Linee guida per il consenso al trattamento
L’APP è un’applicazione software progettata per consentire di interagire con le informazioni e gli strumenti su cui è installata e ci consente di svolgere moltissime attività e possono essere scaricate dagli appositi store o market dei quali dispone ogni sistema operativo mobile, ai cui contenuti spesso le app hanno accesso.
Di qui il problema del corretto trattamento dati, già ampiamente affrontato nello specifico a livello comunitario dal Gruppo di lavoro ex art. 29 nel parere 2/2013.
Di seguito i punti trattati:
A) Legge applicabile
Un primo aspetto esaminato dal Gruppo di Lavoro riguarda l’individuazione del diritto applicabile alle APP. Possiamo infatti avere l’interessato (ovvero il soggetto che usa la APP e a cui i dati si riferiscono), lo sviluppatore e il produttore ubicati rispettivamente in Stati diversi.
In base a quanto prescritto dall’art. 3 del GDPR, viene rivista completamente la concezione tradizionale del principio di stabilimento del territorio e la normativa comunitaria (GDPR) si applica:
al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione
al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un titolare del trattamento o responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione o il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione europea al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.
B) Correttezza del trattamento
Dal punto di vista della correttezza del trattamento dati il Gruppo di Lavoro ex art. 29 evidenzia la necessità di definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato, in quanto la definizione dei ruoli, nel contratto o anche semplicemente nell’informativa, consentirà di individuare le responsabilità in caso di trattamento illecito di dati.
C) Consenso al trattamento
Conditio sine qua non di qualsiasi trattamento dati, resta poi il consenso preventivo all’installazione e al trattamento di dati personali dell’interessato.
Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso, poiché con l’installazione di un’applicazione, nel dispositivo dell’utente finale vengono inserite delle informazioni e spesso le stesse APP accedono ai dati memorizzati sul dispositivo.
Il consenso, per essere considerato valido deve necessariamente consistere in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato”.
Nel contesto dei dispositivi intelligenti “volontà”
“libera” significa che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali e dunque non deve trovarsi di fronte ad unica obbligata risposta positiva di accettazione per installare l’app, ma avere anche un’opzione “cancella” o che comunque blocchi l’installazione.
“informata” significa che l’interessato deve disporre di tutte le informazioni necessarie per decidere se dare o meno il proprio consenso al trattamento dei propri dati ; e ciò prima di qualunque trattamento di dati personali, ivi compreso quello che potrebbe avere luogo durante l’installazione, ad esempio per scopi di debugging o tracking.
“Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati e dunque il mero clic su un tasto “installa” non può considerarsi valido consenso per il trattamento di dati personali, in quanto sarebbe un’autorizzazione generica.
Certo è che, anche qualora il consenso soddisfi tutti gli elementi descritti, questo non autorizza trattamenti sleali e illeciti. Precisamente, se il trattamento è eccessivo e/o sproporzionato rispetto alla finalità, anche se l’utente vi ha acconsentito, lo sviluppatore dell’applicazione non disporrà di un fondamento giuridico valido.
Si ricorda inoltre che, ai sensi qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento con la stessa facilità con cui è accordato.
E’ poi richiesto un consenso esplicito quando emergono “gravi rischi” per la protezione dei dati e dunque si necessita di un diverso livello di consenso rispetto a quello ordinario . Le linee guida dei garanti europei suggeriscono per esempio che il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito.
Nel contesto elettronico – al fine di ottenere un consenso esplicito – sono previste modalità che includono il coinvolgimento dell’interessato come compilare un modulo elettronico, caricare un documento scansionato con firma, registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).
D) misure organizzative e tecniche
Anche per le app, in tema di sicurezza, il Titolare e il Responsabile del trattamento devono attenersi all’ art. 32 del GDPR : tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
