Garante francese per la protezione dei dati personali – CNIL: Raccomandazioni riguardo all’utilizzo di APP.

Premesso che:

“App” è l’abbreviazione del termine informatico Applicazione. Nello specifico settore “Mobile” per App si intende una applicazione o un programma creato per essere installato su dispositivi Cellulari o Mobili che interagisce con i componenti del cellulare e con l’utente che lo utilizza.

la normativa italiana ed europea prevede un divieto generale di trattare i dati appartenenti a “categorie particolari di dati”, tra cui rientrano quelli sulla salute, ad eccezione di alcuni casi esplicitamente indicati – ad esempio per motivi di interesse pubblico o per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria – e solo in seguito all’adozione di particolari garanzie.

Il Garante italiano per la protezione dei dati in tema di applicazioni mobili in materia sanitaria ha pubblicato un Compendio sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app.pdf.

Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti:

1. dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica);
2. dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti);
3. dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app e ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale. Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Un paragrafo, infine, è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.[1]  

Considerato che:

• le applicazioni mobili sono una delle principali modalità di accesso a contenuti e servizi digitali. Per gli utenti, il telefono cellulare multifunzione (o “smartphone”), è il terminale personale per definizione, rientra nella sfera privata e intima. È essenziale per tutti poter controllare i dati a cui le applicazioni mobili hanno accesso. Tuttavia, il trattamento dei dati effettuato all’interno delle applicazioni può essere o apparire opaco. In particolare, le informazioni sull’esistenza della raccolta dei dati e sui suoi obiettivi sono spesso poco chiare. Gli utenti possono avere difficoltà a comprendere la natura delle autorizzazioni che vengono loro richieste, il che rende più difficile esprimere le proprie scelte. Infine, i telefoni cellulari multifunzione sono dotati di un gran numero di sensori con cui gli utenti hanno più o meno familiarità (fotocamera, GPS, database dei contatti, accelerometri, ecc.), che possono consentire alle applicazioni di accedere a dati la cui raccolta può essere molto invasiva.
• per “applicazione mobile” ci si riferisce al software applicativo distribuito nell’ambiente dei telefoni cellulari multifunzione (o smartphone) e dei tablet, ossia terminali individuali e portatili che consentono l’accesso a Internet e, più spesso, alla rete telefonica e che possono essere utilizzati per installare ed eseguire applicazioni di terze parti. Questo concetto include tutti i tipi di applicazioni, sia che vengano utilizzate in un contesto privato che professionale. Queste applicazioni sono solitamente distribuite tramite piattaforme di distribuzione integrate nel terminale dai produttori ed eseguite sul terminale in modo isolato (modello “sandbox”). Le applicazioni possono accedere a un certo numero di funzioni e dati di sistema tramite interfacce di programmazione delle applicazioni (API) rese disponibili a questo scopo dal fornitore del sistema operativo (OS).
• Applicazione del Regolamento UE 2016/679 (RGPD) alle APP.

Per quanto attiene all’ambito di applicazione materiale, il RGPD si applica a tutti i trattamenti di dati personali effettuati dall’applicazione.

Per quanto attiene all’ambito di applicazione territoriale, il GDPR (articolo 3) stabilisce quanto segue: Il trattamento dei dati personali effettuato nell’ambito delle attività di soggetti (titolari o responsabili del trattamento) stabiliti nel territorio dell’Unione Europea (UE), è assoggettato al GDPR indipendentemente dal fatto che il trattamento avvenga o meno nell’UE. Ad esempio, il GDPR si applicherà al trattamento dei dati personali effettuato nell’ambito di un’applicazione pubblicata da un’azienda con sede esclusiva nel territorio dell’Unione Europea; Trattamento dei dati personali di persone fisiche nell’UE da parte di soggetti (titolari o responsabili del trattamento) che non sono stabiliti nell’UE, qualora le attività di trattamento riguardino (i) l’offerta di beni o servizi a tali persone nell’UE o (ii) il monitoraggio del comportamento di tali persone nell’UE.

Pertanto, il GDPR si applicherà al trattamento effettuato da un’applicazione destinata a persone nell’UE e che tratta i dati di queste stesse persone, anche se il trattamento è effettuato da soggetti situati al di fuori del territorio dell’Unione.

• I soggetti coinvolti nella messa a disposizione di applicazioni mobili devono garantire il rispetto dei loro obblighi in termini di protezione dei dati e dei diritti degli utenti. Gli attori sono i seguenti:
•  gli sviluppatori di applicazioni (alcuni dei quali possono scambiare dati). L’editore dell’applicazione può sviluppare l’applicazione internamente o affidarla a uno sviluppatore esterno. Nel primo caso, editore e sviluppatore sono la stessa cosa. Lo sviluppatore contribuisce a definire l’architettura e compie le scelte relative: scelta dell’SDK (trattasi di un insieme di strumenti di creazione specifici della piattaforma per sviluppatori).  Sono necessari componenti come debugger (software progettato per individuare ed eliminare gli errori di funzionamento di un sistema o di un programma), compilatori e librerie per creare il codice che viene eseguito su una piattaforma, un sistema operativo o un linguaggio di programmazione specifici, modalità di hosting, ecc.

Quali sono le operazioni di trattamento dei dati personali?

Partecipando allo sviluppo, lo sviluppatore dell’applicazione configura il futuro trattamento dei dati personali.

Partecipando alla sua manutenzione (test di pre-produzione, analisi dei dati, segnalazione degli errori, ecc.), lo sviluppatore può essere coinvolto in tutti i trattamenti di dati personali effettuati dall’applicazione e talvolta assumere una forma di responsabilità ai sensi del GDPR.

•  i fornitori di sistemi operativi. Il fornitore del sistema operativo (“OS”) fornisce il sistema operativo appositamente configurato installato sul dispositivo mobile dell’utente, nel quale l’applicazione verrà successivamente eseguita.

Quali sono le operazioni di trattamento dei dati personali?

Il sistema operativo genera identificatori specifici per ogni terminale o account utente specifico del sistema operativo che, da soli o combinati con altri dati, consentono di identificare l’utente per vari scopi: scopi tecnici per il funzionamento del terminale, tracciamento della pubblicità, ecc. Possono essere utilizzati per conto del fornitore del sistema operativo o trasmessi a terzi, in particolare agli editori di applicazioni. È anche attraverso le possibilità software offerte dal fornitore del sistema operativo che l’editor di un’applicazione può accedere ai vari sensori del terminale mobile (fotocamera, microfono, posizione del terminale, accelerometri, ecc.) e ai dati memorizzati sul terminale (rubrica, galleria fotografica, elenco delle applicazioni installate, ecc.)

• i gestori di negozi di applicazioni. Il fornitore di application shop fornisce la piattaforma per la distribuzione online delle applicazioni. Questa piattaforma è accessibile sul terminale dell’utente da un sistema operativo compatibile (ad esempio, l’App Store per un terminale con sistema operativo iOS o il Play Store per un terminale con sistema operativo Android).

Quali sono le operazioni di trattamento dei dati personali?

La definizione di regole sulla procedura di verifica e convalida delle domande non implica in alcun modo il trattamento dei dati personali. D’altra parte, il negozio di applicazioni può essere tenuto a trattare i dati per i propri scopi, allo stesso modo di altre applicazioni mobili. In particolare, i negozi di applicazioni sono generalmente collegati a un account utente, rendendo possibile almeno l’installazione di aggiornamenti dell’applicazione.

• gli editori di kit di sviluppo software (SDK) collegati a social network o funzionalità tecniche. In questo caso, l’editore mette l’applicazione a disposizione degli utenti (di solito tramite un negozio di applicazioni) per offrire i propri prodotti o servizi. Definisce anche il modello di business.

Quali sono le operazioni di trattamento dei dati personali?

Nella maggior parte dei casi, l’editore tratta dati personali durante l’utilizzo della sua applicazione: dati tecnici di connessione, dati forniti dall’utente o già presenti sul suo terminale, dati desunti dalla navigazione dell’utente, ecc. Questi dati possono essere necessari per la fornitura di un bene o di un servizio attraverso questa applicazione (dati di contatto, dati di pagamento, dati di localizzazione, ecc.) o dati legati al funzionamento dell’applicazione stessa (dati tecnici per garantire il corretto funzionamento dell’applicazione, verifica della compatibilità della versione del sistema operativo, ecc.) L’editore può anche trasmettere i dati raccolti a terzi, in particolare ai fini della monetizzazione del proprio pubblico, attraverso vari mezzi specifici dell’ecosistema mobile (installazione di tracciatori specifici per l’ambiente mobile, fornitura dell’identificativo mobile dell’utente, ecc.).

Il Garante francese (CNIL) ha pubblicato un documento di raccomandazioni dedicato alla compliance delle APP, con particolare attenzione ai soggetti coinvolti al fine di determinare il loro status giuridico ai sensi del GDPR (responsabile del trattamento, corresponsabile del trattamento o incaricato del trattamento), al fine di comprendere meglio i loro obblighi. Gli obblighi, le raccomandazioni e le buone pratiche derivanti da queste qualifiche sono dettagliate nelle raccomandazioni del CNIL, all’interno delle sezioni dedicate a ciascun attore. Tuttavia, ogni attore è invitato a consultare non solo le raccomandazioni che lo riguardano, ma anche quelle rivolte ai suoi partner, per comprendere meglio gli obblighi di ciascuno.[2] Sulla scorta di quanto sopra esposto, si ravvisa che l’utilità delle raccomandazioni in parola sia dovuta al fatto che attraverso di esse è possibile svolgere una lettura “a contrario” che permette al titolare del trattamento (azienda o ente) di potere utilizzare gli strumenti forniti dal Garante francese per compiere la valutazione di impatto (DPIA), che l’utilizzo dell’App può produrre nei confronti dei diritti e delle libertà dei soggetti interessati – nel caso di una azienda sanitaria sono costituiti da soggetti appartenenti a categorie particolari (malati, anziani, minori, ecc.) oppure può riguardare i propri dipendenti -, necessaria a stabilire la conformità normativa dell’applicativo che viene proposto dal fornitore per l’erogazione del servizio.

Le raccomandazioni pubblicate dal Garante transalpino, una volta fatte proprie dal titolare del trattamento, consentono altresì all’azienda o ente di potere assumere una più solida postura relativa alla cybersicurezza nei confronti dei fornitori.

A tale riguardo si partecipano le seguenti prescrizioni a carico del Titolare del trattamento:

1. censire i trattamenti che avvengono per il tramite dell’utilizzo di APP;
2. per ciascuna App utilizzata acquisire almeno le seguenti informazioni:

2.1 capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando, a tale proposito, l’informativa sul trattamento dei dati personali.

Verificare:

2.2 chi tratterà i dati personali e con quali finalità;

2.3 la base giuridica del trattamento;

2.4 la presenza di specifica Informativa.

Accertare:

2.5 per quanto tempo verranno conservati i dati personali;

2.6 se i dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo;

3. procedere con la relativa analisi dei rischi e valutazione di impatto;
4. inserire nel registro dei trattamenti;
5. valutare se per il modello di designazione ai sensi dell’art. 28 GDPR e per il modello di Accordo Privacy, ai sensi dell’art. 26 del GDPR, attualmente in uso, debba essere prevista una specifica versione tale da regolamentare il trattamento dei dati personali attraverso un’applicazione o un programma creato per essere installato su dispositivi Cellulari o Mobili (APP).

In allegato alla presente comunicazione si trasmette l’Allegato 1 – Scheda Prodotto, la cui compilazione – a seconda dell’ambito di competenza – è a carico della UOC Sistemi Informativi e della UOC Ingegneria Clinica, che potranno avvalersi del supporto fornito dall’Ufficio Privacy, in aggiunta a quello fornito dalla funzione aziendale che ne ha richiesto l’utilizzo.

Allegato 1 – Scheda Prodotto

A carico delle UOC Sistemi informativi e UOC Ingegneria Clinica; per ciascuna APP redigere la seguente scheda riepilogativa

---

[1] (link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9997624 )

[2] (Il testo della raccomandazione è consultabile al seguente link: https://www.cnil.fr/en/mobile-applications-cnil-publishes-its-recommendations-better-privacy-protection )

[3]  Le Faq del 17 luglio 2018 in materia di “applications mobiles en santé et protection des donnes personnelles” della Commission Nationale de l’Informatique et des Libertés (CNIL), richiamate anche dal garante italiano, con riferimento al consenso, stabiliscono che: a)  se l’applicazione per smartphone fornisce servizi per il “benessere” dell’utente/paziente, è necessario che quest’ultimo presti il proprio consenso espresso e venga preventivamente informato in merito al trattamento dei suoi dati personali; b) il consenso dell’interessato/utente deve essere richiesto anche quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale. A tal fine, all’utente, non potrà essere richiesto di accettare, nello stesso tempo, le condizioni generali di utilizzo dell’applicazione medica e acconsentire al trattamento dei suoi dati personali; c) se l’applicazione medica viene utilizzata come strumento di assistenza sanitaria (ad esempio, un’applicazione utilizzata nel contesto di un dispositivo di telesorveglianza medica), il titolare del trattamento non dovrà, per questa finalità, chiedere all’utente di prestare il proprio consenso, in linea con quanto indicato anche dal Garante Privacy.