LE APP E LA TUTELA DEI DATI
Pochi pensano alla problematica della Tutela dei dati quando si crea un APP, se poi queste nuove applicazioni sono pensate e sviluppate in periodi di pandemia, sembra conseguenziale la regola del “salvi tutti, quindi facciamo quello che vogliamo”.
Non è assolutamente cosi ed anche In periodi emergenziali, soprattutto se in ambito in sanitario la raccolta e il trattamento dei dati personali per ragioni di accertamento e prevenzione devono attenersi a delle regole e distinguere le attività di prevenzione gestite dai soggetti istituzionali e sanitari da quelle dei soggetti privati e degli enti pubblici.
Occorre che quindi il Garante, perché da soli non lo farebbe nessuno spinga sulla tutela dei dati gestiti e divulgati attraverso l’uso delle app, a prescindere dal periodo.
Per capirne la portatache il mercato delle app porta con se basti pensare che i due principali appstoreconosciuti sul mercato (Apple Store e Google Play) si sono visti costretti molto ma molto a malincuore e dopo tante battaglie, a migliorare, ma sarebbe meglio dire a sviluppare, tutele maggiori, più chiare e trasparenti, in materia di privacy e di protezione dei dati. Questi due store hanno chiesto ed ottenuto dagli “sviluppatori” di impostare le regole per il trattamento dei dati attraverso le app che intendono sviluppare da accompagnarsi con una chiara definizione di chi tra i diversi soggetti coinvolti, sviluppatori, produttori e terze parti, rivesta il ruolo di titolare o di responsabile del trattamento.
Lo stesso Garante ha più volte specificato che il mondo delle APP non è il far west e spesso si è rivolto al mercato delle app economy per evidenziare le criticità.
Ma a parte questo per le app, anche in conseguenza del fatto che prima nessuno se ne preoccupava, è fondamentale oltre a pensarle bene e svilupparle meglio, effettuare alcune verifiche prima di prendere decisioni affrettate sui dati.
Al di la della sicurezza già prevista quando si costruisce un APP occorre sempre pensare al fatto che non si conosce come l’utente finale ha impostato il proprio smartphone o tablet, ragione per cui ricordiamoci che una App potrebbe richiedere:
- accesso alle immagini
- Accesso ai contatti in rubrica
- Accesso al microfono e alla fotocamera
- accesso ai files in memoria
- accesso ai dati sulla geolocalizzazione
- gestione dei cookies
Tutte queste problematiche andrebbero a ricadere sul proprietario dello Smartphone o del tablet, ma il costruttore della APP ha pensato a tutto questo? Ha pensato ad avvisare il cliente di queste casistiche? Ha pensato che in tanti di questi casi è lui il responsabile dei dati?
La possibilità che una app pensata male e gestita peggio possa far ricadere l’azienda nella problematica del datatracingé alta e comporta non pochi problemi sia sul livello normativo sia sul livello professionale ed etico, anche in considerazione del fatto che la problematica soprattutto normativa del tracciamento è ancora poco sviluppata.
E’ quindi necessario per quelle aziende che operano con professionalità su questo mercato verificare il più classico criterio di proporzionalità nella raccolta dei dati per verificare se sono necessari per la funzione, per capire come verranno utilizzati e da chi verranno utilizzati.
Alcune informazioni raccolte dalle app potrebbero anche finire automaticamente online se le impostazioni dei deviceslo prevedono, fornendo informazioni personali anche senza saperlo .
Un esempio classico ma fondamentale, se la appsviluppata è connessa, o si connette durante le sue funzionalità, con il sistema di geolocalizzazione dello smartphone o del tabletsi potrebbe rendere pubblica la posizione del cliente.
E’ quindi obbligatorio prima di installare una APP poter leggere le condizioni d’uso ed accettarle e verificare che sia presente anche una politica privacy.
Il garante si è speso molto sulle APP, naturalmente approdando subito sulle app sanitarie o che comunque trattano dati sensibili e sulle app di mercato finanziario, ma ciò ci fa capire l’attenzione che vi pone sopra e quanto lavoro si dovrà fare poi per rientrare nelle regole che si è voluto interpretare.
Di seguito i punti fondamentali per verificare l’adeguatezza della protezione per le nostre app:
- Gestire tutti i dispositivi mobili – smartphonetablet portatili.
Tutti i dispositivi mobili che hanno accesso ai dati aziendali e che immettono dati sulla appdevono essere integrati nella gestione. I dispositivi mobili non gestiti non presentano un livello ragionevole di sicurezza dei dati, soprattutto in caso di smarrimento o compromissione del dispositivo.
- Regole sugli aggiornamenti dei dispositivi.
Utilizzare profili di configurazione per applicare le policy relative a password, cifratura dei dati, sicurezza dei dispositivi, connettività, app e altre funzioni importanti per l’operatività aziendale.
- Proteggere tutte le app aziendali.
Dove possibile distribuire tutte le app aziendali solo con ununappstore aziendale in modo che possano essere utilizzate all’interno di una struttura di sicurezza controllata dall’azienda.
- Inserite i dati aziendali in contenitori.
Applicare regole per la prevenzione della perdita dei dati, per proteggere i dati delle app sul dispositivo e impedire la condivisione di dati con app e servizi non autorizzati sui dispositivi.
- Implementare il controllo contestuale degli accessi.
Applicare l’accesso controllato per tutti i servizi aziendali. Bloccare l’accesso da dispositivi, ead utenti non autorizzati, non gestiti o non conformi.
- Regole per la memorizzazione dei dati
Non consentire la memorizzazione di dati riservati su un dispositivo che esula dal controllo e dalla visibilità dell’azienda.
- Stabilire comunicazioni adeguate e chiare.
Comunicare con chiarezza agli utilizzatori le policy relative alla privacy e alla sicurezza.
- Inserire le APP nella gestione dei rischi aziendali e se del caso nel registro del trattamento
Il manuale con al relativa gestione dei rischi deve essere implementato tenendo presente il nuovo fronte di sicurezza che si apre con le APP, tesso dicasi per il registro del trattamento che dovrà essere implementato per i dati trattati dalle app.