Normative europee

L’importanza della valutazione del rischio nello sviluppo di app

Il Garante per la protezione dei dati ha compreso la portata dei trattamenti di dati personali effettuati dalle app e li ha inseriti nell’elenco dei trattamenti da sottoporre alla valutazione di impatto ai sensi dell’art.35 del GDPR

07 Ago 2020

Federica Domenici

Compliance Consultant e Data Protection Officer

Le applicazioni mobili, o app, sono software progettati e sviluppati per essere utilizzati tramite dispositivi mobili, ovvero pc, smartphone e tablet, e che consentono a questi apparecchi di svolgere funzioni ulteriori.

Le funzioni delle applicazioni, oramai, sono le più disparate: da quelle di gaming a quelle di messaggistica istantanea, app per fare sport e monitorare i risultati in diretta (frequenza cardiaca, chilometri percorsi, geolocalizzazione), app di dating (che spesso uniscono la geolocalizzazione all’analisi di dati di natura particolare), app di home banking (le quali prevedono l’accesso tramite dati biometrici) e una miriade ancora.

La natura eterogenea delle funzioni delle app, la facilità di installazione e la loro utilità hanno contribuito alla loro crescita esponenziale; l’app store della Apple ne ospita oltre 2 milioni mentre lo store di Google ne conta circa 3 milioni. Ognuna di queste app elabora di continuo dati personali di centinaia di milioni di utenti, molti dei quali anche di natura particolare, biometrici o di geolocalizzazione. È evidente che i rischi per la protezione dei dati degli utenti sono elevati; ultimamente si è diffusa la notizia[1] della pubblicazione su un hacker forum di 20 milioni di profili di utenti rubati dall’Android store Aptoide, i quali includono e-mail e password di log-in.

Per comprendere meglio l’ordine di grandezza dei profili hackerati ogni giorno è sufficiente visitare il sito web “Have I been pwned” il quale pubblica giornalmente resoconti riguardo tutti data breach che si verificano nel mondo, tra cui anche quelli relativi ad app e app store.

I rischi di perdita dei dati

I rischi maggiori provengono, oltre che dai possibili data breach a opera di terzi, dalla conoscenza non approfondita, da parte degli sviluppatori, della normativa in materia di data protection, dalla poca consapevolezza da parte degli utenti, i quali nella maggior parte dei casi non sono pienamente coscienti e/o informati della quantità e qualità di dati che stanno cedendo alle app, dalla pluralità delle finalità collegate al trattamento, nonché dal gran numero di consensi dati dagli utenti al momento dell’installazione della app.

Le interfacce di programmazione delle applicazioni (ovvero le “API”) consentono l’accesso a un gran numero di sensori presenti sui dispositivi degli utenti, come ad esempio fotocamere, bussola, accelerometro (consente di capire la velocità e la direzione in cui ci si muove), giroscopio e microfoni. Attraverso le API vengono, poi, raccolti dati e consultati rubrica, sms, messaggi social, dati relativi all’identità dello smartphone, galleria fotografica, dati biometrici di accesso.

È bene, inoltre, porre l’attenzione anche sul numero di soggetti che potenzialmente operano a vario titolo nelle varie “fasi di vita” delle app; ad esempio, la società che commissiona lo sviluppo, la società o lo sviluppatore autonomo, gli app store, le società di hosting, ognuno responsabile per la propria parte di trattamento dati. È una vera e propria “filiera digitale” che deve operare in base a nomine dettagliate date dal titolare del trattamento, definizioni chiare di ambiti di operatività e conseguenti responsabilità.

Ma quali sono gli strumenti che il GDPR ha previsto per poter, quantomeno, minimizzare i rischi connessi al trattamento di dati personali attraverso le app?

Le norme previste dal GDPR

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Sicuramente, al momento stesso della progettazione dello sviluppo di una app sarà di primaria importanza interrogarsi sul rispetto, in primis, dei principi fondamentali del GDPR stabiliti dall’art. 5, e più in particolare, quelli relativi alla limitazione della finalità e alla minimizzazione dei dati raccolti.

Questi due principi devono sempre procedere di pari passo, valutando, quindi, volta per volta se i dati raccolti corrispondono con le finalità perseguite.

Nel corso della progettazione delle app il titolare del trattamento dovrà stabilire, a priori, le finalità per i quali i dati saranno trattati delimitandole in un’ottica di coerenza tra le stesse, ovvero, come indicato anche nelle Linee Guida WP 29 n°202 in materia di applicazioni; gli sviluppatori devono evitare che vi sia una estensione indebita delle funzionalità che possa modificare il trattamento, ad esempio tra una versione e l’altra. E lo stesso ragionamento per il principio di minimizzazione dei dati, anche qui deve operare secondo un principio di coerenza, ad esempio una app che fornisce video ricette non potrà richiedere l’accesso alla rubrica.

Come suggerito dalle citate Linee Guida, un utile strumento per garantire il rispetto di questi due principi è dato dalla chiara indicazione, già nella fase di consultazione nel catalogo dell’App store, dell’informativa privacy e quindi dei dati a cui l’app avrà accesso una volta installata, prevedendo la possibilità per l’utente di ritirare in qualsiasi momento il proprio consenso.

In osservanza dell’art. 32 del GDPR, il titolare del trattamento è tenuto a implementare misure di sicurezza adeguate, questo comporta che, data la eterogeneità dei trattamenti posti in essere per il tramite delle app, la loro individuazione sia la conseguenza di una specifica valutazione dei rischi, presenti e futuri, che abbia a oggetto ogni singola app e aiuti il titolare.

In considerazione anche del gran numero di aggiornamenti rilasciati sulle app e del grado di sviluppo tecnologico, è buona prassi ripetere questa valutazione dei rischi ogni qualvolta vi sia un cambiamento rilevante nella gestione dei dati, come ad esempio l’inserimento di una nuova funzione.

In particolare, la valutazione dei rischi inerente all’utilizzo di una app dovrà, tra le altre, avere a oggetto anche lo storage dei dati, ovvero una attenta analisi delle conseguenze derivanti dalla scelta dello strumento utilizzato per l’archiviazione e il backup dei dati. Sarà necessario valutare attentamente le misure di sicurezza offerte dai vari fornitori, loro eventuali certificazioni ISO, come ad esempio la 27001, la loro localizzazione all’interno del territorio UE ed eventuali precedenti data breach.

Le app nella valutazione d’impatto

Il Garante per la Protezione dei dati ha ben compreso la portata dei trattamenti di dati personali effettuati dalle app e li ha inseriti nell’elenco dei trattamenti da sottoporre alla valutazione di impatto, ai sensi dell’art.35 del GDPR. È bene ricordare che un trattamento è sottoposto a valutazione di impatto quando può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori).

Scopo della valutazione è proprio la gestione dei rischi per i diritti e le libertà delle persone fisiche, tenuto conto della natura, dell’ambito di applicazione, del contesto, delle finalità del trattamento e delle fonti di rischio.

La valutazione di impatto è uno degli adempimenti in cui maggiormente si esplica il principio di accountability e che consente al titolare di valutare a priori il rispetto di tutti i principi di cui all’art. 5 del GDPR e di dimostrare di aver effettuato una corretta valutazione e mitigazione dei rischi.

La valutazione di impatto è un processo continuo, richiede infatti un monitoraggio e riesame periodici, la cui responsabilità spetta al titolare che può affidarla materialmente anche a soggetti interni o esterni alla propria organizzazione, con la supervisione del DPO e la collaborazione dei responsabili del trattamento.

In conclusione, se è pur vero che i trattamenti di dati personali effettuati attraverso le app sono potenzialmente alquanto invasivi della privacy degli utenti e che, conseguentemente, per il titolare è difficile valutarne attentamente gli effetti sui diritti e le libertà degli stessi, il GDPR offre tuttavia una “road map” da seguire per contenere i rischi. E questa parte dal rispetto dei principi fondamentali del GDPR e dalla valutazione iniziale dei rischi per cristallizzarsi nello strumento principale dell’accountability, ovvero la valutazione di impatto privacy.

  1. Fonte: https://www.forbes.com/sites/daveywinder/2020/04/19/hacker-claims-android-app-store-breach-publishes-20-million-user-credentials/#30b3c9e6736d
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA
D
Federica Domenici
Compliance Consultant e Data Protection Officer
Argomenti trattati

Approfondimenti

D
data breach
D
data protection
P
privacy

Articolo 1 di 5