Privacy “nutrition labels”, trasparenza e protezione dei dati come responsabilità sociale d’impresa

di Paolo Balboni – pubblicato originariamente in lungua inglese sul blog personale di Paolo Balboni.

 

A fine giugno Apple ha annunciato un importante passo avanti strategico nella salvaguardia dei diritti alla privacy e alla protezione dei dati dei suoi utenti, attraverso una funzione di rafforzamento della privacy che ha chiamato “Privacy Nutrition label”.  Utilizzando icone in combinazione con un linguaggio semplice e chiaro, le informazioni fornite tramite l'”etichetta” pop-up di Apple hanno lo scopo di “aiutare gli utenti a comprendere le politiche sulla privacy di un’app prima di scaricarla” e “venire a conoscenza di alcuni dei tipi di dati che un’app può raccogliere, e se le informazioni vengono utilizzate per tracciarli o sono collegate alla loro identità o al loro dispositivo“.  Anche se non è una panacea per il diritto alla privacy, questa novità rappresenta un significativo spostamento verso la trasparenza nel mondo della tecnologia ed è una dimostrazione della crescente attenzione di Apple verso la privacy e la trasparenza in materia di protezione dei dati, così come del suo impegno a comportarsi in modo socialmente responsabile.

L’annuncio è arrivato in occasione della Worldwide Developers Conference, dove il responsabile della privacy degli utenti Apple, Erik Neuenschwander, ha annunciato virtualmente le nuove etichette sulla privacy che coprono sia “i dati a te riferiti” che “i dati usati per tracciarti”, richiedendo agli sviluppatori di app di auto-segnalare le informazioni sui dati personali che le loro app raccolgono, tra cui informazioni finanziarie, cronologia della navigazione, acquisti, dati sulla posizione e registrazioni con fotocamera e microfono. È importante sottolineare che gli utenti dovranno accettare tali autorizzazioni per consentire alle app di accedere ai dati rilevanti e di “tracciare gli utenti attraverso le app e i siti web di proprietà di altre aziende” che, secondo Apple, include la visualizzazione di pubblicità mirate nelle app sulla base dei dati degli utenti raccolti dalle app e dai siti web di proprietà di altre aziende.

Per saperne di più sull’“AppTrackingTransparency” per richiedere l’accesso ai dati relativi alle app per il tracciamento dell’utente o del dispositivo, consulta l’“Apple Developer Blog” qui.

Apple permetterà comunque il tracciamento degli utenti in assenza del loro consenso quando i dati dell’utente o del dispositivo tracciati dall’app sono collegati a dati di terze parti solo sul dispositivo dell’utente e quindi non vengono comunicati dal dispositivo in modo da poter identificare l’utente o il dispositivo, e quando i dati condivisi con un data broker vengono utilizzati a scopo di rilevamento e prevenzione delle frodi, o a fini di sicurezza per conto dello sviluppatore.

L’idea del Privacy Nutrition Label è fortemente allineata a quanto auspicato dal “Data Protection as a Corporate Social Responsibility Research Group” dell’Università di Maastricht nell’ambito dello sviluppo del Framework,* richiedendo alle organizzazioni di “Essere trasparenti con i cittadini sulla raccolta dei loro dati” (Principio 2 del DPCSR Framework), e più specificamente, invitandoli ad implementare tale trasparenza e a fornire adeguate informazioni agli interessati prima di iniziare il trattamento, (Principio 2, Regola 1: prima del trattamento, l’organizzazione utilizza icone (e suoni) per fornire informazioni facilmente visibili, intelligibili e chiaramente leggibili in merito al trattamento che si intende porre in essere. Le icone presentate elettronicamente devono essere leggibili da dispositivo informatico).

La trasparenza verso gli utenti in merito a quali dati vengono raccolti e come vengono utilizzati è intrinsecamente legata sia alla correttezza che al principio di responsabilizzazione (Accountability) ai sensi del GDPR. Promuovere la fiducia nei processi che riguardano le persone interessate, consentendo loro di comprendere e potenzialmente contestare tali processi “consente agli interessati di imputare la responsabilità al titolare e al responsabile del trattamento e di esercitare il controllo sui dati personali che li riguardano, ad esempio dando o revocando il consenso informato e attivando i loro diritti di interessati.” (Si veda l’Art 29 WP Guidelines on Transparency).

Si può sostenere che ciò che sta facendo Apple dia veramente vita al fondamentale concetto di protezione dei dati fin dalla progettazione (Data Protection by Design), richiedendo agli sviluppatori di app di migliorare proattivamente la trasparenza delle attività di trattamento dei dati svolte dalle loro app che Apple mette a disposizione per il download dal proprio store.

Ambienti come le app, che individuano e tracciano gli utenti, e nelle quali vengono raccolte, elaborate e condivise enormi quantità di dati (spesso senza che l’utente ne sia consapevole), presentano sfide significative per le organizzazioni, sia in termini di conformità legale che di rispetto dei diritti etici e fondamentali e dei principi di trasparenza, come quelli stabiliti dal GDPR e dalla Carta dei Diritti Fondamentali. È tempo di pensare fuori dagli schemi e di andare oltre a quanto prescritto dalla legge, per affrontare efficacemente questi problemi attraverso l’adozione di nuovi quadri normativi e/o l’adozione di strumenti innovativi per la trasparenza, di cui l’“Apple Nutrition Label” rappresenta un esempio recente.

In breve, accolgo con grande favore l’annuncio di Apple e attendo con ansia di vedere ulteriori potenziali implicazioni della sua decisione di aumentare la trasparenza del trattamento dei dati nell’ambiente app, che spero diventi presto una realtà quotidiana nella fornitura di prodotti e servizi online, anche grazie all’adozione da parte delle organizzazioni dell’imminente Maastricht Data Protection as Corporate Social Responsibility Framework.

*Il concetto di Protezione dei Dati come Responsabilità Sociale d’Impresa (Data Protection as a Corporate Social Responsibility) è stato da me sviluppato e promosso presso l’Università di Maastricht, dopo aver lanciato l’idea per la prima volta sul mio blog nel 2017. Attualmente, sto gestendo e supervisionando un progetto di ricerca a metodologia mista con il coinvolgimento di diversi Stakeholder presso l’Università di Maastricht, che mira a sviluppare un quadro che “inneschi una competizione virtuosa sulla protezione dei dati tra le aziende, creando un ambiente che identifichi e promuova la protezione dei dati come una risorsa che può essere utilizzata per aiutare le aziende a perseguire responsabilmente i loro obiettivi economici“. Per saperne di più sul progetto, consultare la pagina web dedicata dell’Università.