PROGETTARE E SVILUPPARE APP CONFORMI ALLA NORMATIVA SULLA PROTEZIONE DEI DATI PERSONALI.
Come espresso nella “Dichiarazione di Varsavia del 24 settembre 2013 (sulla c.d. “appificazione” della società) le applicazioni per dispositivi mobili (app) sono ormai onnipresenti negli smartphone e nei tablet, sulle auto, in casa e fuori casa. Sono inoltre sempre più numerosi gli oggetti che dispongono di interfacce-utente connesse ad Internet. Nel 2013 ammontavano ad oltre 6 milioni le app disponibili nel settore pubblico e privato, ed è un numero che è aumentato (ed aumenta ancora oggi) di oltre 30.000 unità al giorno.
Come noto le app, grazie anche al basso costo e al facile utilizzo, aiutano e vivacizzano molte delle attività che vengono svolte giornalmente; allo stesso tempo, le app raccolgono anche una grande mole di informazioni personali permettendo un monitoraggio digitale permanente, mentre gli utenti interessati spesso non ne hanno consapevolezza né ne conoscono i fini ultimi.
Una conseguenza diretta di questa “appificazione” è la diffusione di app che sono sviluppate, non solo per conto delle “classiche” imprese di servizi finanziari quali banche e assicurazioni, ma anche per conto di piccole e medie imprese (c.d. PMI) operanti anche in altri settori (es. organizzazione di eventi pubblici).
Tali app inoltre non sono spesso solo dirette ai clienti/interessati ma anche ai lavoratori dipendenti di queste PMI.
In ogni caso appare evidente la necessità di progettare e sviluppare le app in aderenza ai principi in materia di protezione dei dati personali (un esempio su tutti il principio di privacy by design) ed in materia giuslavoristica (in particolare sui controlli a distanza dei lavoratori).
Il rischio concreto è quello di esporre a gravi conseguenze sanzionatorie e risarcitorie i soggetti che, con estrema disinvoltura e ignari di dette conseguenze, trattino dati (a mezzo app) in maniera non conforme al variegato framework normativo applicabile in tali casistiche.
È oramai necessario che anche le PMI acquistino consapevolezza che lo sviluppo e l’utilizzo di app sia un progetto complesso da affidare a teams di professionisti con competenze multidisciplinari (es. sviluppatori, consulenti privacy, legali ecc.) in grado di cooperare nei vari steps del progetto.
Le app e le tipologie di dati personali più frequentemente da queste trattati.
La “creazione” di un’app può definirsi come uno sviluppo di applicazioni software per devices mobili che organizzano informazioni e dati fornendo all’utente determinate funzioni e servizi.
Il sistema operativo dei dispositivi mobili (es. smartphones e tablet) mette a disposizione delle app alcuni elementi quali rubrica, messaggi, bussola digitale, fotocamera, microfono, wi-fi, bluetooth, servizi di geolocalizzazione.
Tutto ciò implica che l’app può avere accesso e processare una notevole mole di dati anche personali presenti nel dispositivo. Tra i dati personali trattati più di frequenti si trovano: l’ubicazione, i contatti, l’identità dell’interessato, il registro delle chiamate, l’e-mail, la carta di credito ed i dati di pagamento, la cronologia di navigazione, gli sms e la messaggistica istantanea (es. whatsupp), le credenziali di autenticazioni per i servizi web e social, le fotografie e i filmati, la biometrica.
I rischi.
I principali rischi derivanti dall’implementazione di un “progetto” app consistono sinteticamente in: inconsapevolezza delle implicazioni privacy, una non trasparenza nei confronti degli utenti, il non fornire le prescritte informazioni agli utenti, finalità del trattamento incerte, assenza di un consenso libero e informato prima del trattamento, scarse o inadeguate misure di sicurezza, massimizzazione dei dati (raccolta di dati ulteriori a quelli effettivamente necessari).
Infine, come accennato nel paragrafo sopra, affidare un “progetto app” (sviluppo, distribuzione ecc.) a numerosi soggetti (es. sviluppatori, gli app stores ed i produttori) non adeguatamente coordinati e “consapevoli” può portare ad uno “scollamento” pericoloso foriero di pesanti conseguenze.
Produttori di Sistemi operativi e dispositivi. Quale ruolo in materia di protezione dei dati personali?
Se un produttore di sistemi operativi e dispositivi determini come proprie le finalità di un trattamento (es. dati trattati per il funzionamento e/o la sicurezza del dispositivo e/o per le funzioni di back up) sarà da considerare a tutti gli effetti normativi quale titolare del trattamento con conseguente applicazione allo stesso dei relativi obblighi.
In ogni caso è di primaria importanza rispettare i principi della privacy by design, della privacy by default, della minimizzazione dei dati. Andrà inoltre garantita la sicurezza dei sistemi da accessi di terzi non autorizzati e che le app preinstallate siano compliant alla normativa privacy.
Sviluppatori di App (App Developers).
Parimenti un app developer, qualora determinasse come proprie le finalità di un trattamento sarà a tutti gli effetti normativi titolare del trattamento con conseguente applicazione allo stesso dei relativi obblighi.
In breve, sarà fondamentale che essi rispettino il principio di minimizzazione dei dati, che abbiano piena consapevolezza della propria qualifica privacy e dei relativi obblighi ad esempio, informando adeguatamente e chiedendo ove richiesto un consenso granulare prima che l’app cominci il trattamento dei dati personali.
Andrà inoltre consentita la revoca del consenso e la disinstallazione dell’app con relativa cancellazione irreversibile dei dati. Ad ogni modo lo sviluppatore dovrà consentire l’esercizio dei diritti degli interessati (ad esempio anche attraverso dashboard dedicate) nonché prestare particolare attenzione alle app destinate ai minori.
i c.d. app stores.
Nel caso – non infrequente – ove gestissero pagamenti per app o acquisti attraverso app che richiedono la registrazione dell’utente, essi determinano come proprie le finalità di un trattamento pertanto saranno a tutti gli effetti normativi titolari del trattamento con conseguente applicazione agli stessi dei relativi obblighi.
Anche in questo caso è fondamentale essere consapevoli della propria qualifica privacy e dei relativi obblighi nonché di includere adeguati “requisiti privacy” nelle loro politiche di ammissione delle app.
Risulta poi estremamente utile collaborare attivamente con gli sviluppatori in modo da poter “anticipare” le informazioni relative alla privacy agli utenti dell’app stores. Uno “scollamento” su questo fronte tra app developers e app stores potrebbe portare a “zone d’ombra” pericolose.
Le c.d. “Terze parti”.
Gli intermediari di pubblicità con banner all’interno dell’app oppure i fornitori di relativi servizi analitici quali informazioni sull’uso, sulla popolarità e fruibilità delle app, se agiscono per conto e su istruzioni dello sviluppatore, saranno da considerare quali responsabili del trattamento (art. 28 GDPR) ma se offriranno servizi aggiuntivi trattando dati per finalità proprie saranno considerati titolari del trattamento. In questo caso sarà fondamentale informare e raccogliere il consenso prima del trattamento operato, prestando attenzione agli obblighi di notificazione al Garante della Protezione dei Dati Personali (“Garante”) nonché prestare molta attenzione agli accordi commerciali e alla contrattualistica con gli sviluppatori.
Possibile “impatto privacy” di un’app.
Il titolare del trattamento che intenda procedere a trattare dati personali a mezzo di un’app deve condurre, prima di procedere al trattamento una c.d. Data Protection Impact Assessment (“DPIA” o valutazione d’impatto) al fine di attestare di aver adottato misure idonee a garantire il rispetto delle prescrizioni del GDPR e della normativa secondaria applicabile.
la DPIA è una procedura che permette infatti di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. In pratica è finalizzata a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi
Il Garante italiano ha fornito l’elenco delle tipologie di trattamenti di dati personali da sottoporre ad una valutazione d’impatto (si veda l’Allegato 1 (c.d. “Elenco”) al provvedimento n. 467 dell’11 ottobre 2018: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979)
Tra i suddetti trattamenti sono ricompresi tutti quelli “[…] che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app […]. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative […] sicurezza etc.” (n. 3 dell’Elenco).
A detti trattamenti si aggiungono tutti quelli “[…] effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti […] (n. 5 dell’Elenco).
App e lavoratori dipendenti.
Come accennato sopra l’utilizzo da parte dei lavoratori di app munite ad es. di servizi di geolocalizzazione trascende il framework normativo composto dal GDPR e dal D.Lgs. 101/2018 (“Codice Privacy”) e “apre” alla Legge n.300/1970 (“Statuto dei Lavoratori”).
L’art. 114 del Codice Privacy rubricato “Controllo a distanza” (cioè possibilità di verifica a distanza fisica o temporale dei lavoratori delle loro attività) prevede espressamente che in tale materia resta fermo quanto disposto dall´articolo 4 dello Statuto del Lavoratori rubricato “Impianti audiovisivi e altri strumenti di controllo”.
Tale articolo 4 è stato modificato dal D.Lgs. 151/2015 (“Jobs Act”) che lo ha riscritto; permane comunque l’approccio a doppio binario giuslavoristico/privacy. Il lavoratore/interessato ha un potere di controllo sui propri dati personali ed il Garante opera comunque una vigilanza sui trattamenti.
L’originaria impostazione del 1970 prevedeva un sistema di tutela della riservatezza e della dignità dei lavoratori attraverso un meccanismo normativo relativamente semplice basato su regola ed eccezione. Vi era un divieto del controllo a distanza mediante impianti audiovisivi ed altre apparecchiature salvo esigenze organizzative e produttive purchè vi fosse accordo con le RSA o, in assenza di queste, istanza alla competente DPL. Vi era in pratica una delega ad organismi rappresentativi o di pubblico controllo della tutela della riservatezza e della dignità dei lavoratori.
Attualmente vi è invece una vera e propria tutela individuale del lavoratore (senza più deleghe ai sopracitati organismi) il quale ha un potere di controllo individuale sui propri dati personali; inoltre il Garante opera in ogni caso una vigilanza sui trattamenti.
Il vigente art. 4 dello Statuto dei lavoratori prevede al primo comma che: “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […]
Il secondo comma prevede che: “La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Infine il comma terzo precisa che: “Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal [Codice Privacy].
Dunque è stato espressamente abrogato il divieto di cui al comma 1° dell’art.4 dello Statuto dei lavoratori pre job act il quale vietava l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori.
Gli impianti si “impiegano” esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale ma si installano solo previo accordo sindacale. Si possono dunque avere impianti installati ma non impiegati per quella finalità.
Diventa dunque dirimente (e la valutazione andrà fatta caso per caso) distinguere gli strumenti previsti dal comma1° da quelli ex comma 2° dell’art. 4 e se l’utilizzo di un’app da parte dei lavoratori ricadrà in un caso oppure nell’altro.
Per quanto riguarda l’informativa prevista dal comma 3° dell’art. 4 dello Statuto, essa è ulteriore e diversa rispetto ad un’”ordinaria” informativa ex art. 13 GDPR e deve necessariamente riguardare tutti gli aspetti della modalità d’uso degli strumenti e di effettuazione dei controlli di cui ai commi 1° e 2° dell’art. 4 dello Statuto dei lavoratori. In particolare affinché una finalità determinata sia perseguibile con strumenti ex comma 1° è necessario che sia prevista nell’accordo sindacale o nell’autorizzazione mentre una finalità disciplinare sarà sempre perseguibile attraverso l’impiego di strumenti ex comma 2 dell’art. 4 dello Statuto a p atto che sia data informativa idonea.
Principi privacy in materia di controllo a distanza.
In attesa di future indicazioni in materia, dalle linee guida del Garante del 1° marzo 2007 in materia di controlli a distanza (seppur rivolte a internet e alla posta elettronica) è possibile ricavare qualche principio utile che il titolare del trattamento dovrà rispettare. In particolare: necessità e correttezza, trasparenza effettiva, non eccedenza dei dati raccolti, tutelare l’aspettativa di riservatezza e no al controllo occulto delle prestazioni lavorative.
Avv. Federico Alessandri