Privacy, Security

La disciplina giuridica delle App

La disciplina giuridica delle APP

A partire dal 2008 sino ad oggi, nel linguaggio quotidiano di chiunque sia in possesso di un dispositivo mobile, è entrato a far parte il termine App (abbreviazione del termine applicazione).

Il termine indica una variante delle applicazioni informatiche, appositamente dedicata a dispositivi di tipo mobile, come smartphone, tablet, che interagisce con i componenti del cellulare e con l’utente che la utilizza.

Noi utenti, inconsapevolmente scegliamo di accettare il lato oscuro del web e in particolare delle App; siamo pronti a condividere e postare, accettare contratti e aggiornamenti senza mai batter ciglio. In realtà sappiamo davvero come vengono usati i nostri dati o chi si nasconda dietro colui che dovrebbe garantire la liceità del trattamento?

GDPR: la privacy nell’uso delle APP

Fondamentale è la Sicurezza informatica il cui compito è quello di impedire attacchi che possano compromette la riservatezza dei dati e delle informazioni, consentendone la fruizione soltanto a persone o sistemi informatici autorizzati, assicurandone l’integrità dei dati.

Il 4 maggio 2016 è stato pubblicato il nuovo regolamento europeo, noto come GDPR, relativo alla protezione e al trattamento dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati.

Con l’adozione del nuovo regolamento privacy si è inteso creare un quadro giuridico armonizzato, garantendone un’applicazione uniforme delle regole in materia di trattamento dati su tutto il territorio dell’Unione Europea, al fine di sviluppare il mercato unico europeo e rafforzare la protezione dei diritti degli interessati.

Gli sviluppatori e i moderatori già nel momento di creazione dell’App o software, dovrebbero tenere in considerazioni alcuni punti chiave da non sottovalutare; ciò è necessario per rendere la propria App conforme alla normativa vigente.

Questi punti chiave sono:

Esaminare se occorra trattare informazioni personali e verificare quali siano i dati realmente necessari;
Predisporre un’informativa chiara e completa per l’utente;
Verificare se i trattamenti da effettuare richiedano specifico consenso dell’utente;
Accertare se il trattamento che si intende effettuare possa presentare dei rischi per cui è necessario procedere con una valutazione preliminare;
Verificare se sia necessaria la notificazione al Garante Privacy(in caso di Data Breach)
Adottare le misure per garantire la sicurezza dei dati trattati attraverso l’App.

Persino Whatsapp che riempie le nostre giornate, in passato è stato accusato di violare le normative sulla privacy vigenti in Canada e Olanda, in quanto “possedevano” anche i dati (numeri di telefono, nomi e foto) salvati in rubrica. Questo sistema permetteva l’archiviazione di tutti i dati personali degli utenti sui server dell’azienda, e anche il prelievo e la memorizzazione dei numeri di telefono dei soggetti che non utilizzano il servizio di messaggistica, violando così la privacy dei non utenti.

Uno dei principi fondamentali del Regolamento è infatti la “Accountability” ovvero il saper rispondere e rendere conto dei risultati ottenuti o di quanto sia stato fatto in merito al trattamento dei dati personali. Fondamentale quindi è la nozione di responsabilità intesa come la dimostrazione di come sia stata esercitata concretamente implicando la possibilità di verificare in che modo ci si è comportati per essere compliant al regolamento.

I dati circolano molto rapidamente ed è molto facile perderne il controllo nonostante varie cautele. Bisogna quindi adottare un processo ed un metodo di gestione della privacy che consenta di potere avere il controllo sui dati, evitare di perderli e poterli rettificare o cancellare.

Conditio sine qua non di qualsiasi trattamento dati, resta poi il consenso preventivo all’installazione e al trattamento di dati personali dell’interessato.

Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso, poiché con l’installazione di un’applicazione, nel dispositivo dell’utente finale vengono inserite delle informazioni e spesso le stesse APP accedo ai dati memorizzati sul dispositivo.

La validità del consenso è rappresentata dalla “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato….. ”.

Per volontà “libera” si intende che l’interessato non solo deve liberamente scegliere se rilasciare o meno il consenso per quel trattamento, bensì anche stabilire liberamente a quale effetto del trattamento acconsentire.

Volontà “Informata” significa che l’interessato deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso.

Volontà “Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati. Per questo motivo, il semplice clic su un tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali, poiché il consenso non può essere un’autorizzazione formulata genericamente.

Inoltre ai sensi dell’art. 7 del GDPR qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.

Data Breach sulle App

Durante la difficile gestione della pandemia generata dal Covid-19 le violazioni informatiche hanno seguito un andamento crescente.

Primi tra tutti sono i dispositivi mobili ad essere stati oggetto di ripetuti attacchi.

Una delle cause principali è da ricercare in alcune vulnerabilità delle App che abitualmente sono scaricate dalle piattaforme web.

Precisamente, sarebbe da ricercare nel codice con cui sono stati scritti i software.

La vulnerabilità consente agli attaccanti di veicolare numerosi malware all’interno delle applicazioni permettendo così una violazione dei dati personali, nota come Data Breach, ossia unaviolazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

I rischi che si corrono in questo caso sono numerosi, non solo il furto dati ma anche spiare le vittime, recuperare i messaggi delle chat e ottenere credenziali bancarie (nel caso di applicazioni home banking).  Dunque, gli utenti potrebbero correre numerosi rischi attraverso il semplice utilizzo di un’applicazione non sicura.

Come già riportato tra le principali cause dei Data Breach, approfondendo il tema, riportando le sei principali fonti di violazioni di dati, secondo il report di Verizon “2018 Data Breach InvestigationsReport”, troviamo hacking, malware, errore umano, social engineering, accesso illecito dei dipendenti, azioni fisiche.

Copyright nelle App

Oltre al trattamento dei dati personali e dunque alla sicurezza degli utenti, è anche importante la sicurezza e la protezione dell’ideatore stesso.                                                                                                          

Analogo al diritto d’autore è quello della proprietà intellettuale. Con questo termine si vuole indicare “un complesso di azioni regolate da leggi volte a garantire la paternità ed i diritti di sfruttamento delle creazioni dell’intelletto umano”. Tale definizione comprende, quindi tutte le creazioni ed idee che sono espressione dell’intelletto.

Per permettere all’ideatore di tutelare la proprietà intellettuale e godere a pieno dei guadagni derivanti dall’introduzione della stessa sul mercato, la legge mette a disposizione lo strumento delle privative industriali: diritto d’autore, brevetto, marchio, modello o disegno, modello di utilità, topografia di un circuito a semiconduttori.

In Europa, fondamentali sono gli articoli 102-quater e 102-quinquiesdella legge n.633 del 22 aprile 1941.

Il primo articolo sopracitato riguarda i seguenti punti:

I titolari di diritti d’autore e di diritti connessi possono apporre sulle opere o sui materiali protetti misure tecnologiche di protezione efficaci che comprendono tutte le tecnologie, i dispositivi o le componenti che, nel normale corso del loro funzionamento, sono destinati a impedire o limitare atti non autorizzati dai titolari dei diritti.
Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l’uso dell’opera o del materiale protetto sia controllato dai titolari tramite l’applicazione di un dispositivo di accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell’opera o del materiale protetto, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi l’obiettivo di protezione.

Nel secondo articolo citato invece, si riporta:

Informazioni elettroniche sul regime dei diritti possono essere inserite dai titolari di diritti d’autore e di diritti connessi nonché del diritto di cui all’art. 102-bis, comma 3, sulle opere o sui materiali protetti o possono essere fatte apparire nella comunicazione al pubblico degli stessi.
Le informazioni elettroniche sul regime dei diritti identificano l’opera o il materiale protetto, nonché l’autore o qualsiasi altro titolare dei diritti. Tali informazioni possono altresì contenere indicazioni circa i termini o le condizioni d’uso dell’opera o dei materiali, nonché qualunque numero o codice che rappresenti le informazioni stesse o altri elementi di identificazione.
Alla base di queste legge e normative giuridiche si arriva a concludere che, tramite la licenza d’uso, l’autore ha la possibilità di trasferire ciò che vuole, compresi i diritti di utilizzazione economici e di sfruttamento, modifica, traduzione, integrazione, fino a poterne modificare contenuto o anche il nome.

Concludendo, come già evidenziato precedentemente, le App non sono altro che software caratterizzati da semplicità e leggerezza, ed è a questa categoria che bisogna far riferimento per individuare la tutela giuridica alla quale soggiacciono.

Nel nostro ordinamento è stata così introdotta una tutela specifica per i programmi per elaboratori a seguito del recepimento della direttiva comunitaria 250/91/CEE, che si è esplicitata negli articoli 64-bis e seguenti della Legge sul Diritto d’Autore n.633/1941. La protezione accordata ai software, tuttavia, non fa riferimento al contenuto, ai principi o alle idee che soggiacciono al programma stesso, bensì fanno riferimento esclusivamente al modo in cui le istruzioni sono impartite.

Dott.ssa Luana Lorena Caggianelli