Identificare i ruoli dei soggetti coinvolti nella realizzazione di un’app e le loro responsabilità è uno dei fattori più importanti da stabilire quando si parla di dinamiche inerenti al trattamento dei dati.
Lo sviluppatore imposta tecnicamente l’applicazione affinché richiesta, ricezione e conservazione dei dati siano effettuate secondo le regole, e per questo, spesso è erroneamente individuato come unico responsabile del trattamento dati. In realtà, l’implementazione tecnica non lo rende automaticamente l’unico responsabile.
Attualmente, a livello comunitario, si applica il Regolamento n. 2016/679 o GDPR e, all’art. 3 di quest’ultimo, viene introdotta la figura de titolare del trattamento.
È bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato perché è questo che realmente incide sul diritto applicabile.
Diversi attori concorrono alla creazione di un’app: gli sviluppatori, i produttori, gli app store o i rivenditori e le parti terze come gli sponsor e i consulenti, se si tratta di una app di un settore con specifiche molto tecniche.
La definizione dei ruoli nel contratto, o anche semplicemente quello che è scritto nell’informativa, consentirà di individuare le responsabilità in caso di trattamento illecito di dati.
Casi di violazione per trattamenti illeciti
Ho parlato nell’articolo sul consenso al trattamento dei dati delle modalità con cui ottenere l’autorizzazione dell’utente al trattamento dei dati. Seguire quelle linee guida, però, non rende comunque possibili trattamenti sleali e illeciti. In sostanza, se il trattamento è eccessivo e/o sproporzionato rispetto alle finalità, non si disporrà di un fondamento giuridico valido, violando la direttiva sulla protezione dei dati.
Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante.
Per sviluppare correttamente il meccanismo di ottenimento del consenso dei dati, invito a consultare l’articolo di approfondimento al riguardo.
Misure organizzative e tecniche per la sicurezza dei dati
Al di là degli obblighi di legge, pensare alla sicurezza dell’utente dovrebbe essere il primo dovere di un produttore di app. Per approfondire le misure di sicurezza possibili rimando al post scritto riguardo ad una serie di post che ho pubblicato riguardo allo sviluppo di app e sicurezza.
In tema di sicurezza, l’art. 32 del GDPR stabilisce che, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche,
il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.
Possono essere comprese queste misure di sicurezza:
1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
4. una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5. dati genetici e biometrici
Sono i dati genetici e biometrici come le impronte digitali, la voce, la forma della mano, la struttura della retina.
Qualsiasi proprietà biologica, caratteristica fisiologica, tratto biologico, deve essere assicurata ad un livello di sicurezza perché rientra tra i dati sensibili.
Allo stesso modo le azioni ripetibili, laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità.
Capire quando e come applicare il regolamento quando non tutti gli attori sono in UE
Attualmente a livello comunitario si applica il Regolamento n. 2016/679 o GDPR: all’art. 3 di quest’ultimo viene rivista completamente la concezione tradizionale del principio di stabilimento del territorio.
L’utente che usa la app e a cui i dati si riferiscono può trovarsi in uno Stato, lo sviluppatore in un altro, il produttore ubicato in un altro ancora. Per questo, quanto stabilisce l’articolo 3 permette di individuare un responsabile del trattamento nell’Unione, anche indipendentemente dal fatto che il trattamento sia effettuato o meno in UE.
Quando il responsabile non si trova in Unione Europea, si applica il regolamento UE al trattamento dei dati personali di interessati che si trovano nell’Unione nel caso in cui:
a) l’offerta di beni o servizi offerti è rivolta a utenti UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato
b) è in gioco il controllo del loro comportamento, inteso all’interno dell’Unione europea.
c) è in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.