Scaricare una App è divenuta ormai attività quasi quotidiana per i milioni di possessori di uno smartphone. Si esegue un rapido download sul cellulare, si installa la App, si autorizza la geolocalizzazione e, in molti, forse troppi casi, si permette l’accesso ai dati del cellulare e … via con la navigazione. Molte di queste App non chiedono i dati personali e, di conseguenza, da parte di qualcuno si ritiene che non sia necessario richiedere agli utenti di prestare il consenso al trattamento: in realtà costoro dimenticano che il gestore ha già la disponibilità del codice del cellulare, probabilmente di un indirizzo mail e, molto probabilmente, di tutti i dati che vengono connessi alla App. Con conseguenze talvolta non considerate. Basta porsi la domanda su quante semplici App per giochi sono in circolazione e che permettono a due amici di sfidarsi tra loro. E se i due contendenti fossero due minorenni? Non dimentichiamo poi che una buona parte di queste App prevede l’upgrade al livello superiore, questa volta magari a pagamento. Ecco a disposizione del gestore anche i dati di una carta di credito o altro mezzo di pagamento.

Probabilmente all’inizio del download compare una domanda, forse neppure ben formulata, alla quale l’utente risponde con la bugia più detta al mondo: il “SI”, mediante un click, al quesito se abbia letto e ben compreso i termini di contratto, prestato il consenso al trattamento dati personali. Forse in pochissimi, e sempre dopo, riflettono sulla circostanza che l’informativa della App non contiene tutti gli avvisi in merito ai diritti degli utenti e, quasi mai, o forse proprio mai, i dati di contatto di un responsabile della sicurezza né, tantomeno, quelli di un DPO.

Ulteriore circostanza da considerare è che tutte le App, sistematicamente, sono farcite da avvisi pubblicitari, ripetuti e spesso non pertinenti, che si ripropongono continuamente. Poi diventano sempre più specifici sulla figura dell’utente. Quasi come se il cellulare imparasse pian piano a conoscere il suo utilizzatore.

Questo schema si ripete spesso anche sui siti di e-commerce che, in buona parte, mostrano gravi lacune sulle informative (in molti ancora fanno riferimento all’art. 13 del D. Lgs. 196/2003 ormai abrogato) e, come nel caso delle App, non indicano il responsabile della sicurezza. Una situazione alla quale i gestori dei siti dovrebbero prestare una maggiore attenzione in quanto le modalità e tipologie di accesso forniscono non solo dati sui gusti e le preferenze di un utente, ma potrebbero anche essere fonte di dati sensibili. Si pensi soltanto alle modalità di scelta di alimenti per scelta o per appartenenza ad una religione.

Alla obiezione che questi siti non rientrano tra le tipologie di attività per le quali il GDPR non richiede il DPO, ben si può contestare (e potrebbe essere il garante a farlo), che per loro stessa natura, e non troppo implicitamente, trattano i dati in loro possesso per effettuare una profilazione e, non si dimentichi, quasi tutti fanno riferimento a Google per la loro gestione. Ergo gli algoritmi utilizzati per le profilazioni e comunque la gestione dei dati lasciano forti dubbi se anche questi operatori non debbano dotarsi sia di una Policy Privacy adeguata al GDPR, ma anche nominare un DPO.

Anche ad una possibile ulteriore obiezione sul numero di utenti si può ribattere che un sito anche piccolo di E-commerce, che riceva venti visite al giorno (ed il numero è volutamente sottostimato), gestisce seicento accessi mensili e quindi quasi settemila l’anno. Si può ancora parlare di trattamento non su larga scala? Ed è credibile che un gestore di un sito o sviluppatore di una App non usi Google Analytics?

E’ pur vero che una semplice visita su un sito non lascia traccia di dati personali, se non l’identificativo del terminale usato per l’accesso, ma troppi siti ancora per la semplice iscrizione alle newsletter non offrono garanzie né di sicurezza del dato, né indicazioni di una policy compliant con il GDPR. Si tratta di prassi corrette? La risposta ben potrebbe giungere dal Garante sotto forma di sanzioni anche importanti. Forse aziende e sviluppatori di App dovrebbero pensarci prima. Ed il messaggio è specialmente per questi ultimi: ricordiamo che le App sono spesso creazioni che rappresentano la base di una start-up. Il rischio è che sia il Garante a fermare l’attività oltre a emettere una sanzione.