzare quel servizio, siamo costretti ad accettare quelle condizioni. Se anche ci fosse scritto che ci obblighiamo a vendere il nostro figlio primogenito allo sviluppatore dell’app o a cedere il 90% dei nostri guadagni, accetteremmo lo stesso (esempi realmente accaduto). Questo perché abbiamo bisogno di quella applicazione (o almeno crediamo di averlo) e perché pensiamo di non avere scelta.

App a prova di GDPR: cinque consigli

In verità una scelta la abbiamo. Primo perché il Regolamento Europeo per la Protezione dei dati personali (reg. 679/2016, GDPR) ci protegge e ci insegna a guardarci da app poco chiare e poco trasparenti sul punto. Secondo, perché il Garante della Privacy vigila sulla corretta applicazione del Regolamento. E terzo, ma questo è meramente soggettivo, perché il più delle volte non abbiamo davvero bisogno di quella applicazione.

Ma supponendo di voler scaricare o creare una app, ecco qui cinque regole da seguire, sia come utenti sia come sviluppatori: da un lato per scaricare ed utilizzare solo app sicure, dall’altro per offrire prodotti di qualità, mettendo al riparo i nostri utenti e noi stessi (da salatissime multe).

Primo: impariamo a scegliere

La scelta del fornitore è importante.

Se siamo utenti dobbiamo imparare a scaricare solo app sicure, che abbiano una policy trasparente sia in termini di condizioni di utilizzo, sia in termini di trattamento dei dati. Prendiamoci tempo per leggere, per evitare di piangere dopo.

Se siamo noi a fornire una app, appoggiamoci a server e data center all’interno dell’Unione Europea (in modo che siamo sicuri che rispettino il GDPR). Magari quella server farm in Azerbaijan che ci ha consigliato il cugino della sorella di nostra suocera costa meno, ma visto che ci fidiamo dei consigli dei parenti, ricordiamoci che le nostre nonne dicevano che chi più spende meno spende. E che quando si tratta di attività online, se qualcosa è gratis, il prodotto siamo noi.

Anche la scelta dei nostri eventuali partner logistici o finanziari dovrà seguire lo stesso attento criterio selettivo, in modo da creare una sorta di “circolo virtuoso”

Secondo: progettiamo la app con cura. La valutazione di impatto

Qualsiasi app che si rispetti deve essere “licenziata”, cioè messa a disposizione sugli app store solo a seguito di adeguata valutazione di impatto.

La valutazione di impatto (DPIA, acronimo di Data Protection Impact Assessment) è un prerequisito fondamentale per il rispetto dei principi di data protection by design e by default che stanno alla base del Regolamento. Attenzione: valutare l’impatto e valutare i rischi di un trattamento non è la stessa cosa. La valutazione dei rischi (che starà alla base di una valutazione di impatto) serve per capire a quali rischi pratici i dati sono potenzialmente esposti (ad esempio perdita, cifratura, diffusione eccetera), mentre la valutazione di impatto misura, appunto, quale impatto potrebbe avere il verificarsi di uno o più di questi rischi sui diritti e le libertà fondamentali degli interessati. E naturalmente, di conseguenza, ad approntare le misure per minimizzare detti rischi.

Come sviluppatori la DPIA è un passo obbligato nella costruzione della nostra app. Come utenti, dovremmo poter leggere nell’informativa che la app che stiamo per scaricare è stata sottoposta a tale procedimento e ne uscita vittoriosamente.

Terzo: minimizzazione dei dati

Se stiamo scaricando una app che serve per prenotare il biglietto di un treno, dovremo fornire nome e cognome e indirizzo email perché ci venga spedito il biglietto in formato elettronico, e naturalmente i dati relativi alle disposizioni di pagamento (gestiti da terze parti, che dovranno a loro volta essere affidabili, secondo quanto abbiamo detto nel primo punto). Ma il nostro indirizzo, codice fiscale e luogo e data di nascita forse non sono strettamente necessari.

Se costruiamo una app, ricordiamoci di rispettare il principio di minimizzazione dei dati: non chiediamo più dati di quelli che ci servono per le nostre finalità o rischiamo di farci sanzionare in maniera pesante e poco piacevole.

Da utenti, invece, se una app ci chiede anche la nostra taglia di pantaloni e misura delle scarpe per mandarci il biglietto del treno, facciamoci due domande e scappiamo a gambe levate: direi che ci troviamo davanti a un fornitore poco serio!

Quarto: informativa adeguata e consensi

Per quanto sia noioso, leggere l’informativa non è un mero gesto formale o burocratico, ma un mezzo potente ed indispensabile per conoscere quali sono le modalità di trattamento dei nostri dati e come vengono (o non vengono) protetti.

Ma per leggere un’informativa, è necessario che lo sviluppatore la scriva. Ed anche qui, invece di partecipare allegramente e inconsapevolmente alla fiera del copia e incolla, l’informativa deve essere adeguata, pertinente, personalizzata, deve in breve rispettare i precisi requisiti previsti dall’art. 13 del GDPR.

Tra le altre cose, l’informativa deve dire se e in che misura i dati vengono trasferiti a soggetti terzi, a quale titolo e se questi soggetti stanno al di fuori dell’Unione Europea.

Allo stesso modo devono essere gestiti i consensi: vanno chiesti quando effettivamente servono e non a caso seguendo la regola che nel più sta il meno.

Il consenso è una base giuridica del trattamento, cioè ciò che rende legittimo un determinato trattamento, ma è anche la più delicata perché deve avere determinate caratteristiche, ossia essere libero, informato, esplicito e revocabile. Quando si può è meglio usare altre basi giuridiche (risposta ad una richiesta dell’interessato, ad esempio, o esecuzione di un contratto). Un utilizzo disinvolto dei consensi significa che il fornitore dell’app non ha ben chiare le modalità di trattamento: meglio evitare di scaricare e cercare altro.

Quinto: cancellazione dei dati

Nella vita niente è per sempre: nemmeno la possibilità di trattare i dati altrui.

Se stai progettando una app, devi prevedere e scrivere, nella tua privacy policy, un termine per la cancellazione dei dati e poi cancellarli davvero. Se sei un utente e non leggi da nessuna parte questa informazione, oppure leggi frasi nebulose e poco chiare, ancora una volta ti sei imbattuto nella migliore delle ipotesi in un improvvisato, nella peggiore in un commerciante di dati, che venderà i tuoi al miglior offerente, come in un enorme, oscuro ed un po’ inquietante bazar.

Nel dubbio, come sempre, passare oltre.

Consigliamo:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York. Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo Maestro per la Protezione dei Dati e Data Protection Designer dell’Istituto Italiano per la Privacy. Mi occupo di protezione dei dati e Cybersecurity, sono docente e formatore per Maggioli s.p.a. e coordino la sezione Cybersecurity della pagina diritto.it. Sono Data Protection Officer e consulente per la protezione e sicurezza dei Dati in numerose società nel nord Italia. Ho una pagina Instagram e un Canale YouTube in cui parlo dell’importanza dei Dati e della Cybersecurity, con l'obiettivo di contribuire a diffondere una maggiore cultura e consapevolezza digitale. Mi piace definirmi Cyberavvocato. I miei social: LinkedIn Instagram YouTube


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e