28 gennaio 2019
L'app economy preoccupa il Garante: è fondamentale rendere consapevoli gli utenti dei rischi connessi all'uso delle applicazioni
di Annalisa Spedicato
Il Garante dei dati personali, con un intervento del 12 gennaio 2018, si è espresso sulla diffusione delle "app", manifestando la sua preoccupazione in merito ai dati personali che vengono trattati da tali sistemi informatici.
Le "app" (applicazioni) apparentemente sono fornite ai consumatori in maniera gratuita, ma in realtà il corrispettivo per il loro utilizzo è costituito proprio dai dati personali, diventati ormai merce di scambio in un mondo fatto di marketing, dove le informazioni sono vitali per mirare dritti al risultato.
L'app economy dice il Garante "è uno dei settori del sistema economico attuale in maggiore espansione […] in cui una parte significativa degli scambi commerciali è veicolata attraverso applicazioni scaricate dai consumatori, per i fini più vari, su smartphone, tablet ecc".
Il dato personale, quindi, è da un lato un diritto fondamentale, dall'altro un bene commerciale appetibile. A fronte di tale doppia identità dell'informazione personale, si rende necessario un corretto bilanciamento di interessi che ponga al centro il soggetto titolare dei dati (l'interessato).
Per il Garante, il funzionamento delle applicazioni crea non poche criticità in materia di trattamento dei dati personali.
Innanzitutto, in merito al consenso, il quale deve essere sempre preventivamente acquisito e soprattutto informato, nel senso che l'utente deve essere reso consapevole dell'uso che chi fornisce l'applicazione farà dei dati raccolti. E questo rientra anche nel rispetto del principio della privacy by design e default.
Pertanto, chi sviluppa le applicazioni dovrà necessariamente ricordare di fornire un'informativa adeguata prima di chiedere il consenso all'utente che decide di installare l'applicazione sul proprio device, perché, come ricorda il Garante, senza informativa corretta, il consenso, seppure venisse richiesto, sarebbe di certo invalido e di conseguenza, il trattamento risulterebbe illecito, dunque, sul piano sanzionatorio i dati raccolti non potrebbero essere utilizzati.
Maggiori criticità sono poste inoltre dalla cessione dei contatti in rubrica. Cosa accade in questo senso? Solitamente, quando si "scarica" un'applicazione e la si installa sullo smartphone ad esempio, questa richiede l'accesso ai dati della rubrica per essere utilizzata correttamente, quindi, l'utente ignaro e inconsapevole, accetta senza sapere che in tal modo sta condividendo i numeri di telefono (e non solo) di amici, parenti, colleghi di lavoro, clienti, fornitori con lo sviluppatore o chi per lui. In questo modo, l'utente vittima ignara, finisce per essere autore involontario di un illecito, cedendo gratuitamente a terzi, per finalità commerciali, non solo i propri dati, ma anche quelli altrui senza il loro consenso.
Occorre precisare, come ricorda il Garante, che l'utente non può validamente disporre dei numeri di telefono o degli indirizzi email altrui - cedendoli ad un fornitore che li utilizzerà in un contesto commerciale - in assenza del consenso del legittimo titolare.
Veniamo al lato pratico per meglio comprendere la questione: se a causa della condivisione di un contatto in rubrica con il fornitore dell'applicazione, dovesse verificarsi un danno (es. un furto di identità) a scapito del soggetto titolare del contatto presente nella rubrica dell'utente che attivamente ha condiviso quel contatto (accettando) con il terzo installando l'applicazione, anche l'utente potrebbe essere chiamato a risponderne.
Una situazione, dice l'Autorità, che evidenzia i limiti e i rischi di un sistema commerciale in cui le condizioni generali di contratto, unilateralmente stabilite dalle aziende del digitale (o dai big tech con innumerevoli "terze parti"), finiscono con il definire il perimetro dei diritti e delle libertà.
Per evitare il verificarsi di tali situazioni inconcepibili sul piano della privacy, gli utenti devono essere resi edotti del fatto che cedere informazioni di terzi, senza il loro preventivo consenso, è un illecito sanzionato anche gravemente, come devono essere chiaramente informati e resi consapevoli dei rischi - come furti di identità o accessi abusivi - quando cedono a terzi i propri dati personali, semplicemente in cambio delle utilità concesse da un'applicazione.
Il Garante offre, inoltre, un quadro più ampio della situazione, ricordando che tali dati vengono spesse volte raccolti e conservati ad opera di aziende che solitamente si trovano localizzate in aree del mondo che non hanno un ordinamento giuridico che, al pari di quello europeo, consideri e protegga il dato personale come diritto fondamentale: veri e propri paradisi dei dati, assai più sfuggenti e "sommersi" di quelli fiscali, E, forse, anche più pericolosi, se si considera che nella dimensione digitale si dispiegano oggi le ostilità tra soggetti, tra Stati e tra "blocchi" di nazioni e poteri.
Per fortuna, grazie al nuovo principio di extraterritorialità, anche aziende che non sono localizzate sul territorio dell'UE ma che si rivolgono a cittadini dell'UE, anche potenzialmente, offrendo loro beni e servizi, sono tenute al rispetto del Regolamento n. 679/2016 e, dunque, le Autorità Europee sono legittimate a comminare loro le sanzioni previste dallo stesso regolamento nel caso in cui tali aziende non adeguino le loro organizzazioni e i loro prodotti alle nuove regole, sebbene sia ancora molto difficile dare esecutività ai provvedimenti sanzionatori, ma anche intervenire con azioni ispettive concrete nei confronti di tali aziende.
Il processo è ancora lungo, ma il Garante auspica il riconoscimento internazionale del diritto alla protezione del dato personale e un superamento di confini che offra garanzia di effettiva tutela.
Annalisa Spedicato
Avvocato esperto in IP, ICT e Privacy