Le app mobile raccolgono e gestiscono sempre più, spesso in maniera indiretta e trasparente all’utente, una moltitudine di informazioni personali di vario genere tramite le quali è potenzialmente possibile identificare in modo più o meno accurato singole persone. Ciò pone serie questioni sulla tutela dei dati personali e la privacy degli utenti.
In particolare, la modalità di gestione in cloud dei dati personali raccolti ed elaborati dalle app mobile fa sì che un aspetto particolarmente considerato a livello normativo dall’Unione Europea sia quello relativo alla localizzazione dei data center in cui tali informazioni sono memorizzate. Dalle European Union Data Protection regulations all’EU-US Safe Harbor evoluto nel Privacy Shield di febbraio 2016, diversi passi sono stati fatti per regolare il trasferimento dei dati personali dei cittadini europei restringendolo a specifiche giurisdizioni territoriali.
In tale contesto, un importante contributo arriva da uno dei primi studi sull’analisi dei flussi trans-nazionali di dati personali condotto da alcuni ricercatori dell’Università Trento, della Fondazione Bruno Kessler e dei SAP Labs France.
Nello specifico, la ricerca ha interessato la distribuzione geografica dei server che gestiscono i dati personali raccolti da 1.498 applicazioni Android, di cui l’80% presente anche su iTunes, selezionate tra quelle più utilizzate nei paesi dell’area economica europea.
Tre le principali categorie di dati personali gestiti, individuate tramite un apposito software denominato PDTLoc (Personal Data Transfer Location Analyzer): dati sul dispositivo utilizzato, dati di rete e dati sui contenuti e informazioni sensibili (calendario, rubrica, video, immagini, file, sms, mms, impostazioni di sistema e registro chiamate) raccolti da oltre il 70% delle app considerate.
Tra le localizzazioni dei server coinvolti nel trasferimento dei dati personali, solo il 23% risiede nell’area economica europea mentre dominano gli Stati Uniti con oltre il 67% dei server analizzati. Seguono in misura limitata Cina, India, Russia, Giappone e Honk Kong.
Questi risultati sono fortemente indicativi del fatto che la maggior parte dei dati personali viaggia al di fuori dei confini europei.
Inoltre, il 16.5% delle app analizzate trasmette dati personali al di fuori dell’area economica europea senza il consenso degli utenti violando le normative comunitarie sul tema, mentre ben il 51% non fornisce alcun policy in materia di privacy non dando di fatto alcuna informazione agli utenti su come vengono utilizzati i loro dati personali.
In chiusura, lo studio suggerisce alcune azioni volte a rafforzare il controllo e la protezione dei flussi trans-nazionali di dati personali. Tra queste: rendere obbligatorio con il supporto di Google, Apple e Microsoft l’adozione di policy di privacy per tutte le app nei rispettivi marketplace; sviluppare meccanismi orientati a rimuovere tempestivamente le app segnalate come non conformi dalle autorità preposte alla protezione dei dati, sia a livello di marketplace che di singolo dispositivo tramite procedure di notifica automatica agli utenti.