Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
25/11/2025
Stai creando o gestendo un’applicazione mobile e vuoi essere sicuro che la privacy policy per App sia conforme al GDPR? In questa guida aggiornata al 2025, i nostri avvocati esperti in privacy ti illustrano in modo chiaro e completo:
quali dati personali le App raccolgono più frequentemente
quando è necessario il consenso dell’utente
come gestire i “doppi consensi” (installazione vs funzionalità)
come evitare trattamenti eccessivi e sanzionabili
quali informazioni deve contenere una informativa privacy per App a norma
dove e come renderla disponibile
come gestire i tempi di conservazione dei dati
Se invece ti occorrono indicazioni per un sito web o un ecommerce, consulta anche le nostre guide dedicate alla privacy policy per siti web e alla privacy policy per ecommerce.
Per generare una privacy policy affidabile e sempre aggiornata, puoi valutare il nostro generatore di privacy policy conforme al GDPR, scelto da migliaia di siti web e web agency.
SOMMARIO
Dati personali
Consenso dell'utente
Il consenso serve sempre
Evitare i trattamenti illeciti ed eccessivi
Esempio di trattamento illecito ed eccessivo
Contenuto della informativa privacy per App
Dove e come fornire la privacy policy
Periodo di conservazione
Come LegalBlink ti aiuta a genereare una informativa privacy per APP
LegalBlink
Il GDPR, in linea generale, non impone espressamente di elencare i dati personali oggetto di trattamento all’interno dell’informativa.
Nel caso delle App, però, questa informazione è considerata necessaria e altamente raccomandata.
A differenza dei siti web, infatti, le applicazioni mobile possono accedere a funzionalità del dispositivo molto più profonde e “sensibili” (es. geolocalizzazione, fotocamera, microfono). Per questo motivo l’utente deve poter conoscere in modo chiaro e immediato quali dati vengono raccolti e per quali scopi.
Molti sviluppatori ci chiedono supporto per individuare esattamente quali categorie di dati vengono trattate dalla loro App. La risposta dipende sempre dal caso concreto, dal tipo di servizio offerto e dalle funzionalità attivate.
Ecco un elenco delle categorie di dati personali che le App, più comunemente, possono raccogliere o utilizzare:
Geolocalizzazione
Contatti presenti sul dispositivo
Identificativi unici del dispositivo e dell’utente
Dati anagrafici o di identità
Numero di telefono
Dati di pagamento e carte di credito
Registro chiamate, SMS o messaggistica istantanea
Cronologia di navigazione o utilizzo
Indirizzo e-mail
Credenziali di autenticazione alla App
Foto, video e contenuti multimediali
Dati biometrici (es. riconoscimento facciale, impronte digitali)
Nella privacy policy è opportuno indicare quali dati vengono raccolti, perché, da quali fonti e per quali finalità. Questo aumenta la trasparenza, riduce il rischio di contestazioni e consente di ottenere un consenso valido e informato, come richiesto dal GDPR.
Nel caso dei siti web, alcune attività possono essere svolte senza richiedere il consenso dell’utente (ad esempio quando non si effettuano marketing o profilazione).
Per le App, invece, la situazione è diversa: nella maggior parte dei casi non è possibile installare un’applicazione senza il consenso preventivo dell’utente.
La base giuridica per l’installazione delle App è infatti quasi sempre il consenso, e non – come accade per altri contesti – l’adempimento di obblighi contrattuali o di legge.
È importante distinguere tra:
consenso necessario per installare l’App, e
consensi aggiuntivi richiesti per specifiche funzionalità che incidono sulla privacy dell’utente (geolocalizzazione, fotocamera, microfono, contatti, ecc.).
Ogni funzionalità “sensibile” richiede un consenso dedicato, granulare e separato.
Immaginiamo un’App che mostra ristoranti nelle vicinanze:
Consenso n.1 – Installazione
Serve per scaricare e utilizzare l’App.
Consenso n.2 – Geolocalizzazione
L’App può accedere ai dati di posizione solo quando l’utente utilizza la funzione che li richiede.
Il consenso alla geolocalizzazione non autorizza un tracciamento continuo del dispositivo.
Qualsiasi utilizzo ulteriore (es. raccolta costante dei dati in background) richiederebbe una nuova informativa e un consenso distinto.
La privacy policy deve specificare in modo trasparente:
per quali attività è richiesto il consenso
quali funzionalità richiedono consensi aggiuntivi
in quali casi il trattamento si basa su altre basi giuridiche
Una corretta gestione dei consensi – chiara, granulare e verificabile – è essenziale per la conformità al GDPR e per prevenire reclami o blocchi da parte degli store.
Dopo che l'utente ha prestato il consenso alla installazione dell'App non è necessario richiedere sempre il consenso per effettuare i servizi ai quali è dedicata l'App stessa.
Infatti, in questi contesti può rilevare una diversa base giuridica che legittima il trattamento dei dati personali: la necessità di adempiere prestazioni contrattuali richieste dall'utente.
Facciamo un esempio.
Un utente acconsente all'installazione di una app di mobile banking.
Per adempiere a una richiesta di effettuazione di un pagamento la banca non deve chiedere il consenso separato dell'utente a divulgare il suo nome e numero di conto bancario al beneficiario del pagamento. Queste informazioni sono strettamente necessarie per eseguire il contratto con questo specifico utente e pertanto la banca trova un fondamento giuridico nella necessità di adempiere a prestazioni contrattuali richieste dall'utente.
Stesso ragionamento vale per le App di comunicazione.
Quando queste App forniscono informazioni essenziali quali nome di account, indirizzo e-mail o numero di telefono a un altro individuo con cui l'utente desidera comunicare, la divulgazione è ovviamente necessaria per l'esecuzione del contratto.
Come abbiamo visto, vi sono diverse basi giuridiche che giustificano il trattamento dei dati dell'utente.
L'informativa privacy dell'applicazione dovrà indicare per quali attività è richiesto il consenso dell'utente e per quali il consenso non è richiesto (in quanto rileva una diversa base giuridica).
Il consenso dell’utente non legittima qualsiasi trattamento.
Anche quando l’utente ha accettato l’utilizzo dei propri dati, resta vietato qualunque trattamento che risulti:
eccessivo,
non pertinente,
sproporzionato rispetto alla finalità dichiarata, oppure
oggettivamente illecito secondo il GDPR.
Se un trattamento supera ciò che è strettamente necessario per erogare la funzionalità dell’App, il consenso non costituisce più una base giuridica valida. In questo caso lo sviluppatore si troverebbe comunque in violazione del GDPR, con rischio di sanzioni e contestazioni.
In altre parole: il consenso non è una “scorciatoia” per effettuare trattamenti superflui.
Ogni dato raccolto deve essere realmente indispensabile e coerente con lo scopo dell’App.
Per comprendere meglio quando un trattamento diventa eccessivo o sproporzionato, e quindi illecito anche in presenza del consenso, ecco alcuni casi pratici.
Un’app di sveglia offre una funzione opzionale che permette all’utente di spegnere l’allarme tramite un comando vocale.
In questo caso:
il consenso alla registrazione audio è valido solo mentre la sveglia è attiva;
qualsiasi registrazione o ascolto del microfono al di fuori del momento in cui l’allarme suona sarebbe eccessivo, non necessario e quindi vietato.
Un’app che serve esclusivamente ad accendere la luce del telefono non ha alcuna ragione per:
accedere alla geolocalizzazione,
leggere i contatti,
raccogliere identificativi pubblicitari.
Trattamenti del genere sarebbero chiaramente sproporzionati e privi di base giuridica.
Un’app dedicata al conteggio dei passi non dovrebbe raccogliere:
dati sul battito cardiaco,
parametri medici avanzati,
informazioni su stile di vita non pertinenti.
Se tali dati non sono indispensabili alla funzione offerta, il trattamento risulterebbe eccessivo.
La privacy policy per App è molto simile a quella di un sito web. Per tale ragione, ti invitiamo a leggere il nostro articolo dedicato specificatamente al contenuto della informativa privacy per siti web. Visto però il carattere particolarmente "invasivo" di molte App, è opportuno che l'informativa privacy sia particolarmente esaustiva su queste categorie di informazioni:
identità del titolare del trattamento (vale a dire il "proprietario" dell'App)
le precise categorie di dati personali oggetto di raccolta e trattamento,
per quali finalità vengono trattati i dati personali
se i dati saranno divulgati a terzi
in che modo l'utente può esercitare i suoi diritti previsti dal GDPR, in particolare su revoca del consenso e cancellazione di dati.
La disponibilità di queste informazioni è fondamentale per ottenere un consenso valido da parte dell'utente. La comunicazione di tali informazioni solo dopo che l'applicazione ha avviato il trattamento dei dati personali (spesso già durante l'installazione) non è ritenuta sufficiente, né legalmente valida ai sensi del GDPR.
Una privacy policy per App adeguata è importante quando l'applicazione tratta categorie particolari di dati personali, ad esempio, concernenti condizioni di salute, convinzioni politiche, orientamento sessuale, ecc.
Infine, la privacy policy dell'App dovrebbe differenziare chiaramente le informazioni obbligatorie e quelle facoltative e il sistema dovrebbe consentire all'utente di rifiutare l'accesso alle informazioni facoltative utilizzando opzioni predefinite rispettose della privacy.
L'informativa privacy per App dovrebbe comunicare se i dati saranno riutilizzati da terzi, e in tal caso per quali scopi.
Indicazioni generiche come "innovazione del servizio" sono inadeguate ai sensi del GDPR.
Occorre dichiarare apertamente se agli utenti sarà richiesto di acconsentire alla condivisione di dati con terzi per scopi pubblicitari e/o analitici.
La privacy policy dell'App deve essere disponibile prima della sua installazione tramite l'App store.
In secondo luogo, l'informativa privacy deve essere accessibile anche dall'interno della stessa App, dopo l'installazione.
Pertanto, l'App deve essere strutturata per poter ospitare una pagina contenente questa informativa.
Inoltre, è consigliabile presentare l'informativa privacy specifica dell'App anche sul normale sito del titolare del trattamento. In questo caso, sul sito internet vi saranno quindi due informative privacy: quella del sito web e quella dell'App.
L'informativa privacy dell'App deve informare per quanto tempo verranno conservati i dati personali. E' una informazione molto importante e che molto spesso manca del tutto nelle privacy policy di molte App. I tempi specifici dipendono dallo scopo dell'App e dalla rilevanza dei dati per l'utente.
Ad esempio, in un "calendar" o un'applicazione per la condivisione di foto, il periodo di conservazione solitamente è controllato dall'utente. Mentre per un App di navigazione può bastare archiviare solo gli ultimi 10 siti visitati di recente.
E' altresì necessario considerare i dati degli utenti che non usano l'applicazione da un lungo periodo di tempo. Può darsi che abbiano perso il cellulare o siano passati ad un altro telefonino senza disinstallare l'App da quello precedente.
L'informativa privacy per APP dovrebbe quindi indicare un periodo di tempo di inattività dopo il quale l'account sarà considerato scaduto e garantire che l'utente ne sia informato.
Alla scadenza di tale periodo di tempo, il titolare del trattamento dovrebbe avvertire l'utente e dargli la possibilità di recuperare i dati personali. Se l'utente non risponde, i suoi dati personali e relativi all'utilizzo dell'applicazione dovrebbero essere resi anonimi o cancellati in modo irreversibile.
Il periodo di promemoria dipende dalla finalità dell'applicazione e dal luogo dove sono archiviati i dati. Nel caso di dati archiviati sul dispositivo stesso, ad esempio un punteggio alto in un gioco, i dati si conservano finché resta installata l'applicazione. Nel caso di dati utilizzati solo una volta all'anno, come informazioni su una stazione sciistica, il periodo di promemoria potrebbe arrivare a 15 mesi.
Con Fast Legal ottieni subito tutti i documenti necessari grazie a un sistema automatico innovativo e sempre aggiornato.
Se invece preferisci un supporto completo, con Easy Merchant i nostri avvocati si occupano di tutto: redazione dei documenti, verifica delle pagine del tuo sito e un report dettagliato sulle criticità legali da correggere (ad esempio informazioni mancanti nel footer).
Entrambi i pacchetti includono:
aggiornamenti automatici
banner cookie conforme al GDPR
privacy policy, cookie policy e termini e condizioni per ecommerce
tutte le funzionalità indispensabili per essere online a norma
E se hai bisogno di assistenza continuativa in ambito ecommerce e digitale, il nostro team legale è sempre a tua disposizione.
Nota: scopri anche la nostra guida completa su come è strutturato un modello di privacy policy.
Come hai visto, il testo della informativa privacy per App ha un contenuto molto tecnico dal punto di vista legale. Se hai bisogno di assistenza legale, contattaci per email. I nostri legali sono tutti esperti in diritto digitale ed ecommerce e potranno offrirti l'assistenza legale di cui hai bisogno.
Ricorda inoltre che GDPR offre assistenza legale su ecommerce e digitale che possono interessare la tua impresa (contrattualistica, fiscalità e messa in sicurezza legale del sito ecommerce).
Team LegalBlink