Nell’era della digitalizzazione dei servizi, dove l’incontro tra domanda e offerta si sta massivamente spostando sul world wide web, è necessario porre la dovuta attenzione ai profili di protezione dei dati personali degli individui, troppo spesso ignari – perché poco, male o per nulla informati – delle innumerevoli potenzialità a disposizione di siti web e applicazioni mobili in merito alla raccolta di grandi quantità di informazioni personali da fonti per lo più eterogenee.
Nel mese di ottobre sono stati pubblicati i risultati di un’indagine internazionale volta ad esaminare proprio l’uso dei dati personali da parte di 455 fra siti web e applicazioni mobili, in diversi settori di attività (viaggi, vendite al dettaglio, salute, finanza, social media, gaming, etc.). L’indagine prende il nome di “sweep” ed è stata condotta dal Global Privacy Enforcement Network (“GPEN”) – la rete internazionale di cui è parte anche il Garante per la protezione dei dati personali (“Garante”) – che riunisce le autorità privacy nazionali di diversi paesi, al fine di rafforzare la loro cooperazione sulle tematiche di data protection.
Nell’ambito dell’indagine, le autorità riunite sotto il GPEN hanno concentrato la propria azione sul controllo che gli utenti hanno in merito alle proprie informazioni personali, andando dunque ad analizzare nel dettaglio le privacy policy di siti web e applicazioni mobili. Le 24 autorità che hanno fornito i risultati della propria indagine (incluso il Garante, che si è concentrato sul settore bancario in Italia) hanno riscontrato che le privacy policy, sebbene siano spesso facilmente raggiungibili e verosimilmente trasparenti nello specificare i dati e/o le categorie di dati raccolti, forniscono tuttavia informazioni complessivamente generiche e poco dettagliate.
Di seguito i punti di maggiore criticità:
· Non viene specificato l’ambito di condivisione/comunicazione dei dati con terze parti: in molti casi mancano i riferimenti alla comunicazione a terzi dei dati personali degli utenti, oppure non si specificano quali dati sono oggetto di condivisione;
· Sono assenti le specifiche sui profili di sicurezza e di conservazione dei dati raccolti: nella maggior parte dei casi, non è chiaro dove e come vengono conservati i dati raccolti;
· Mancano indicazioni chiare sull’utilizzo dei dati: le informazioni riportate nelle privacy policy sono troppo spesso fumose e alcuni titolari raccolgono i dati personali sulla base del consenso implicito degli utenti;
· Poco più della metà dei siti web e delle applicazioni mobili forniscono istruzioni sulla rimozione/cancellazione dei dati personali dai propri database, mentre invece poco più del 20% specifica se sussista una politica sulla conservazione dei dati raccolti;
· Poco più della metà dei siti web e delle applicazioni mobili informa chiaramente gli utenti sulle modalità di accesso ai propri dati personali.
L’indagine ha anche evidenziato che solo il 39% delle organizzazioni menziona l’utilizzo di processi decisionali automatizzati e che il 23% soltanto specifica come gli utenti possano contestare tali decisioni o richiedere l’intervento umano. L’indagine ha infine evidenziato che alcune organizzazioni che forniscono servizi a livello internazionale non chiariscono quale sia la normativa applicabile e che, in taluni casi, sono ancora presenti riferimenti normativi obsoleti.
Risulta dunque evidente come le privacy policy analizzate siano piuttosto carenti sia con riferimento alle informazioni che ad oggi dovrebbero essere presenti sulla base delle normative nazionali, sia con riferimento a quelle che, a partire dal 25 maggio 2018, dovranno necessariamente essere fornite agli utenti sulla base dell’art. 13 del GDPR. L’informativa, prima ancora di essere un obbligo di trasparenza (e dunque un adempimento normativo) per i titolari del trattamento, rappresenta un diritto per gli interessati – esattamente come ci suggerisce lo stesso GDPR in funzione della collocazione dell’art. 13 sotto il Capo dei “Diritti dell’interessato” – e come tale va tutelato, evitando pertanto formulazioni vaghe e inconcludenti, nonché lunghe clausole generiche che, troppo spesso, rappresentano un mero tentativo di (non) informare l’utente finale.
Se dunque l’informazione è un diritto, i titolari devono allora renderlo facilmente fruibile per gli interessati, anche per il tramite di modalità che siano al passo con le esigenze tecnologiche e l’attuale stile di vita dell’utente finale, adottando misure appropriate per fornire informazioni in modo conciso, trasparente, intellegibile e facilmente accessibile, mediante un linguaggio semplice e chiaro (si veda l’art. 12(1) del GDPR). Degno di nota è uno dei trend individuati nell’ambito dell’indagine in questione: in aggiunta alla privacy policy scritta, alcuni siti web hanno anche optato per un video informativo per spiegare la privacy policy in un linguaggio semplice e chiaro.
