Smau Milano 2012 Mob App Camp Vincenti

10/30/2012

1

Marco Vincenti(Avvocato del Foro di Milano)

AVVOCATI VINCENTI ASSOCIAZIONE PROFESSIONALE

Mobile App & Cloud: come gestire la privacy

10/30/2012

2

1. Lo Studio e l’Avv. Marco Vincenti

2. La Mobile Economy

3. Application Mobile: sviluppo e commercializzazione

4. Appication Mobile e privacy

5. Il Codice privacy

6. App e cloud computing

7. Cloud Computing e Gruppo di lavoro dei garanti

europei

8. La proposta di regolamento europeo

9. Alcuni Studi internazionali

Agenda

SMAU Mob App Camp - Milano, 19/10/2012 2AVVOCATI VINCENTI Associazione Professionale

2012 - Tutti i diritti riservati

10/30/2012

3

1. Sedi principale: Milano

2. Sedi operative:Torino1. Asti

3. Attività particolari dello studio:1. Diritto IT2. Diritto IP

3. Trattamento dei dati personali

4. Attività consulenza e assistenza stragiudiziale

5. Attività assistenza giudiziale

Lo Studio e l’Avv. Marco Vincenti



10/30/2012

4

L'emergere delle piattaforme mobile-oriented e la convergenza della telefonia mobile e del 'web' hanno creato un ecosistema ricco e dinamico che permette agli individui di sfruttare le potenzialità della rete senza limitazioni connesse con il fattore spazio, e, tra l’altro, di modellare e presentare identità personali on-line, offrendo la possibilità di entrare in contatto con comunità di loro scelta, e di usufruire di innovative applicazioni e servizi.

Tali attività sono rese possibili grazie al (più o meno consapevole) trasferimento / utilizzo dei dati personali, a livello mondiale, che avviene tra le applicazioni, dispositivi e aziende attraverso le Rete.

Queste possibilità costituiscono, da una parte uno strumento potente per modelli di business innovativi e per la personalizzazione di applicazioni e servizi

Possono peraltro anche costituire uno strumento di accesso dannoso o occulto di dati personali di un utente.

Ci sono seri rischi che possono compromettere la fiducia degli utenti nell’ecosistema digitale.

I problemi si possono verificare quando gli utenti non ricevono un’informazione chiara e trasparente con l'accesso di un'applicazione e l'utilizzo dei propri dati personali, o quando non è data la possibilità di esprimere la scelta consapevole ed un controllo sull'uso dei propri dati per scopi secondari e oltre a quelle necessarie per il funzionamento di un'applicazione o un servizio.

Introduzione



10/30/2012

5

� Business ecosistema generato e favorito da:� rapida diffusione Smartphone,� proliferazione App e siti Mobile.

� Contributo a sviluppo economico del Paese:� a livello infrastrutturale,� a livello di business,� a livello imprenditoriale.

� Osservatorio Mobile Internet, Content & AppsPolitecnico di Milano, School of Management – Dipartimento di Ingegneria gestionale MIP:

� Mobie Internet,� Mobile Content & App

Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese, Telco e Over the Top,

(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)

La Mobile Economy



10/30/2012

6

� Mobile Internet� Si intende la navigazione da Cellulare / Smartphone, che supporta il

Mobile Web, ossia la navigazione su siti e Application Store.

� Mobile Content & App� Si intendono contenuti e Applicazioni pensati appositamente per il

Mobile e fruiti tramite il Cellulare / Smartphone

Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese, Telco e Over the Top,

(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)

Mobile Internet e Mobile Content & App



10/30/2012

7

� Che cosa è un’App?

� Proviamo a dare una definizione� Un'applicazione mobile è un software progettato per funzionare su smartphone,

tablet PC e altri dispositivi mobili. Sono disponibili attraverso piattaforme di distribuzione delle applicazioni, che sono tipicamente gestiti dal proprietario del sistema operativo mobile, come ad esempio l'Apple App Store, Google Play,

Windows Phone Store e BlackBerry App World. Alcune applicazioni sono gratuite, mentre altre hanno un prezzo. Di solito, vengono scaricati dalla piattaforma di un dispositivo di destinazione, ad esempio un iPhone, BlackBerry, Android telefono o Windows Phone, ma a volte possono essere scaricati su computer meno mobili, come laptop o desktop. (Fonte: Wikipedia)

� Rilevanza economica

� Implicazioni giuridiche

Application Mobile



10/30/2012

8

� I soggetti coinvolti� Committente� Sviluppatore

� Le problematiche giuridiche connesse� Contratto di sviluppo� Diritto d’autore

� Diritto industriale

Lo sviluppo di una App: cenni



10/30/2012

9

� I soggetti coinvolti� Fornitore� Utenti

� Business� Consumer

� Le problematiche giuridiche connesse� Contratto di fornitura di servizi informatici� Diritto d’autore e diritto industriale (marchi e segni

distintivi)� Commercio elettronico� Trattamento dei dati personali� Tutela del consumatore� Legge applicabile e foro competente

La commercializzazione di una App



10/30/2012

10

� Rilevanza ai fini della normativa in materia di

trattamento dei dati personali

� Definizione di trattamento di dati personali:

� Ambito di applicazione del Codice in materia di dati

personali

� De iure condendo

Application Mobile e Privacy



10/30/2012

11

� Decreto Legislativo 30 giugno 2003, n. 196 – Codice in materia di trattamento dei dati personali

� Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche

� Direttiva 2009/136/CE del Parlamento europeo e del Consiglio (che modifica, tra l’altro, la Direttiva 2002/58/CE) – attuato in Italia con D. Lgs. 28 maggio 2012, n. 169, che ha modificato il D. Lgs. 196/2003

� Proposta di Regolamento generale sulla protezione dei dati (vedi infra)

Il quadro giuridico di riferimento

(ordinamento italiano e comunitario)



10/30/2012

12

� Il Trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito Italia o in un luogo comunque soggetto alla sovranità dello Stato italiano.

� Il Trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato italiano anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea

Oggetto e ambito di applicazione del Codice

Privacy – in positivo



10/30/2012

13

Qualunque operazione o complesso di operazioni,

effettuati anche senza l'ausilio di strumenti

elettronici, concernenti la raccolta, la registrazione,

l'organizzazione, la conservazione, la consultazione,

l'elaborazione, la modificazione, la selezione,

l'estrazione, il raffronto, l'utilizzo, l'interconnessione,

il blocco, la comunicazione, la diffusione, la

cancellazione e la distruzione di dati, anche se non

registrati in una banca di dati

Trattamentoart. 4, co. 1, lett. a) Codice



10/30/2012

14

� b) "dato personale", qualunque informazione relativa a persona fisica, [persona giuridica, ente od associazione,] identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

� c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

� d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Il Datoart. 4, co. 1, lett. b), c), d) Codice



10/30/2012

15

� a) "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico

� c) “reti di comunicazione elettronica”, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato

Altre definizioni



10/30/2012

16

� e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche

� g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata

� h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione

� i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico

Altre definizioni



10/30/2012

17

� Informativa

� Consenso

� Misure di sicurezza

� Trasferimento dati all’estero

� Notificazione

Adempimenti preliminari



10/30/2012

18

� Preventiva� Non è prevista una modalità specifica� Contenuto (minimo):

a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che

possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato

ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

� Contenuto eventuale: elementi previsti da specifiche disposizioni del Codice;� Può non comprendere:

a) gli elementi già noti alla persona che fornisce i dati ob) elementi la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto

pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

� Informativa / consenso: consenso informato -> trattamento lecito


L’informativa (art. 13 Codice)



10/30/2012

19

� Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.

� Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

� Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.

� Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili


Il consenso



10/30/2012

20

� Il consenso non è richiesto quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;


Il consenso - (Casi nei quali può essere effettuato il

trattamento senza consenso)



10/30/2012

21

� In linea generale:

� consenso scritto dell'interessato� previa autorizzazione del Garante� osservanza dei presupposti e dei limiti stabiliti dal

Codice, nonché dalla legge e dai regolamenti

� Autorizzazione individuale / Autorizzazioni generali


Garanzie per i dati sensibili



10/30/2012

22

� Obbligo di sicurezza (art. 31)

� Obblighi relativi ai fornitori di servizi di

comunicazione elettronica accessibili al pubblico (art.

32)

� Adempimenti conseguenti ad una violazione di dati

personali) (Art. 32-bis)

� Misure di sicurezza minime (art. 33)

� Misure in relazione ai trattamenti effettuati con

strumenti elettronici (art. 34 – Allegato B)


Le misure di sicurezza



10/30/2012

23

� Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

� (…) dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

� La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.

� Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica


La notificazione



10/30/2012

24

� La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.

� La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:

a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;

b) la o le finalità del trattamento;c) una descrizione della o delle categorie di persone interessate e dei dati o delle

categorie di dati relativi alle medesime;d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;e) i trasferimenti di dati previsti verso Paesi terzi;f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza

delle misure adottate per garantire la sicurezza del trattamento.


Modalità di notificazione



10/30/2012

25

� Trasferimenti all'interno dell'Unione europea (Art. 42)

� Trasferimenti consentiti in Paesi terzi (Art. 43)

� Altri trasferimenti consentiti (Art. 44)

� Trasferimenti vietati (Art. 45)


Trasferimento di dati all’estero



10/30/2012

26

Insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software,

la possibilità di conservare ed elaborare grandi quantità di informazioni via Internet.

La tecnologia Cloud consente il trasferimento della conservazione o dell’elaborazione dei dati dai computer degli

utenti ai sistemi del fornitore. Il Cloud consente inoltre di usufruire di servizi complessi, senza doversi necessariamente

dotare di risorse (tecniche o umane) di livello elevato.

Gestione in outsourcing a costi limitati (profilo privacy)

App – privacy e Cloud Computing



10/30/2012

27



TIPI DI CLOUD

ALTRI TIPI DI CLOUD

PUBLIC CLOUDPRIVATE CLOUD

10/30/2012

28



MODELLI DI

SERVIZIO CLOUD

CLOUD SOFTWARE

AS A SERVICE

CLOUD PLTFORM AS

A SERVICE

CLOUD

INFRASTRUCTURE

AS S SERVICE

10/30/2012

29

In attesa di una normativa – nazionale ed

internazionale aggiornata ed uniforme, che

consenta di governare il fenomeno evitando il rischio di penalizzare l’innovazione e la

potenzialità di sviluppo del Cloud – è opportuno

valutare con attenzione i rischi connessi con l’adozione del Cloud, anche in relazione agli aspetti connessi con la protezione dei dati

personali

Alcuni spunti di riflessione (1)



10/30/2012

30

� Designazione del fornitore dei servizi cloud quale Responsabile da parte del Titolare,

� Trasferimento di dai al di fuori dell’UE,� Sicurezza dei dati,

� Diritti dell’interessato

Alcuni spunti di riflessione (2)



10/30/2012

31

Il Fornitore di una App è un Titolare che effettua

trattamenti dei dati personali degli utenti

(Interessati). Oggetto di trattamento possono essere

dati comuni e dati sensibili. Le App possono

consentire la localizzazione dell’utente.

App e Codice in materia di protezione dei dati

personali



10/30/2012

32

TitolareLa persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (Art. 4, co. 1, lett. f) Codice)

Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. (Art. 28 Codice)


personali (definizioni) (1)



10/30/2012

33

Responsabile del trattamento1. Il responsabile è designato dal titolare facoltativamente.2. Se designato, il responsabile è individuato tra soggetti che per esperienza,

capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. (Art. 29 Codice)

Incaricati del trattamento1. Le operazioni di trattamento possono essere effettuate solo da incaricati che

operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. (Art. 30 Codice)





10/30/2012

34

InteressatoLa persona fisica, [la persona giuridica, l'ente o l'associazione] cui si riferiscono i dati personali (Art. 4, co. 1, lett. i) Codice)





10/30/2012

35

� Nonostante i riconosciuti benefici, la globale

diffusione dei servizi di cloud può far emergere

diversi problemi e rischi connessi con la protezione

dei dati personali (ad es.: perdita di controllo sui dati,

insufficiente informazione su come, dove e da chi

sono effettuare le operazioni)

� Scelta del fornitore del servizio di cloud

� Rapporto Titolare / fornitore servizio di cloud (Resp.

Ex art. 29 Codice), in un’ottica (interessato)privacy-

oriented: analisi dei rischi; aspetti informativi

Il Cloud Computing ed il Gruppo di lavoro dei

Garanti Europei



10/30/2012

36

� Lack of control

� Lack of information on processing (transparency)

Il Cloud Computing ed il Gruppo di lavoro dei Garanti

Europei

Data protection risks of cloud computing



10/30/2012

37

Mancanza di controllo� Trasmettendo dati personali ai sistemi gestiti da un

provider cloud, gli utenti potrebbero non essere più in grado di esercitare il controllo esclusivo su questi dati e non valutare le misure organizzative e tecniche

necessarie per garantire la disponibilità, l'integrità, la riservatezza, trasparenza, isolamento, interoperabilità e la portabilità dei dati.

� Questa mancanza di controllo può manifestarsi in diversi modi


Europei




10/30/2012

38

Mancanza di informazioni sul trattamento

(trasparenza)

La carenza di informazioni circa le operazioni di

trattamento di un servizio cloud rappresenta un

rischio per la di controllo, nonché per le persone

interessate, perché potrebbero non essere a

conoscenza di potenziali minacce e rischi e, quindi,

non può adottare le misure che ritengono

appropriate.


Europei




10/30/2012

39

� Data protection frame work� Applicable law

� Duties and responsibilities of different players

� Cloud client and cloud provider� Subcontractors

� Data protection requirements in the client-provider relationship

� Compliance with basic principles� Transparency

� Purpose specification and limitation

� Erasure of data� Contractual safeguards of the “controller”-“processor” relationship(s)


Europei

Legal Framework



10/30/2012

40

� Technical and organizational measures of data protection and data security

� Availability

� Integrity� Confidentiality

� Transparency

� Isolation (purpose limitation)� Intervenability

� Portability

� Accountability� International transfers

� Safe Harbor and adequate countries

� Exemptions� Standard contractual clauses


Europei

Legal Framework



10/30/2012

41

� Aggiornamento della normativa, anche ai fini di

renderla più uniforme

� Necessità di avvicinare le frontiere della protezione

dei dati, allontanate a causa degli incalzanti sviluppi

tecnologici

� Necessità di instaurare un clima di fiducia negli

ambienti on line, in quanto la mancanza di fiducia

frena i consumatori dall’acquistare on line e utilizzare

i nuovi servizi

Proposta Regolamento europeo



10/30/2012

42

� Principi applicabili al trattamento di dati personali (art. 5)� Liceità del trattamento (art. 6)

� Informazioni e comunicazioni trasparenti (art. 11)� Informazione dell’interessato (art. 14)� Diritto di accesso (art. 15)

� Diritto di rettifica (art. 16)� Diritto all’oblio ed alla cancellazione (art. 17)

� Diritto alla portabilità dei dati (art. 18)� Diritto di opposizione (art. 19)

� Protezione fin dalla progettazione e protezione di default (art. 23)

� Sicurezza del trattamento (art. 30)

Proposta Regolamento europeo



10/30/2012

43

� ITU-T – Privacy in Cloud computing, Technology

Watch Report, March 2012

� FPF – Mobile Apps Study, June 2012

� GSMA – Mobile Privacy Principles (Document:

Promoting a user-centric privacy framework for the

mobile ecosystem) [vers. 1.0 – 2012]

� GSMA – Mobile and Privacy (Privacy Design

Guidelines for Mobile Application Development)

[vers. 1.0 – 2012]

Privacy in Cloud Computing (alcuni studi

internazionali)



10/30/2012

44

� Definizione “cloud” del National Institute of Standard

and Technology

� 5 key characteristics

� 3 delivery models

� 4 development models

ITU-T – Privacy in Cloud computing, Technology Watch Report, March 2012



10/30/2012

45

� Future of privacy forum

� Responsible data practices

� Provide application developers with the tools and

resources necessary to implement esponsible

information collection ad use practise

� “Best practises for Mobile Application developers

report”

� App developers have begun to heed the call for

privacy policies

FPF – Mobile Apps Study, June 2012



10/30/2012

46

Il GSMA rappresenta gli interessi degli operatori

dell'ecosistema di servizi mobili (ad es.: produttori di

telefonini, imprese di software, fornitori di

apparecchiature e società di Internet, organizzazioni

in settori industriali, servizi finanziari, sanità, media,

trasporti e servizi.

GSMA



10/30/2012

47

� Il settore della tecnologia mobile e web sono in un processo di convergenza senza precedenti.

� innovazione tecnologica continua� rapido emergere di nuovi social media e applicazioni� Questi sviluppi offrono un enorme valore economico e sociale.

� Un fattore critico per lo sviluppo sostenibile di questo eco-sistema è un quadro solido ed efficace per la tutela della

privacy, in cui gli utenti possono continuare ad avere fiducia nelle applicazioni e servizi mobili.

GSMA – Mobile Privacy Principles



10/30/2012

48

� Legal Framework sono stati creati in molte parti del mondo per affrontare i problemi di tutela della privacy e dei dati.

� Queste leggi spesso variano da paese a paese.

� Sfida continua per fornitori di servizi online e mobile che cercano di comprendere e rispettare una miriade di legge nazionali, e allo

stesso tempo, di soddisfare le aspettative di privacy degli utenti.

� Queste aspettative tendono a non essere geograficamente legate a quadri giuridici specifici, in quanto gli utenti cercano un trattamento

coerente della loro privacy.

� L'industria dovrebbe svolgere un ruolo centrale nella creazione di standard di privacy coerenti e codici basati su principi concordati a

livello internazionale, che diano conto di proteggere la privacy degli

utenti mobili.




10/30/2012

49

� Openness, Transparency and Notice

� Purpose and Use

� User Choice and Control

� Data Minimisation and Retention

� Respect User Rights

� Security

� Education

� Children and Adolescent

� Accountability and Enforcement




10/30/2012

50

� Queste linee guida si applicano ai principi privacy di progettazione per le applicazioni ed ai relativi servizi progettati per i dispositivi

mobili.

� Esse sono destinate ad essere applicate a tutte le parti della catena di distribuzione delle applicazioni o del servizio che consiste nella

raccolta e nel trattamento delle informazioni personali di un utente -

sviluppatori, produttori di dispositivi, piattaforme, e le aziende del sistema operativo, gli operatori mobili, gli inserzionisti e le società di

analisi.

� Creare esperienze di buona privacy e di fiducia per generare fiducia negli utenti.

� La chiave per realizzare questi obiettivi è un quadro solido ed

efficace per la tutela della privacy, sulla base dei principi di trasparenza, scelta e controllo.

GSMA – Guidelines for Mobile Application

Development (Scope and Purpuse)



10/30/2012

51

� Queste linee guida consentono di adottare un approccio Privacy by Design e

hanno lo scopo di contribuire a garantire che le applicazioni mobili siano

sviluppate in modo da rispettare e tutelare la privacy degli utenti e le loro

informazioni personali.

� Privacy by Design significa anche riconoscere che gli utenti hanno interessi

privacy (le aspettative, i bisogni, i desideri e le preoccupazioni) che devono

essere affrontate in modo proattivo fin dall'inizio e non come un

ripensamento o un 'add-on'. Le linee guida incoraggiano la consegna, lo sviluppo e la gestione di applicazioni mobili che devono mettere gli utenti

prima e aiutarli a capire (almeno):� quali sono le informazioni personali di un applicazione mobile può accedere,

raccogliere e utilizzare� quali le informazioni saranno utilizzate per, e perché, e

� come gli utenti possono esercitare scelta e il controllo su questo uso.


Development



10/30/2012

52

� Transparency, choice and control — putting the user

first

� Data retention and security

� Education

� Social networking and social media

� Mobile advertising

� Location

� Children and adolescents

� Accountability and enforcement


Development



10/30/2012

53

SMAU Mob App Camp -

Milano, 19/10/2012

AVVOCATI VINCENTI Associazione

Professionale - 2012 - Tutti i diritti riservati

53

GRAZIE PER L’ATTENZIONE!

CONTATTI

Avv. Marco VINCENTI

AVVOCATI VINCENTI

Associazione Professionale

Via Agostino Bertani, n. 2

20154 – Milano

tel: (+39) 02/33.60.42.85

fax: (+39) 02/34.69.10.24

[email protected]

[email protected]

Skype: marco.alessandro.vincenti

L’avv. Marco Vincenti è su Linkedin

Smau Milano 2012 Mob App Camp Vincenti

Technology

Transcript of Smau Milano 2012 Mob App Camp Vincenti