L’utilizzo di applicazioni mobile comporta molto spesso il trattamento di dati personali: questi dati vengono forniti dagli utenti oppure raccolti direttamente dall’applicazione quando accede alle risorse presenti sul proprio smartphone o tablet. In quest’ultimo caso, l’applicazione richiede il consenso dell’utente attraverso un sistema messo a disposizione dai sistemi operativi: i permessi.
Cos’è il permesso?
I permessi di accesso (o “autorizzazioni”) implementati nel sistema operativo del terminale mobile sono dispositivi che consentono all’utente di farlo scegliere quali funzionalità e dati sono accessibili a ciascuna delle loro applicazioni mobili.
Grazie a questi dispositivi l’utente sceglie se consentire o meno l’accesso alle applicazioni ai sensori (accelerometro, posizione, luminosità, obiettivo fotografico, microfono, ecc.) o nella memoria (archiviazione di file, foto, video, suoni, rubrica, storie varie, ecc.) Sono terminali mobili.
La stragrande maggioranza delle autorizzazioni mirano solo a concedere o bloccare l’accesso tecnico a determinate risorse protette, senza tenere conto degli obiettivi (o scopi) per i quali le applicazioni lo richiedono. Si tratta quindi di permessi “tecnici” che non regolano l’uso per il quale le informazioni possono o meno essere trattate. Raccomandazioni della CNIL riguardano questo tipo di permessi.
► Vedi la raccomandazione sulle applicazioni mobili, parte 8.3.1.
Le autorizzazioni devono essere distinte dall’ottenimento del consenso
I permessi tecnici sono molto utili per il rispetto della privacy. Consentono agli utenti di bloccare tecnicamente l’accesso a determinati dati, garantendo così riservatezza delle informazioni. Questo meccanismo offre un modo semplice e diretto per preservare la propria privacy (vedi raccomandazione, parte 8.3.1, pag. 78).
Concretamente, accettando o rifiutando i permessi, l’utente capisce quali dati condivide con l’applicazione. Ciò gli consente di individuare richieste eccessivecome una torcia che chiede l’accesso ai contatti.
Tuttavia, tali permessi “tecnici” non sono finalizzati alla raccolta del consenso utenti, ai sensi del GDPR e della legge sulla protezione dei dati:
- In effetti, mirano solo a concedere o bloccare l’accesso alle risorse e alle informazioni protette del terminale mobile indipendentemente dagli scopi perseguiti dall’editore dell’applicazione. Il fornitore del sistema operativo suggerisce solo di spiegare nella richiesta il motivo per cui viene richiesto l’accesso. Questi Le autorizzazioni potrebbero quindi essere richieste in situazioni in cui il consenso dell’utente non è richiesto dalla normativa. Ad esempio, l’accesso alla posizione è esente dal consenso per il funzionamento stesso di un’applicazione di navigazione poiché questi dati sono necessari per il servizio. Tuttavia, il fornitore del sistema operativo richiede all’editore di richiedere l’autorizzazione per accedere a questi dati.
- Anche quando è richiesto il consenso, un semplice la richiesta di autorizzazione non sempre consente di ottenere un consenso libero, specifico, informato e inequivocabile, in conformità con il GDPR o la legge sulla protezione dei dati (articolo 82). È sufficiente solo in casi limitati, ad esempio se il consenso riguarda un unico trattamento, un’unica finalità e un unico destinatario dei dati (cfr. raccomandazione, parte 8.3.2). Nella maggior parte dei casi è necessario utilizzare una piattaforma di gestione del consenso oltre alla richiesta di autorizzazione.
Cosa ricordare delle raccomandazioni della CNIL in materia di autorizzazioni?
Best practice per i fornitori di sistemi operativi
La raccomandazione fornisce un certo numero di buone pratiche per i fornitori di sistemi operativi nel contesto dell’implementazione delle autorizzazioni, riguardanti operazioni che dovrebbero essere coperteIL ambito delle autorizzazioni o il livello informativo che dovrebbero consentire.
In particolare, i fornitori di sistemi operativi sono incoraggiati a progettare il proprio sistema di autorizzazioni in modo tale da consentire all’editore di scegliere l’ambito delle autorizzazioni nel modo più preciso possibile. Pertanto, un sistema di permessi ideale consente all’editor di farlo scegliere :
- IL grado di precisione i dati forniti a seconda della finalità perseguita (es: ubicazione più o meno precisa);
- IL ambito materiale autorizzazione (es: accesso alle foto selezionate anziché alla galleria multimediale globale);
- IL durata durante il rilascio dell’autorizzazione (es: attivazione dell’autorizzazione una tantum o per una durata predeterminata).
Lo scopo delle autorizzazioni è quello di consentire alle persone di avere il controllo sui propri dati ; non devono in nessun caso portare a favorire applicazioni progettate dal fornitore del sistema operativo.
► Vedi raccomandazione, parte 8.3
L’editore deve scegliere i permessi da implementare e identificare le situazioni in cui deve essere raccolto il consenso
L’editore deve scegli i permessi che desidera implementare per il funzionamento della sua applicazione. In questo senso, la raccomandazione orienta in primo luogo le scelte dell’editore dell’applicazione riguardo all’utilizzo dei permessi.
In particolare dovrà individuare:
- di volta in volta tra i permessi messi a disposizione dal sistema operativociò che consente di raggiungere gli obiettivi perseguiti, nel rispetto del principio di minimizzazione : quando il sistema operativo lo consente, la CNIL raccomanda all’editore di scegliere, per ogni autorizzazione, la versione meno invasiva che soddisfa le sue esigenze.
- in qualità di titolare del trattamento, le situazioni in cui la normativa richiede il consenso oltre all’autorizzazione imposta dal fornitore del sistema operativo. Per fare ciò, sarà necessario determinare se il l’elaborazione relativa ai permessi implica operazioni di lettura/scrittura che richiedono il consenso dell’utente (art. 82 Codice Privacy). In questo caso, implementare una piattaforma di gestione del consenso (« Piattaforma di gestione del consenso » o CMP) potrebbe essere necessario oltre alla richiesta di autorizzazione “tecnica”. La raccomandazione guida gli sviluppatori sul modalità per ottenere il consenso in questo quadro. A questo proposito, la CNIL ritiene una buona pratica raccogliere i consensi in modo contestuale sulla base delle azioni intraprese invece che su un’unica schermata iniziale.
► Vedi la raccomandazione sulle applicazioni mobili, parte 5.5 e parte 6.2.3, pp. 52-53
Come articolare autorizzazione e raccolta del consenso?
Quando all’utente vengono presentate sia una CMP che una richiesta di autorizzazione, la loro articolazione non deve generare confusione per questi ultimi.
Il consenso può essere ottenuto prima o dopo aver richiesto l’autorizzazione. Tuttavia, la CNIL raccomanda che il promotore, insieme all’editore responsabile del trattamento, si assicuri che tale articolazione avvenga in modo per promuovere la comprensione dell’utente.
L’infografica seguente specifica come può essere effettuata questa articolazione per evitare qualsiasi confusione per l’utente:
Visualizza l’infografica in formato PDF
Questo schema riguarda l’articolazione tra la finestra di richiesta (CMP) e i permessi tecnici, e non i permessi volti ad autorizzare o rifiutare il compimento di determinate azioni in vista di uno scopo specifico (permessi “per scopo”).
Come illustrato nello schema precedente, il titolare del trattamento è libero di scegliere l’ordine in cui presentare l’autorizzazione e la CMP (A o B).
Il titolare del trattamento, per dare esecuzione al proprio trattamento deve, da un lato, poter accedere tecnicamente ai dati (autorizzazione) e, dall’altro, dimostrare di aver ottenuto il consenso secondo i requisiti previsti dal GDPR (CMP ). Se l’una o l’altra di queste autorizzazioni non viene concessa, la CNIL consiglia di non visualizzare la seconda richiesta per evitare di sollecitare inutilmente gli utenti.
► Vedi raccomandazione, parte 6.2.3
Related News :