Privacy e app: le Authority europee intervengono

impatto-ambientale-di-smartphone-e-tabletIl consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati.

Le Autorità europee per la protezione dei dati, riunite nel Gruppo Articolo 29, hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori.

Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione

MobileApplicationsApps carousel-304I rischi per la privacy delle applicazioni per smartphone

Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell’utente. Anche se l’obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti.

La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque,  per trattare i dati degli utenti devono:

  • prima fornire informative adeguate, in modo da
  • ottenere un consenso che sia veramente libero e informato.

Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che  può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di  “ricerche di mercato”. Tutto ciò aumenta la possibilità di violazioni dei dati.

2-22-2011appstoresObblighi e raccomandazioni

Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori (“app stores”)  che devono durare nel tempo, e non la semplice applicazione di regole una tantum. In particolare, sono richiamati gli obblighi sull’informativa e sul consenso riguardo:

  • all’archiviazione di informazioni sui terminali degli utenti,
  • per l’utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti.

best practiseBest practices

Si raccomandano inoltre alcune “buone pratiche” che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali:

  • l’impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti,
  • la definizione di precisi tempi di conservazione dei dati raccolti,
  • l’impiego di icone “user friendly” per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione).

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori.

Si sottolinea, infine, la necessità di una più efficace assistenza all’utente mediante la designazione di “punti di contatto” presso gli “stores” che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate.

 

Annunci

Privacy: Google non rispetta le regole!

I Garanti europei a Google: le nuove regole privacy non rispettano la Direttiva europea: Informative agli utenti insufficienti e incrocio dei dati fuori controllo

Le nuove regole sulla privacy decise da Google non sono adeguate a tutelare gli utenti europei. Lo affermano i Garanti Ue che hanno chiesto alla società di Mountain View:

  • di farsi parte attiva nella tutela della privacy e
  • di rendere conforme alla Direttiva sulla protezione dei dati personali le nuove regole, operative dallo scorso marzo.

La nuova “privacy policy, adottata unilateralmente da Google, consente alla società di incrociare in via generalizzata i dati degli utenti che utilizzano qualsiasi servizio (da Gmail a YouTube a Google Maps solo per citarne alcuni).

La lettera inviata a Google, sottoscritta dai Presidenti di tutte le Autorità per la protezione dei dati personali dell’Ue, Italia inclusa, conferma le forti preoccupazioni espresse nei mesi scorsi sui possibili rischi per la privacy degli utenti europei derivanti dall’attività di combinazione dei dati.

Le criticità

Sono numerosi infatti i profili di criticità emersi dagli accertamenti, condotti anche con la collaborazione di Google, e “permangono – come scrivono i Garanti Ue – alcune aree grigie”.

Google usa i dati degli utenti:

  • raccogliendoli in maniera massiva e su larghissima scala
  • in alcuni casi senza il loro consenso
  • conservandoli a tempo indeterminato
  • non informando adeguatamente gli utenti su quali dati personali vengono usati e per quali scopi
  • non consentendo quindi di capire quali informazioni siano trattate specificamente per il servizio di cui si sta usufruendo.

Le Autorità raccomandano a Google di adottare rapidamente una serie di garanzie a tutela della privacy degli utenti.

 

Le richieste dei Garanti europei

Mountain View dovrebbe, in particolare:

  • inserire informative privacy all’interno dei singoli prodotti, anche mediante dispositivi informatici;
  • fornire informazioni accurate riguardo ai dati più a rischio, come quelli sulla localizzazione e quelli sui pagamenti on line;
  • adattare le informative alle tecnologie mobili.

L’incrocio dei dati degli Utenti

Google dovrebbe chiarire agli utenti, inoltre, le finalità e le modalità di combinazione dei dati tratti dai vari servizi forniti e mettere quindi a punto strumenti per consentire agli utenti un più stretto controllo sui propri dati personali.

A tale scopo, i Garanti raccomandano alla società di adottare meccanismi semplificati di “opt out” (opposizione al trattamento dei loro dati), sia che l’utente sia iscritto o meno ad un servizio, e di ottenere il consenso espresso degli utenti all’incrocio dei dati.

L’Autorità Garante italiana, che ha incontrato nei giorni scorsi i rappresentanti di Google, sta seguendo con grande attenzione gli sviluppi della questione.

“Google tratta i dati di milioni di utenti sparsi nel mondo i quali non sempre sono consapevoli dell’uso che viene fatto delle loro informazioni personali. Per questo è indispensabile che operi in modo corretto e nel rispetto dei diritti fondamentali, così come riconosciuti dall’Unione europea” – afferma il Presidente dell’Autorità italiana, Antonello Soro. “L’azione coordinata delle Autorità europee svolta nei confronti di Google rappresenta in questo senso un messaggio importante ai grandi colossi della rete affinché accettino la sfida di una nuova policy più responsabile e attenta alla dignità delle persone”.