CNIL: vademecum per applicazioni mobili più attente alla privacy

Nel settembre  2024 CNIL, l'Autorità francese per la protezione dei dati, ha pubblicato le indicazioni definitive cui i professionisti che progettano applicazioni mobili sono invitati ad attenersi per garantire agli utenti una migliore protezione della privacy. In particolare, la CNIL ha fatto una distinzione più chiara tra ciò che è obbligatorio - e si applica a tutti - e ciò che è una raccomandazione o una migliore pratica, al fine di fornire una maggiore certezza del diritto. Punto di riferimento in Europa per quanto riguarda il GDPR, CNIL ha elaborato queste “raccomandazioni” a seguito di una consultazione pubblica, tenuto conto dell'utilizzo massiccio di app nel quotidiano da parte dei cittadini francesi.

Considerato che le applicazioni mobili sono uno dei principali mezzi per accedere a contenuti e servizi digitali e che lo smartphone, per gli utenti, entra sempre più nella sfera privata, è fondamentale che tutti possano controllare i dati a cui hanno accesso le applicazioni mobili. Tuttavia, l'elaborazione dei dati implementata all'interno delle applicazioni può essere o apparire poco chiara. In particolare, le informazioni sull'esistenza di meccanismi di raccolte di dati e relative finalità spesso sono poco comprensibili. L'utente, quindi, potrebbe avere difficoltà nel capire la natura delle autorizzazioni richieste, il che ne complica le scelte.

Va ricordato che gli smartphone sono dotati di numerosi sensori più o meno noti agli utenti (fotocamera, GPS, microfono, ecc.) che possono consentire alle applicazioni di accedere a dati la cui raccolta può essere molto invasiva. Senza contare che, inoltre, sono molti gli attori coinvolti nel funzionamento di una singola app ed è pensabile che essi raccolgano o condividano dati personali.

Ecco dunque che, editori e sviluppatori di applicazioni mobili, così come fornitori di kit di sviluppo software e di sistemi operativi, nonché coloro che offrono piattaforme per scaricare nuove applicazioni, troveranno all'interno delle linee guida di CNIL i principi stabiliti dal GDPR da rispettare.

A partire dal 2025 in poi, l'Autorità francese controllerà che queste raccomandazioni siano state prese effettivamente in considerazione.

Le raccomandazioni

Gli obiettivi delle linee guida di CNIL per una migliore conformità al GDPR vertono, innanzitutto, a chiarire e inquadrare il ruolo di ciascuna parte interessata. Le raccomandazioni specificano, infatti, la divisione delle responsabilità tra le parti coinvolte nell'ecosistema mobile, chiarendo i rispettivi obblighi nel fornire certezza giuridica, unitamente a consigli pratici su come gestire la collaborazione. Le linee guida puntano anche al miglioramento delle informazioni degli utenti sull'uso dei loro dati, informazioni che dovrebbero essere sempre chiare, accessibili e presentate al momento giusto all'interno dell'applicazione.

A tal fine, vengono forniti consigli e presentate best practices alle parti interessate, per garantire che gli utenti capiscano se le autorizzazioni richieste sono davvero necessarie per il funzionamento dell'applicazione. CNIL specifica, inoltre, che il consenso al trattamento dei dati deve essere informato e non forzato.

Le applicazioni devono perciò ottenere il consenso anche per i dati che non sono necessari al loro funzionamento (ad esempio, per scopi pubblicitari), chiarendo le condizioni alle quali deve essere richiesto il consenso, che può essere negato o, in un secondo momento, anche ritirato. Infine, le raccomandazioni CNIL indicano in quale modo la raccolta del consenso può essere articolata con il sistema delle autorizzazioni tecniche, ovvero quelle progettate da fornitori di sistemi operativi, che consentono all'utente di dare o bloccare l'accesso a determinate informazioni (ad esempio contact book, geolocalizzazione, microfono, fotocamera, ecc.), indipendentemente dagli scopi per i quali potrebbero essere utilizzate (pubblicità, statistiche, tecniche, ecc.).

Particolarmente significativo è il fatto che, per la prima volta, questo lavoro ha portato la CNIL a deferire formalmente la questione all'Autorità francese per la concorrenza (ADLC), in considerazione della crescente interazione tra protezione dei dati personali e diritto della concorrenza. Il rinvio all'ADLC, che segue la dichiarazione congiunta siglata dalle due autorità a dicembre 2023, è la prima espressione concreta degli impegni assunti dalle due istituzioni che riaffermano il desiderio condiviso di sviluppare e sfruttare le sinergie nel quadro delle loro missioni di regolatori, per un'industria digitale responsabile ed equa. Ecco spiegate le interazioni tra le raccomandazioni e la considerazione delle questioni della concorrenza. CNIL sottolinea poi che le indicazioni devono essere applicate in conformità con la legge sulla concorrenza e il Digital Market Act (DMA).

Nei prossimi mesi, CNIL fornirà supporto al settore, in particolare attraverso webinar, con l'obiettivo di far sfruttare al meglio le regole e le garanzie stabilite nelle linee guida e attuare le misure necessarie per garantire che siano effettivamente rispettate. Dall'inizio della primavera 2025, CNIL avvierà infine una campagna investigativa specifica sulle applicazioni mobili per verificare il rispetto delle norme applicabili.