App e privacy

APP E PRIVACY ISTRUZIONI PER L'USO

Avv. Roberta Rapicavoli

QUATTRO DOMANDE SULLA PRIVACY...

1) CHI? 2) QUANDO? 3) COME? 4) PERCHE’?

Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it

...CHI

Titolare del trattamento “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”

Art. 4 lett. f) D. Lgs. 196/2003 (codice privacy)


...CHI

Con riferimento alle app mobile?

Il Titolare è la società “proprietaria dell’applicazione” che sviluppa o commissiona lo sviluppo di app, ne determina le finalità ed esercita il controllo sulle modalità del trattamento e le misure di sicurezza


...CHI

Con riferimento alle app mobile? Attenzione però agli ulteriori “attori”: -  Sviluppatori -  Distributori di applicazioni (app store) -  Produttori di sistemi operativi e dispositivi -  Altri terzi nel caso coinvolti


...CHI

“Un forte rischio per la protezione dei dati deriva inoltre dal grado di frammentazione tra i molti attori nello scenario dello sviluppo di applicazioni, che comprendono sviluppatori e proprietari di applicazioni, app store, produttori di sistemi operativi (OS) e dispositivi e altri soggetti terzi che possono essere coinvolti nella raccolta e nel trattamento di dati personali da dispositivi intelligenti, quali fornitori di servizi analitici e pubblicità”.

Parere del Gruppo di lavoro per la tutela dei dati del 27 febbraio 2013 “sulle applicazioni per i dispositivi intelligenti”


...QUANDO

Trattamento di dati personali Trattamento? qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

Art. 4 lett. a) D. lgs. 196/2003 (codice privacy)


...QUANDO

Trattamento di dati personali Dati personali? qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

Art. 4 lett. b) D. lgs. 196/2003 (codice privacy)


...QUANDO


DATI CONFERITI DIRETTAMENTE DALL’UTENTE


...QUANDO

DATI CONTENUTI NEI DISPOSITIVI



DATI CONTENUTI SUI DISPOSITIVI


Accesso o registrazione di informazioni sul terminale dell'utente

DIRETTIVA E-PRIVACY - ART. 122 CODICE PRIVACY

...COME

Rispetto dei principi di base previsti dal codice privacy: -  Liceità -  Finalità -  Necessità -  Proporzionalità


...COME

Rispetto dei principi di base previsti dal codice privacy:


-  I criteri per la progettazione dovrebbero comprendere l’attuazione del principio del privilegio minimo per default

-  Definizione del periodo di conservazione dei dati raccolti


...COME

Adempimenti previsti dalla normativa: -  Informativa (art. 13 codice privacy) -  Consenso (art. 23 codice privacy) -  Misure di sicurezza (artt. 31 e ss. codice privacy) -  Nomine (artt. 29 e 30 codice privacy)

-  Verifica preliminare (art. 17 codice privacy) -  Notificazione (art. 37 codice privacy)


INFORMATIVA PRIVACY


-  Deve contenere tutte le specifiche legate al trattamento

(indicate nell’art. 13 del codice privacy) -  Deve essere leggibile, comprensibile e facilmente

accessibile - Deve essere fornita prima del trattamento e poi resa

sempre accessibile

INFORMATIVA PRIVACY



In quale momento rendere disponibile il testo dell’informativa?

INFORMATIVA PRIVACY


“Naturalmente esistono alcune limitazioni alla quantità di informazioni che si possono presentare su un piccolo schermo, ma questo non giustifica il fatto di non informare adeguatamente gli utenti finali. Si possono adottare numerose strategie per garantire che gli utenti siano a conoscenza degli elementi fondamentali del servizio”

(Parere gruppo di lavoro 2/2013 citato)

• Informative multi-livello •  Link a informativa completa su sito web •  Finestre modali

INFORMATIVA PRIVACY


Ruoli fondamentali individuati dal gruppo di lavoro art. 29 Titolare trattamento: definizione contenuto e controllo su gestione informativa Sviluppatore: Programmazione e progettazione di idonee strutture per consentire la gestione dell’informativa nel sistema – “privacy by design” App store: Garantire un’informazione corretta

CONSENSO AL TRATTAMENTO


Il trattamento dei dati personali è ammesso solo con il consenso espresso dell’interessato salvo che ricorra una delle ipotesi di cui all’art. 24 del codice privacy



Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.



E’ sufficiente cliccare sul tasto “installa” per considerare acquisito il consenso al trattamento dei dati?



“Molti app store offrono agli sviluppatori l'opportunità di informare gli utenti finali in merito alle funzioni di base di un'applicazione prima della sua installazione e richiedono un'azione positiva dell'utente prima che l'applicazione venga scaricata e installata (ossia cliccare su un tasto "installa")”. Un'azione di questo tipo “è improbabile che fornisca informazioni sufficienti per la validità del consenso ai fini del trattamento di dati personali”

(Parere gruppo di lavoro 2/2013 citato)

GLOBAL PRIVACY SWEEP DAY


INDAGINE SVOLTA DA 26 AUTORITA' PER LA PRIVACY DI TUTTO IL MONDO

Preso in esame un campione di oltre 1200 app mobile dal 12 al 18 maggio 2014

GLOBAL PRIVACY SWEEP DAY


ALCUNI DEI RISULTATI: -  Nel 59% dei casi difficoltà nel reperire un'informativa privacy prima dell'installazione -  Per quasi 1/3 delle app (31%) problematici i termini del consenso

-  Nel 43% dei casi informativa privacy non adattata alle ridotte dimensioni del monitor

-  Assai contenuta (15%) la percentuale di app dotate di un'informativa privacy realmente chiara

... PERCHE’

Reputation e fidelizzazione -  Web reputation -  Acquisizione/fidelizzazione utenti -  Meccanismi di reputazione in base a sistema di

recensioni sulla privacy


... PERCHE’ Sanzioni amministrative ad esempio: -  Omessa o inidonea informativa: sanzione

amministrativa del pagamento di una somma da 6 a 36.000 euro (cfr. art. 161 codice privacy)

Responsabilità penali Ad esempio: -  Omessa adozione delle misure minime di sicurezza:

arresto sino a 2 anni


GRAZIE

[email protected]

LINKEDIN: Roberta Rapicavoli

@RRapicavoli

www.robertarapicavoli.it

App e privacy

Law

Transcript of App e privacy