Di cosa deve preoccuparsi lo sviluppatore di una app alla luce del nuovo Gdpr? Guida all’analisi delle questioni di privacy e dati personali per le app
Stai sviluppando una app per la tua azienda? Attenzione, il tuo fornitore DEVE essere preparato e attento al GDPR. Per prima cosa cerchiamo di capire se la tua sarà una app nativa, web app o una app ibrid.
APP native
Sono applicazioni che si installano e si utilizzano interamente sul proprio dispositivo mobile tramite l’apposito Store. La possibilità di interagire con le API (Application Programming Interface) messe a disposizione dal costruttore del sistema operativo garantisce l’accesso immediato a tutte le funzionalità del dispositivo mobile (ad esempio rubrica, messaggi, notifiche, localizzazione) permettendone, inoltre, il funzionamento offline. Questo tipo di app mira ad ampliare quelle che sono le capacità native del dispositivo mobile, migliorandone sensibilmente l’usabilità.
Web APP
Sono normali applicazioni web – quindi non vengono installate fisicamente e interamente sul dispositivo dell’utente – consistenti in un collegamento verso un applicativo remoto il cui codice dell’interfaccia utente può risiedere sul dispositivo mobile o anch’esso essere in remoto. A causa della loro natura “incontrollabile” (i contenuti web, di fatti, possono cambiare continuamente) questo tipo di applicazioni non possono essere pubblicate negli Store. Inoltre, per poter funzionare, le web APP richiedono il costante accesso alla connessione internet dalla cui velocità di connessione dipendono anche le sue prestazioni. Un vantaggio delle web APP è che non risiedendo sul dispositivo non incidono in alcun modo o in maniera minima sulle capacità di memoria del dispositivo e sulle sue capacità di calcolo dei dati in quanto il nucleo elaborativo e/o l’interfaccia utente dell’applicazione, come già detto, è presente su server remoti.
APP Ibride
Sono applicazioni che presentano i caratteri tipici delle app native e delle app web. Esse, infatti, sono tipicamente app native che hanno comunque una parte web capace di adattarsi con facilità alle diverse piattaforme e device mobili. Nonostante non siano altrettanto performanti, le app ibride vengono considerate come le app native (e, pertanto, soggiacciono al controllo dei contenuti degli Store dove vengono pubblicate) con l’indubbio vantaggio di essere scritte con un linguaggio comune a tutti i device essendo solo un contenitore che verrà cambiato in funzione del dispositivo mobile che dovrà ospitare l’applicazione.
I problemi giuridici delle app
I Problemi Giuridici Delle App sono quello relativo al trattamento dei dati, ovvero della privacy e quello relativo alla qualificazione giuridica dell’APP.
Legge applicabile
Si può infatti avere l’interessato in uno Stato, lo sviluppatore in un altro Stato, il produttore ubicato in un altro Stato ancora, etc. Perciò a livello comunitario si applica il Regolamento n. 2016/679 o GDPR che è diventato obbligatorio per tutti i paesi dell’UE dal 25 maggio 2018.
il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un titolare del trattamento o responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- L’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure
- Il controllo del loro comportamento, quest’ultimo inteso all’interno dell’Unione europea.
Inoltre il regolamento si applica anche ai residenti extra UE in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.
Correttezza del trattamento
Normalmente nella realizzazione di una APP possiamo trovare gli sviluppatori, i produttori della APP, le APP store o i rivenditori e le parti terze come gli sponsor.
Non esistono regole rigide, infatti dovrà essere lo sviluppatore a impostare le regole per il trattamento dati con la APP che va a sviluppare. Perciò è bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato.
Consenso al trattamento
Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso.
La validità del consenso necessita che consista in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato….. ” (ai sensi della definizione di cui all’articolo 4, n. 11 del GDPR).
VOLONTA’ LIBERA: Se un’applicazione richiede il trattamento di dati personali, l’utente deve essere libero di accettare o rifiutare, senza trovarsi di fronte a uno schermo contenente un’unica opzione “Sì, accetto”, per completare l’installazione.
VOLONTA’ INFORMATA: l’interessato deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso.
VOLONTÀ SPECIFICA: la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati.
In alcuni casi, gli utenti sono in grado di fornire un consenso cosiddetto granulare, laddove il consenso è richiesto per ciascun tipo di dati ai quali l’applicazione intende accedere.
Con il consenso granulare gli interessati possono verificare con esattezza quali funzioni comportano un trattamento e di quali dati. Un simile approccio soddisfa due importanti requisiti giuridici: in primo luogo quello di informare adeguatamente l’utente in merito a elementi importanti del servizio e in secondo luogo quello di chiedere il consenso specifico per ognuno di essi.
misure organizzative e tecniche
L’art. 32 del GDPR stabilisce che tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
- La pseudonimizzazione e la cifratura dei dati personali;
- La capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- Una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Dati genetici e biometrici
Qualificazione giuridica di una App
Le APP rientrano nella definizione di “servizi della società dell’informazione” ovvero qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi (Direttiva 2000/31/CE, D.lgs. 70/2003).
Installando una applicazione su un dispositivo mobile di avrà a disposizione il software desiderato e potrà essere usato quando e quanto si desidera. Ma quella applicazione che viene scaricata è davvero di proprietà dell’utente? Viene davvero acquistata una applicazione oppure viene acquistato solo un contenuto?
In realtà, sia che si scarichi una applicazione gratuita, o a pagamento, o ancora in abbonamento, ciò che si andrà ad acquisire non è un diritto di proprietà, bensì la licenza d’uso di quel determinato software.
Lo sviluppatore, infatti, non vende il diritto d’autore allo store, bensì ne cede la concessione all’utilizzo. Non essendo prevista dalla legge sul diritto d’autore, la cessione del diritto d’autore su una applicazione è riconducibile alle norme del codice civile in tema di contratti in genere e può essere definito come un contratto di cessione di utilizzazione economica dell’ APP o licenza.
Fonte: Teknoring
L’area GDPRConforma è a tua completa disposizione per poter attivare servizio GDPR NO STRESS con le sue varie opzioni :
– Implementazione
– Formazione
– Verifica – Mantenimento
Controlla ed eleva la tua azienda salvaguardandoti da sanzioni. Scrivi a supporto@bwbconforma.it e richiedi informazione sulla GDPR no-Stress.