Le applicazioni non possono trascurare l’adeguamento al GDPR nel trattare i dati personali, per l’importanza strategica e finanziaria che questi ricoprono nell’app economy.
I dati personali infatti giocano un ruolo fondamentale nell’app economy, sia in quanto la loro analisi permette di migliorare la qualità dei servizi offerti e di renderli maggiormente attrattivi per i consumatori, sia in quanto la possibilità di monetizzarli, tramite la loro cessione ad aziende interessate, può rappresentare – e molte volte rappresenta – un valido ritorno dell’investimento nello sviluppo dell’app. Ciò, tuttavia, dovrebbe sempre avvenire nel rispetto della normativa vigente.
Come funziona l’app economy
Come osserva uno studio del Parlamento europeo del maggio 2018 “European app economy – State of play, challenges and EU policy”, la crescente disponibilità di internet, unita al miglioramento delle capacità dei device, ha creato un modello di business completamente nuovo. Da un modello di tipo “push”, in cui il mercato era controllato dalle aziende attraverso il canale pubblicitario, si è passati a un modello di tipo “pull”, che vede le esigenze dei consumatori al centro del mercato e in cui l’acquisizione e il trattamento dei dati personali degli stessi permette alle società di migliorare la qualità dei propri servizi rendendoli maggiormente attrattivi per gli utenti. In questo contesto si inserisce il successo dell’app economy, che ha reso possibile un’interazione sempre maggiore tra i fornitori di beni e servizi e i consumatori.
La nascita dell’app economy risale al 2008 con il lancio, da parte dei due sistemi operativi più diffusi (iOS e Android), di Apple Store e Google Play. Da allora, il mercato delle app ha conosciuto una crescita esponenziale che non intende rallentare. Secondo quanto riportato nel report “The state of mobile 2019” di App Annie – società di analisi dei dati relativi al mercato delle applicazioni per piattaforme mobili – la spesa globale dei consumatori negli app store ha raggiunto nel 2018 i 101 miliardi di dollari, circa il 75% in più di quanto speso nel 2016, ed è previsto che sorpassi i 122 miliardi di dollari nel 2019. Peraltro, tale spesa non è rappresentativa del complessivo giro d’affari relativo all’app economy, che comprende altresì i guadagni dei gestori di telefonia mobile, derivanti dall’eventuale traffico utilizzato per scaricare e utilizzare le app, degli sviluppatori, nonché degli utenti finali (sia aziende che singoli privati), oltreché i guadagni derivanti dalla pubblicità in-app.
Le app sono applicazioni software ottimizzate per dispositivi di tipo mobile, quali smartphone o tablet, offerte negli app store a pagamento o gratuitamente. Si osserva che anche quando non è previsto un corrispettivo monetario per effettuarne il download, esiste tuttavia una finalità economica sottostante l’offerta dell’app, che è data dalla possibilità di raccolta e di trattamento dei dati personali degli utenti, acquisiti in fase di registrazione, ovvero durante l’utilizzo della stessa (si pensi, per fare un esempio, ai sistemi di geolocalizzazione utilizzati dalle app). Da qui l’importanza del ruolo giocato dai dati.
L’osservanza del GDPR
Tralasciando in questa sede i profili regolatori connessi ai “servizi della società dell’informazione” (dato che le app rientrano a pieno titolo in tale definizione) e al commercio elettronico, nonché i profili in materia di diritto d’autore – che gli sviluppatori, i produttori e i rivenditori dovranno comunque tenere, ognuno a vario titolo, nella dovuta considerazione – non vi è dubbio che, dal punto di vista della protezione dei dati personali, nella misura in cui essi appartengano a interessati che si trovino nell’Unione europea, ovvero il trattamento degli stessi sia effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione europea, ciò dovrebbe avvenire in rigorosa osservanza del GDPR.
A questo proposito, i due principali app store sul mercato (Apple Store e Google Play) hanno recentemente implementato tutele maggiori in materia di privacy e di protezione dei dati, imponendo agli sviluppatori di impostare le regole per il trattamento dei dati attraverso le app che intendono sviluppare e una definizione di chi tra i diversi soggetti coinvolti nella catena (i.e. sviluppatori, produttori, app store e terze parti, quali ad esempio gli sponsor) rivesta il ruolo di titolare o di responsabile del trattamento. Tuttavia, il rischio della diffusione di app il cui utilizzo comporti violazioni della normativa in materia di protezione dei dati personali rimane ancora molto elevato.
Le considerazioni di Soro
A conferma di ciò, si fa riferimento a un recente intervento del Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, (pubblicato su “Il Foglio” il 12 gennaio 2019) nel quale lo stesso evidenzia alcune criticità e preoccupazioni relativamente ai profili privacy e di protezione dei dati connessi all’app economy. Preliminarmente, il Presidente Soro esprime le sue preoccupazioni in merito ai limiti del consenso nell’ipotesi in cui i dati raccolti per mezzo di un app siano trattati in forza di tale base giuridica e non delle altre previste dal GDPR. E spiega che affinché il consenso dell’utente sia validamente prestato, occorre in particolare che l’utente/interessato abbia l’effettiva consapevolezza,inter alia,
- di quali dati personali vengono raccolti dall’app;
- delle finalità per cui tali dati vengono trattati – ossia dell’uso che il titolare del trattamento intende fare dei dati raccolti;
- dei soggetti (eventualmente anche extra-UE) che potranno accedere a tali dati e del periodo di conservazione degli stessi;
- dei propri diritti e delle relative modalità di esercizio.
Lo stesso dovrebbe altresì essere messo nella posizione di poter revocare il consenso in ogni momento e in applicazione del generale principio di trasparenza formulato dal GDPR, dovrebbe poter esercitare il controllo sui dati personali che lo riguardano per tutta la durata del trattamento. Tra le possibili violazioni, il Presidente Soro segnala il fatto che la maggior parte delle app sia ormai potenzialmente in grado di accedere e raccogliere dai dispositivi mobili dei propri utenti dati personali di cui non possono disporre, e cioè dati di terzi. Si pensi alle app che accedono ai contatti della rubrica del proprio smartphone, ovvero agli indirizzi e-mail dei propri contatti all’interno di un social network; la raccolta di tali dati dovrebbe avvenire previa informativa dei relativi interessati. Trattasi, secondo il Presidente Soro, di attività da censurare, in quanto, oltre che a concorrere al compimento di atti illeciti ai sensi della normativa vigente, contribuiscono all’incremento del rischio di reati quali, ad esempio, furto di identità o accesso abusivo.
In relazione a ciò, il Presidente Soro sottolinea tuttavia le difficoltà pratiche relative all’enforcement delle tutele previste dal GDPR, in caso di mancata osservanza delle disposizioni ivi contenute da parte delle società appartenenti alla filiera che va dallo sviluppo alla commercializzazione di tali app: per quanto infatti la localizzazione extra europea delle medesime non sarebbe ostativa all’applicazione del GDPR e non dovrebbe impedire alle Autorità di controllo europee di condurre indagini e imporre sanzioni, come osserva il Presidente Soro, “resta tuttavia l’innegabile difficoltà dell’esecutorietà di tali provvedimenti, rispetto a soggetti verso i quali, in caso di inadempimento, risulta alquanto problematico non solo ricorrere alle sanzioni penali previste in caso di inosservanza, ma anche più banalmente realizzare efficacemente attività ispettive”.
In questo contesto, considerando l’enorme quantità di dati che transitano sulle app e il rilievo non solo giuridico, ma anche economico e socio-politico che riveste il trattamento dei dati personali nell’odierna società, la consapevolezza da parte degli utenti del potenziale valore dei propri dati personali e un’attenta conoscenza dei diritti che la normativa in materia di privacy e protezione dei dati riserva loro, permetterebbe agli utenti di orientare la scelta delle app da scaricare sui propri device e costituirebbe il primo passo per tentare di arginare eventuali trattamenti illeciti dei dati.
L’importanza degli app store
È innegabile che un’importanza strategica e una posizione di garanzia assumono anche gli app store. In considerazione della posizione che gli stessi rivestono nel mercato, sarebbe auspicabile che almeno i grandi colossi dell’economia digitale impiegassero il massimo sforzo per perseguire la tutela della privacy e della protezione dei dati dei propri utenti come obiettivo primario, seppur in un’ottica di contemperamento tra l’esigenza di protezione dei dati personali e l’esigenza della libera circolazione degli stessi, anche per scopi economici. A questo proposito, riconoscere una responsabilità degli app store in relazione ai contenuti dagli stessi proposti agli utenti, potrebbe essere un primo passo per stimolare un’effettiva applicazione delle norme.
Si rileva, inoltre,che, con riferimento all’Unione europea, il GDPR fornisce comunque una serie strumenti in grado di affrontare efficacemente il tema dell’enforcement. Oltre a un generale dovere di collaborazione e assistenza reciproca tra le Autorità di controllo europee, imposto al fine di garantire l’applicazione e l’attuazione del GDPR, a ciascuna di esse il GDPR attribuisce infatti specifici poteri di indagine e correttivi, tra i quali la possibilità di rivolgere avvertimenti e ammonimenti ai titolari o ai responsabili dei trattamenti – nonché ai loro rappresentanti, da nominare laddove i predetti non abbiano uno stabilimento principale all’interno dell’UE – con riferimento a violazioni rilevate, di ingiungere a questi ultimi di soddisfare le richieste degli interessati nell’esercizio dei loro diritti e, da ultimo, di comminare sanzioni amministrative pecuniarie.
La tutela della concorrenza
Considerato, quindi, che la crescente diffusione delle app è indicativa della sempre maggiore importanza che le stesse rivestono e rivestiranno in tutti gli ambiti della vita personale, lavorativa, relazionale delle persone e che è pressoché inarrestabile il flusso di dati personali che l’utilizzo delle stesse genera a livello globale, non si può non osservare che il rispetto delle norme in materia di protezione dei dati personali giochi un ruolo particolarmente rilevante anche sul piano della tutela della concorrenza. In un settore regolamentato, l’effettiva osservanza delle norme da parte di tutti i partecipanti al mercato è fondamentale per evitare distorsioni della concorrenza, che potrebbero verificarsi – e sotto il profilo dell’adeguamento alla normativa in materia di protezione dei dati già accade – allorché alcuni soggetti traggano vantaggi economici dal mancato puntuale rispetto delle normative vigenti.
L’esercizio dei poteri ispettivi e correttivi spettanti alle Autorità di controllo nei confronti dei vari soggetti coinvolti a vario titolo nello sviluppo, produzione, e commercializzazione di app è dunque essenziale per contrastare la raccolta e il trattamento dei dati personali per scopi differenti da quelli per cui sono acquisiti ed evitare che gli stessi diventino non solo uno strumento per un loro utilizzo illecito, ma anche uno strumento per l’ottenimento di indebiti vantaggi economici.
Conclusioni
In definitiva, quindi, se da una parte si condividono le richiamate preoccupazioni del Garante – nonché l’invito rivolto dallo stesso ad un maggiore “riconoscimento, a livello internazionale, del diritto alla protezione dei dati personali e delle garanzie necessarie per assicurarne l’effettività” – e si spera che gli sforzi sin d’ora fatti dalle imprese nella corsa all’adeguamento al GDPR continuino, dall’altra, tuttavia, non ci si può esimere dal rilevare che, a quasi un anno dall’obbligo di adeguamento al GDPR, a fronte delle quasi 60 mila violazioni registrate in Europa – secondo quanto riporta il “DLA Piper Data Breach Survey” del febbraio 2019 – solo 91 sono state le sanzioni comminate dalle Autorità di controllo europee.
Ci si augura, dunque, che tale circostanza non contribuisca alla diffusione dell’erronea e pericolosa percezione che il trattamento e la circolazione dei dati personali non necessitino e non possano godere di una pronta, efficace e concreta tutela – soprattutto in un settore quale quello dell’app economy. Ciò, infatti, andrebbe a scapito sia degli interessati (intesi in senso tecnico) che delle imprese che sino ad oggi si sono mostrate più virtuose nell’osservanza delle regole e della normativa.
