L’attenzione alla privacy degli utenti e al corretto trattamento dei loro dati è uno degli argomenti più discussi online. Occupandomi di sviluppo app, mi sono informato su quali siano le predisposizioni necessarie al trattamento dati degli utenti che usufruiscono delle applicazioni installate su tablet e cellulari secondo le normative UE.
App e dati secondo l’UE: come ottenere il consenso al trattamento dei dati
Le occasioni in cui si richiede la trasmissione di dati agli utenti di app sono molteplici. Durante l’installazione, infatti, l’utente che scarica l’app inserisce informazioni e spesso le stesse app accedono automaticamente a dati memorizzati sul dispositivo per i quali sarebbe necessario chiedere il consenso.
Il primo presupposto necessario ad un corretto trattamento è, quindi, ottenere dall’utente il consenso preventivo all’accesso ai dati che va richiesto sia al momento dell’installazione delle app, sia per conservare e gestire i dati personali degli utenti.
La validità del consenso va ottenuta ai sensi della definizione di cui all’articolo 4, n. 11 del GDPR. Vediamo insieme quali sono i diversi tipi di volontà rispetto l’accettazione del trattamento dati definiti dalla normativa.
Volontà libera – opzioni all’installazione
L’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali quando un’applicazione li richiede.
Chi scarica la nostra app deve quindi essere libero di accettare o rifiutare il trattamento di dati personali senza trovarsi di fronte a una schermata contenente un’unica opzione “Sì, accetto”, per completare l’installazione. A sua disposizione deve anche essere predisposta un’opzione “Cancella” che abbia l’effetto di interrompere l’installazione.
Volontà informata – debugging o tracking
L’utente deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso.
Le informazioni devono essere quindi disponibili prima di qualunque trattamento di dati personali, compreso il trattamento che potrebbe avere luogo durante l’installazione, ad esempio per scopi di debugging o tracking.
Volontà specifica tramite consenso granulare
Chiedere ai propri utenti di accettare una lunga serie di termini e condizioni e/o politiche sulla privacy, come fanno la maggior parte degli owner delle applicazioni che non sono ancora ottemperanti agli obblighi delle normative, non costituisce un consenso specifico.
La manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati.
Il semplice tap su tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali.
Ai sensi dell’art. 7 del GDPR, qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il consenso al trattamento dei propri dati personali.
Se il consenso dell’interessato è espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Quando gli utenti sono in grado di fornire un consenso granulare possono scegliere se concedere un consenso richiesto per ciascun tipo di dati ai quali l’applicazione intende accedere.
Gli interessati possono verificare con esattezza quali funzioni comportano un trattamento e di quali dati. Questo soddisfa due importanti requisiti giuridici: informare adeguatamente l’utente in merito a elementi importanti del servizio e chiedere il consenso specifico per ognuno di essi.
Revoca del consenso
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato viene informato e il consenso può essere revocato con la stessa facilità con cui è accordato.
L’esecuzione di un contratto, compresa la prestazione di un servizio, dipende dal consenso al trattamento di dati non necessario all’esecuzione di tale contratto.
Come acquisire il consenso informato e fornire la rinuncia
Gli utenti hanno il diritto di essere informati su chi raccoglie i propri dati e per quale scopo.
Uno dei requisiti più importanti del GDPR è acquisire il consenso attivo e informato dagli utenti della tua app prima di raccogliere o elaborare le loro informazioni personali.
Fino ad ora, molte app presumevano che la decisione di un utente di procedere con la registrazione e l’utilizzo dell’app fosse equivalente al consenso dell’utente alla raccolta dei dati. Non è più così.
Il GDPR richiede alle app di acquisire il consenso attivo e informato dell’utente prima che vengano raccolti dati personali .
Per ottemperare a questo requisito, l’app deve fornire agli utenti determinate divulgazioni sulle informazioni raccolte, nonché una casella di controllo, un pulsante o altri mezzi affinché gli utenti possano fare tap e confermare attivamente il proprio consenso a raccogliere i loro dati.
Non è possibile preselezionare una casella o un pulsante di consenso o supporre che l’uso continuato dell’app soddisfi i requisiti del GDPR per l’acquisizione del consenso attivo.
Esempi di consenso in app
Sulle ultime app che abbiamo sviluppato raccogliamo il consenso in questo modo:
- all’iscrizione facciamo spuntare agli utenti una casella che indica l’accettazione dei Termini di servizio e la lettura dell’Informativa sulla privacy. Questa affermazione e casella di controllo si trovano tra il campo di invio e-mail e il pulsante di iscrizione, quindi è quasi impossibile per un utente trascurarlo.
- tutti i tool di tracciamento (Analytics, Mappe di calore, Circuiti Pubblicitari) vengono attivati post-registrazione utente e quindi ad accettazione privacy policy avvenuta.
Per farvi un altro esempio di corretta indicazione, mostro il modo in cui l’app Waze presenta agli utenti una panoramica del perché Waze utilizzi i dati personali, insieme ad alcuni esempi specifici di quali tipi di dati utilizza. Gli utenti devono fare tap su “Accetto” per consentire a Waze di farlo.
Il GDPR accresce ulteriormente i requisiti del consenso. Quando si richiedono specifici dati, è necessario fornire opzioni individuali (o “granulari”) per ottenere il consenso. È doveroso, quindi, informare gli utenti sui diversi scopi alla base della raccolta di ogni dato.
Una volta concesso il consenso, secondo il GDPR, le app devono fornire agli utenti il controllo costante delle proprie informazioni, incluso il diritto di revocare il consenso precedentemente concesso.