Leggi anche:
Ue, nuove regole in vista per la privacy online
Attento, l'iPhone ti spia sempre

di Gabriele De Palma

Chi sei? Dove sei? Con chi parli? Di cosa ti occupi? Informazioni che interessano, e molto, gli inserzionisti pubblicitari e che siamo invitati sempre più a condividere ogni volta che ci registriamo a un servizio web o scarichiamo una App sul nostro smartphone. Domande lecite nella maggior parte dei casi, pericolosamente implicite in molti altri e – come insegna la recente cronaca – a volte addirittura mai poste anche nei casi in cui le informazioni vengano comunque raccolte. L'ultimo caso è quello che risale alla settimana scorsa con alcune diffusissime applicazioni per iPhone e iPad (tra cui Twitter) che ottenevano i dati presenti nella rubrica dei telefoni senza esplicito consenso da parte degli utenti, insomma nomi, cognomi, numeri di telefono e quant'altro. Ma nei mesi scorsi queste intrusioni hanno interessato anche altre piattaforme e negozi di applicazioni. Perché se già tramite il pc o il laptop la riservatezza dei nostri dati è a repentaglio (a causa del browser o delle estensioni da installare su di essi) nel caso di telefoni e tablet di ultima generazione il problema è ancora più grande, per la la relativa giovinezza del settore, per la geolocalizzazione che questi permettono e dal passaggio obbligato per i negozi di App: l'App Store di Apple e l'AndroidMarket di Google, largamente i più popolati di programmi e utenti, ma anche il WindowsPhone Market di Microsoft o l'Ovistore di Nokia.

App insidiose. Le insidie portate alla privacy dalle App sono infatti numerose e per difendersi meglio è necessaria una buona dose di consapevolezza di cosa succede quando scarichiamo, a pagamento o meno, un'applicazione. La prima insidia è dovuta alla sofisticazione di smartphone e tablet, che integrano ormai quasi tutti anche connessioni Gps o analoghi strumenti di geolocalizzazione – come la triangolazione delle celle, o dei segnali Wifi – che permettono di conoscere la nostra posizione in un dato istante (in tempo reale per di più). La seconda è che col fiorire di servizi “social”, gli utenti conservano molte più informazioni di prima nei dispositivi portatili. La terza è che l'ecosistema delle App prevede tre soggetti implicati: l'utente, il gestore della piattaforma di distribuzione e chi ha sviluppato l'applicazione. A complicare il tutto il fatto che per molti servizi i dati degli utenti vengono archiviati sulla cloud, e cioè la nuvola di server su cui finiscono contenuti e informazioni di molti di noi.

La posizione delle istituzioni. Delle possibili trappole si stanno occupando le istituzioni preposte, sia a livello nazionale che internazionale, anche se siamo ancora lontani da una normativa adeguata. In proposito, l'Autorità garante della privacy italiana ha pubblicato una scheda documentale ma, nel processo che porterà ad una regolamentazione vera e propria siamo ancora al momento dell'indagine conoscitiva. La Commissione Europea si è più volte espressa in materia e ha pronta una direttiva specifica. Ma i tempi sono lunghi e prima che si arrivi a una legislazione quantomeno europea c'è da attendere ancora un po'. E l'attesa si fa drammaticamente troppo lunga se si calcola l'incredibile ritmo con cui crescono sia la diffusione di smartphone e tablet e il traffico dati (nostri) su rete mobile. Anche negli Usa, dove il diritto alla privacy è meno radicato che in Europa, la Federal Communication Commission e la Federal Trade Commission si stanno interessando al mondo della App ed è notizia recentissima l'accordo sancito tra Apple, Google, Microsoft, Amazon, HP e RIM con l'Avvocatura dello stato della California che impone a chi fornisce App che utilizzino dati personali di avere quantomeno termini di servizio chiari in materia di trattamento degli stessi.
Permesso? Dal punto di vista dell'impostazione giuridica, la soluzione al problema più chiara sarebbe quella dell'esplicito consenso da parte degli utenti alla raccolta e al trattamento dei propri dati, come previsto dalla direttiva comunitaria sul trattamento dei dati personali nelle comunicazioni elettroniche. Si passerebbe così dalla modalità definita 'opt-out' – se l'utente non vuole che i propri dati vengano raccolti lo deve dichiarare esplicitamente – a quella dell'opt-in in base a cui di norma i miei dati non vengono raccolti a meno che non sia l'utente a chiederlo. Perché il sistema abbia efficacia però dovrebbe superare il limite della territorialità ed essere condiviso oltre che dalla Ue anche dagli Stati Uniti, dove hanno sede i colossi che gestiscono le piattaforme di App e la maggior parte dei provider di servizi internet. La stessa Apple ha annunciato che modificherà i criteri di ammissibilità all'AppStore in modo che possano accedervi solo le applicazioni che richiedano il consenso agli utenti.

La legge italiana.
Ma anche il consenso espresso non risolverebbe tutti i problemi. Ci sono infatti dei limiti, almeno nella legislazione italiana ed europea, che vanno al di là anche dell'opt-in. E riguardano proprio il caso legato alle rubriche conservate su smartphone e tablet. Come spiega a Sky.it Massimo Farina, docente di Diritto dell'Informatica presso l'Università di Cagliari, non tutti i dati di cui sono in possesso sono “miei”: "Anche se un'App accede alla rubrica dopo l'esplicito consenso dell'utente, non bisogna dimenticare che quei dati appartengono ad altri soggetti. Il codice della privacy regolamenta i rapporti solo tra l'interessato e chi tratta i dati e il consenso può essere dato solo sui propri dati. Quindi, per poter accedere legittimamente alle informazioni (nome, numero o numeri di telefono, indirizzo email etc) contenute nella rubrica, ci dovrebbe essere un consenso congiunto sia dell'utente che dei nominativi presenti tra i suoi contatti”. Senza contare che anche la modalità di espressione del consenso, tramite un click o un flag che è in voga nel mondo digitale è, a stretto rigore, inammissibile per i dati sensibili. “I consensi espressi attraverso un click non sempre sono leciti: il nostro ordinamento distingue quello per i dati comuni e quelli sensibili. Per quelli comuni il consenso può essere verbale o un click; per i dati sensibili invece il consenso con il click non va bene, ci vuole un consenso scritto. L'unica modalità digitale con valore di forma scritta è costituita dalla firma digitale. Quindi di fatto i consensi per il trattamento dei dati sensibili, concessi in altri modi, sarebbero da considerare non conformi a quanto imposto dalla normativa”.