0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Privacy policy per App: come generarla a norma di legge

22/03/2022

Privacy policy per App: requisiti e caratteristiche ai sensi del GDPR

 

Vuoi generare una privacy policy per App ai sensi del GDPR? Hai creato un applicazione e vuoi sapere come trattare i dati personali degli utenti?


In questo articolo spieghiamo le principali tematiche relative alla informativa privacy per App utili per evitare sanzioni o reclami degli utenti.

Se invece gestisci un sito vetrina oppure un e-commerce, ti consigliamo di leggere i nostri approfondimenti su come generare una informativa privacy per un sito web, oppure per un sito di commercio elettronico.


Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.

 

privacy policy per app
 

Vuoi genererare documenti legali per il tuo sito web, in modo veloce e professionale?


Con il pacchetto Fast Legal ottieni i documenti tramite un procedimento innovativo.

Mentre con il pacchetto Easy Merchant curano tutto i nostri legali (e ottieni anche un report sulle criticità legali da correggere nelle pagine del sito, es. informazioni mancanti nel footer). 

Ogni pacchetto comprende aggiornamenti automatici e tutte le funzionalità per essere online a norma  (banner cookie, privacy policy, cookie policy, termini e condizioni di vendita per ecommerce e molto altro!).

Inoltre, se hai esigenza di avere assistenza e consulenza legale in ambito ecommerce e digitale, i nostri consulenti sono sempre a tua disposizione!


La privacy policy per App deve indicate i dati personali oggetto di trattamento


Il GDPR non prevede l'obbligo di indicare i dati personali oggetto di trattamento. Nel contesto delle App, però, è consigliabile indicare questa informazione. Infatti, a differenza del normale sito internet, le App sono molto più "invasive" nella vita dell'utente, il quale merita di essere informato anche su questo punto.

 

L'informativa privacy della tua App, quindi, dovrà indicare anche i dati personali oggetto di trattamento.

 

Molti sviluppatori ci contattano per avere conferma di quali dati personali sono oggetto della loro App. 

Ovviamente non si può prescindere dal caso concreto. 


Ad ogni modo, ecco qui un elenco di comunicazione dati personali oggetto di trattamento da parte delle applicazioni più comuni:
 

  • Ubicazione
  • Contatti
  • Codici identificativi univoci del dispositivo e dell'utente
  • Identità dell'utente
  • Numero di telefono
  • Carta di credito e dati di pagamento
  • Registro delle chiamate, SMS o messaggistica istantanea
  • Cronologia di navigazione
  • E-mail
  • Credenziali di autenticazione all'App 
  • Fotografie e filmati
  • Dati biometrici (ad es. riconoscimento facciale e modelli di impronte digitali).

 

Il consenso dell'utente

 

E' sempre necessario ottenere il consenso dell'utente per trattare i suoi dati personali?


Quando abbiamo analizzato la privacy policy di un sito vetrina, abbiamo visto che alcuni siti non hanno bisogno del consenso dell'utente. Sono i siti che non effettuano marketing o profilazione.


Con le App il discorso è diverso: nella stragrande maggioranza dei casi non è possibile installare un'App senza il previo consenso dell'utente.


Questo perchè la base giuridica per installare le più comuni App è proprio il consenso dell'utente (non l'adempimento a obblighi di legge per esempio).


Inoltre, un conto è il consenso per installare l'App, diverso è il consenso per le diverse funzioni dell'App che possono incidere sulla privacy dell'utente.


Esempio di "doppi consensi"


Un'App fornisce informazioni sui ristoranti nelle vicinanze.


Per l'installazione, lo sviluppatore deve ottenere il consenso dell'utente. Per accedere ai dati di geolocalizzazione, lo sviluppatore deve chiede il consenso separatamente, ad esempio durante l'installazione o prima di accedere alla geolocalizzazione.


Quindi è possibile accedere a dati di geolocalizzazione dal dispositivo solo quando l'utente utilizza l'applicazione a tale scopo. Il consenso dell'utente al trattamento di dati di geolocalizzazione non permette all'applicazione di raccogliere costantemente dati sull'ubicazione dal dispositivo. Questo ulteriore trattamento richiederebbe informazioni aggiuntive e un consenso separato.


La privacy policy dell'App dovrà indicare che i dati potranno essere trattati solo in presenza di questi consensi.

 

Dopo l'installazione dell'App, il consenso serve sempre?


Dopo che l'utente ha prestato il consenso alla installazione dell'App non è necessario richiedere sempre il consenso per effettuare i servizi ai quali è dedicata l'App stessa.


Infatti, in questi contesti può rilevare una diversa base giuridica che legittima il trattamento dei dati personali: la necessità di adempiere prestazioni contrattuali richieste dall'utente.


Esempio di fondamento giuridico contrattuale


Facciamo un esempio.

Un utente acconsente all'installazione di una app di mobile banking.

Per adempiere a una richiesta di effettuazione di un pagamento la banca non deve chiedere il consenso separato dell'utente a divulgare il suo nome e numero di conto bancario al beneficiario del pagamento. Queste informazioni sono strettamente necessarie per eseguire il contratto con questo specifico utente e pertanto la banca trova un fondamento giuridico nella necessità di adempiere a prestazioni contrattuali richieste dall'utente.


Stesso ragionamento vale per le App di comunicazione.


Quando queste App forniscono informazioni essenziali quali nome di account, indirizzo e-mail o numero di telefono a un altro individuo con cui l'utente desidera comunicare, la divulgazione è ovviamente necessaria per l'esecuzione del contratto.


Cosa deve indicare l'informativa privacy dell'App sul consenso?


Come abbiamo visto, vi sono diverse basi giuridiche che giustificano il trattamento dei dati dell'utente. 


L'informativa privacy dell'applicazione dovrà indicare per quali attività è richiesto il consenso dell'utente e per quali il consenso non è richiesto (in quanto rileva una diversa base giuridica).

 

Evitare i trattamenti eccessivi e illeciti


Anche in presenza del consenso dell'utente, sono vietati trattamenti eccessivi o illeciti.


Se il trattamento è eccessivo e/o sproporzionato rispetto alla finalità, anche se l'utente vi ha acconsentito, lo sviluppatore dell'applicazione non disporrà di un fondamento giuridico valido, violando quindi il GDPR.

 

Esempio di trattamento dei dati eccessivo e illecito


Una App per la sveglia offre una funzione facoltativa per cui l'utente può dare l'ordine verbale di spegnere la sveglia o lasciarla in funzione "snooze". In questo esempio, il consenso alla registrazione sarebbe limitato a quando la sveglia suona. L'eventuale monitoraggio o registrazione o audio quando la sveglia non suona sarebbero considerati eccessivi e illeciti.

 

Il contenuto della informativa privacy per App

 

La privacy policy per App è molto simile a quella di un sito web.


Per tale ragione, ti invitiamo a leggere il nostro articolo dedicato specificatamente al contenuto della informativa privacy per siti web.


Visto però il carattere particolarmente "invasivo" di molte App, è opportuno che l'informativa privacy sia particolarmente esaustiva su queste categorie di informazioni:
 

  • identità del titolare del trattamento (vale a dire il "proprietario" dell'App) 

  • le precise categorie di dati personali oggetto di raccolta e trattamento,

  • per quali finalità vengono trattati i dati personali

  • se i dati saranno divulgati a terzi

  • in che modo l'utente può esercitare i suoi diritti previsti dal GDPR, in particolare su revoca del consenso e cancellazione di dati.


La disponibilità di queste informazioni è fondamentale per ottenere un consenso valido da parte dell'utente.


La comunicazione di tali informazioni solo dopo che l'applicazione ha avviato il trattamento dei dati personali (spesso già durante l'installazione) non è ritenuta sufficiente, né legalmente valida ai sensi del GDPR.


Una privacy policy per App adeguata è importante quando l'applicazione tratta categorie particolari di dati personali, ad esempio, concernenti condizioni di salute, convinzioni politiche, orientamento sessuale, ecc.


Infine, la privacy policy dell'App dovrebbe differenziare chiaramente le informazioni obbligatorie e quelle facoltative e il sistema dovrebbe consentire all'utente di rifiutare l'accesso alle informazioni facoltative utilizzando opzioni predefinite rispettose della privacy.


Il ruolo di terze parti


L'informativa privacy per App dovrebbe comunicare se i dati saranno riutilizzati da terzi, e in tal caso per quali scopi.
 

Indicazioni generiche come "innovazione del servizio" sono inadeguate ai sensi del GDPR.


Occorre dichiarare apertamente se agli utenti sarà richiesto di acconsentire alla condivisione di dati con terzi per scopi pubblicitari e/o analitici.

 

Dove e come fornire l'informativa privacy per App


La privacy policy dell'App deve essere disponibile prima della sua installazione tramite l'App store. 


In secondo luogo, l'informativa privacy deve essere accessibile anche dall'interno della stessa App, dopo l'installazione.


Pertanto, l'App deve essere strutturata per poter ospitare una pagina contenente questa informativa.


Inoltre, è consigliabile presentare l'informativa privacy specifica dell'App anche sul normale sito del titolare del trattamento. In questo caso, sul sito internet vi saranno quindi due informative privacy: quella del sito web e quella dell'App.

 

L'informativa privacy per App deve indicare il periodo di conservazione


L'informativa privacy dell'App deve informare per quanto tempo verranno conservati i dati personali.


E' una informazione molto importante e che molto spesso manca del tutto nelle privacy policy di molte App.


I tempi specifici dipendono dallo scopo dell'App e dalla rilevanza dei dati per l'utente.


Ad esempio, in un "calendar" o un'applicazione per la condivisione di foto, il periodo di conservazione solitamente è controllato dall'utente. Mentre per un App di navigazione può bastare archiviare solo gli ultimi 10 siti visitati di recente.


E' altresì necessario considerare i dati degli utenti che non usano l'applicazione da un lungo periodo di tempo. Può darsi che abbiano perso il cellulare o siano passati ad un altro telefonino senza disinstallare l'App da quello precedente.


L'informativa privacy dovrebbe quindi indicare un periodo di tempo di inattività dopo il quale l'account sarà considerato scaduto e garantire che l'utente ne sia informato.


Alla scadenza di tale periodo di tempo, il titolare del trattamento dovrebbe avvertire l'utente e dargli la possibilità di recuperare i dati personali. Se l'utente non risponde, i suoi dati personali e relativi all'utilizzo dell'applicazione dovrebbero essere resi anonimi o cancellati in modo irreversibile.


Il periodo di promemoria dipende dalla finalità dell'applicazione e dal luogo dove sono archiviati i dati. Nel caso di dati archiviati sul dispositivo stesso, ad esempio un punteggio alto in un gioco, i dati si conservano finché resta installata l'applicazione. Nel caso di dati utilizzati solo una volta all'anno, come informazioni su una stazione sciistica, il periodo di promemoria potrebbe arrivare a 15 mesi.

 

Hai bisogno di assistenza legale su GDPR e App?


Come hai visto, il testo della informativa privacy per App ha un contenuto molto tecnico dal punto di vista legale. Se hai bisogno di assistenza legale, CONTATTACI.


I nostri legali sono tutti esperti in diritto digitale ed ecommerce e potranno offrirti l'assistenza legale di cui hai bisogno.


Ricorda inoltre che GDPR offre assistenza legale su ecommerce e digitale che possono interessare la tua impresa (contrattualistica, fiscalità e messa in sicurezza legale del sito ecommerce).

Team LegalBlink