Le app che utilizziamo sui nostri smartphone sono strumenti utili che dovrebbero aiutarci a semplificare o rendere più sicure operazioni che prima erano svolte in altro modo. Ma le app possono anche essere un potentissimo strumento per il digital marketing, per la profilazione e per ‘conoscere’ le abitudini di chi le utilizza; in alcuni casi rappresentano già un importante asset strategico per le aziende.
Le app possono, a nostra ‘consapevole insaputa’, trasmettere informazioni personali e accedere a molte risorse quali il GPS, i nostri contatti, le attività avvenute sul dispositivo, la cronologia di navigazione, accedere alla fotocamera e ai nostri file. Per questo ritengo che, già oggi (prima dell’applicazione del GDPR e del nascente regolamento e-Privacy), l’utente dovrebbe sempre essere messo nelle condizioni di poter conoscere (se ritiene di volerlo fare) l’esatto comportamento di una app e le esatte finalità di trattamento dei dati raccolti, ancora prima dell’installazione.
Riporto una piccola défaillance in tema di app e Privacy di una banca italiana, perché proprio da qui è nato lo spunto per una riflessione su come meglio informare e su come poter rendere realmente consapevole l’utente che si trova a dover autorizzare una app ad accedere a funzionalità specifiche o a informazioni del dispositivo, i cosiddetti gruppi di autorizzazioni.
Partiamo con l’indicare i suggerimenti dati dal Garante per la protezione dei dati personali sull’uso consapevole delle app alla pagina: “I suggerimenti del Garante per tutelare la tua privacy quando usi app per smartphone e tablet” http://www.garanteprivacy.it/app
“Prima di installarla, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati.
Prima di installare e utilizzare una app, leggi sempre le condizioni d’uso e verifichi se è presente una privacy policy?
Informati su chi tratterà i tuoi dati personali e con quali finalità.
Cerca anche di capire per quanto tempo verranno conservati i dati personali che ti riguardano e se possono essere condivisi con terze parti per finalità commerciali o di altro tipo.
Se una app richiede dati non necessari rispetto ai servizi offerti, evita di installarla.”
(Per estratto dal sito internet del Garante)
Installereste voi una app dove non è presente una riga di testo sulle condizioni d’uso e non sono presenti le privacy policy, ma vengono indicati solo i cosiddetti “gruppi di autorizzazioni” a cui la app richiede il consenso di accesso per poter essere installata?
Ebbene oggi (5/5/17) è stato necessario utilizzare una app mobile perché l’accesso di un particolare servizio via web era stato inibito e per questioni di sicurezza l’accesso veniva garantito solo attraverso l’utilizzo di uno strumento di Strong Authentication. La app fungeva da strumento di sicurezza primario per poter tornare a riutilizzare il servizio via web e fungeva inoltre da generatore di Token. Purtroppo la app non risultava installabile sul telefono in uso che era un BlackBerry un po’ datato; ma niente di male, si installa sul PC un emulatore Android e anche la app si installa e gira alla perfezione sul nostro PC.
Così facendo bypassiamo il vincolo imposto dalla Strong Authentication, che richiederebbe l’utilizzo di uno smartphone, e possiamo generare direttamente dal PC il token digitale per poter accedere al servizio via web. Registrando ora il nostro PC come una postazione autorizzata, rendiamo nuovamente possibile l’accesso via web con soli Username e Password.
Al di la delle problematiche di sicurezza nell’utilizzare un emulatore di dispositivi mobili di terze parti, qualcuno potrebbe obiettare che in questo modo si stiano violando le condizioni d’uso del software, ma non è così. Infatti per la app in questione non è presente una sola riga di testo sulle condizioni d’uso o un link sulle privacy policy ne prima ne dopo l’installazione. Viene confermato dal call center della banca che sulla app non è presente alcuna informazione sulla Privacy e sul trattamento dei dati, ma suggeriscono di andare sul sito web aziendale alla pagina della Privacy; pagina sulla quale però non vi è alcun riferimento alla app in questione e tanto meno all’utilizzo della geolocalizzazione, del perché la app deve accedere alla fotocamera e a tutte le altre funzioni a cui la app ha richiesto l’accesso; autorizzazioni che è stato necessario concedere per procedere con l’installazione.
Schermate della prima pagina dell’installazione dove con icone affiancate da brevi testi descrittivi viene indicato a quali risorse del telefonino la app dovrà accedere.
In questo caso per poter scaricare la app da Google Play si deve autorizzare la app ad accedere a funzionalità specifiche o a informazioni del dispositivo, i cosiddetti gruppi di autorizzazioni identificati da specifiche icone. Su Google Play vengono sempre mostrati i gruppi di autorizzazioni a cui la app potrà accedere e poter valutare così se installarla o meno.
L’utilizzo di icone con un breve testo di spiegazione per i singoli gruppi di autorizzazioni aiutano l’utente a comprendere il comportamento della app, ma se da nessuna parte è indicato o spiegato per quale motivo è necessario che la app acceda a tali informazioni e come tali informazioni saranno poi trattate e a chi saranno trasmesse, come fa l’utente ad esprimere un vero consenso consapevole per la concessione delle autorizzazioni richieste?
Sugli store, nella pagina delle app, nella sezione “ADDITIONAL INFORMATION”, può comunque essere inserito un link “Privacy Policy” che può rimandare ad una pagina specifica dove poter inserire informazioni chiare e comprensibili a tutti, relative a cosa esattamente farà l’applicazione per ciascun singolo gruppo di autorizzazione e come i nostri dati verranno trattati anche in relazione ad altri dati raccolti attraverso altri dispositivi (Mobile, Tablet, PC, IoT, ATM, Agenzia, Shop) e alla eventuale profilazione cross-device; informazioni che sarebbero quindi accessibili prima di scaricare e installare la app.
Purtroppo sembra che non tutti inseriscano il link alle Privacy Policy nella pagina delle proprie app e spesso quelli che lo fanno utilizzano una pagina di Privacy Policy generica; pochissimi sono quelli che utilizzano informazioni chiare, comprensibili e con esempi specifici per ciascun gruppo di autorizzazione.
Vero che per l’applicazione del GDPR e del nascente regolamento e-Privacy 1 mancano ancora 12 mesi, ma forse nel caso della app da noi installata possiamo dire che anche per la normativa attuale qualche piccola carenza in tema di informativa sulla privacy sembrerebbe comunque evidenziarsi.
Questa totale assenza di condizioni di utilizzo della app e delle Privacy Policy non dovrebbe mai accadere e a maggior ragione non dovrebbe accadere con la app per l’utilizzo dei servizi di Home Banking e di Trading di una importante banca italiana, che vanta un numero di installazioni dichiarato tra 100.000-500.000 (Dato riportato su Google Play il 05/05/2017).
GDPR e nuovo regolamento e-Privacy saranno un’occasione e uno stimolo anche per le banche a lavorare per avere un approccio chiaro, trasparente e più etico almeno sulle tematiche di Privacy. Ben venga la creazione di app in tutti i settori, ma che l’obbligo al loro utilizzo per questioni di sicurezza non diventi per nessuno un alibi per poter effettuare il continuous profiling cross-device dei propri utenti.
In conclusione, per informare e rendere realmente consapevole l’utente che vuole installare una app, gli si dovrebbe permettergli, già prima dell’installazione, di poter conoscere le condizioni d’uso e le privacy policy; di ricevere informazioni chiare e comprensibili sui gruppi di autorizzazioni, sul perché la app dovrà accedere a tali specifiche funzionalità e a specifiche informazioni del dispositivo; conoscere come questi dati saranno trattati e a chi saranno trasmessi e per quali finalità. Dovrebbe essere consentita già in fase di installazione la possibilità di scegliere quali autorizzazioni concedere e quali negare. Dovrebbero essere presenti informazioni su cosa comporta concedere o negare il consenso ad ogni specifico gruppo di autorizzazioni, riportando anche esempi chiari e concreti.
Anche se il divieto all’utilizzo del ‘tracking walls’ ( “Prendere o lasciare” per indurre l’utente ad esprimere il consenso al tracciamento delle proprie attività online) e le regole che dovranno disciplinare il tracciamento dei terminali degli utenti, saranno oggetto del nuovo Regolamento sulla Privacy nelle Comunicazioni Elettroniche, l’approccio generale per l’adeguamento privacy di una organizzazione dovrebbe porre attenzione anche al tema etico e non ridursi solo a questioni tecniche, regolamentari e procedurali.
La sempre crescente consapevolezza degli utenti, favorita ora anche dal GDPR, porterà sempre più gli utenti a preferire e a scegliere aziende etiche e trasparenti. In quest’ottica , un approccio che pone al c’entro l’etica nelle procedure di adeguamento privacy, potrebbe rappresenterete per le aziende un vantaggio strategico; vantaggio che non potrà essere conseguito con un approccio di adeguamento al GDPR visto solo come una scocciatura da svolgere ‘a norma di legge’.
1) Nascente regolamento e-Privacy – ci si riferisce al Regolamento sulla Privacy nelle Comunicazioni Elettroniche. La normativa è già stata definita dalla Commissione europea, deve ora essere approvata dal Parlamento europeo e la decisione del Parlamento ratificata poi dal Consiglio dell’unione Europea. Il tutto si dovrebbe concludere entro ottobre per poter adottare anche il regolamento e-Privacy per il 25 maggio 2018.
analisi interessante. il tema del consenso in ambito ePrivacy è assai rilevante e potrebbe non essere sufficientemente garantito neanche dal prossimo regolamento in materia (come evidenziato anche dall’EDPS, vedi il mio pst del 3/5 “Proposta di Regolamento ePrivacy e GDPR” ). mi chiedo tuttavia se sia sufficiente invocare una chiara informativa sulle motivazioni e modalità di utilizzo di alcune funzionalità o informazioni, congiunta alla possibilità di consensi selettivi per ogni specifico gruppo di autorizzazioni.
mi è capitato recentemente proprio di installare una app di una media banca italiana, per ricevere token di accesso home banking. fra le autorizzazioni richieste (ovviamente senza motivazioni e senza scelta selettiva) c’era l’uso della fotocamera. mi chiedo: se anche mi avessero spiegato che diavolo se ne fanno, ed avessi potuto dare un consenso specifico, non resterebbe cmq un trattamento illegittimo, in quanto eccedente le finalità per le quali sto prestando il consenso? in altri termini: va bene specificare i termini del servizio e chiedere consenso specifico, ma non bisognerebbe intervenire più incisivamente imponendo semplicemente il divieto di chiedere autorizzazioni non necessarie e non pertinenti?
Secondo me il problema sta primariamente nel fatto che non sappiamo la risposta a quanto chiedi “se anche mi avessero spiegato che diavolo se ne fanno, ed avessi potuto dare un consenso specifico, non resterebbe cmq un trattamento illegittimo, in quanto eccedente le finalità per le quali sto prestando il consenso?” Infatti in base a cosa valutiamo se sia realmente eccedente o non pertinente o non confacente con la finalità di raccolta e di utilizzo successivo? Il mezzo sarebbe l’informativa o un rimando a condizioni e termini d’uso collegate ad 1 informativa … cosa che invece il Titolare -pare- non aver fornito… quindi per quanto possa sembrare di primo acchito strano il consenso che ti hanno chiesto in realtà potrebbe – e dico potrebbe… – trovare una motivazione e chissà magari addirittura stupirci e farci vedere che quel consenso non obbligatorio (!) sia pertinente. All’inventiva non c’è mai fine 😉