SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2012 Mob App Camp Vincenti
1. 10/30/2012
Mobile App & Cloud: come gestire la privacy
Marco Vincenti
(Avvocato del Foro di Milano)
AVVOCATI VINCENTI
ASSOCIAZIONE PROFESSIONALE
1
2. 10/30/2012
Agenda
1. Lo Studio e l’Avv. Marco Vincenti
2. La Mobile Economy
3. Application Mobile: sviluppo e commercializzazione
4. Appication Mobile e privacy
5. Il Codice privacy
6. App e cloud computing
7. Cloud Computing e Gruppo di lavoro dei garanti
europei
8. La proposta di regolamento europeo
9. Alcuni Studi internazionali
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 2
2012 - Tutti i diritti riservati
2
3. 10/30/2012
Lo Studio e l’Avv. Marco Vincenti
1. Sedi principale: Milano
2. Sedi operative:
Torino
1. Asti
3. Attività particolari dello studio:
1. Diritto IT
2. Diritto IP
3. Trattamento dei dati personali
4. Attività consulenza e assistenza stragiudiziale
5. Attività assistenza giudiziale
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 3
2012 - Tutti i diritti riservati
3
4. 10/30/2012
Introduzione
L'emergere delle piattaforme mobile-oriented e la convergenza della telefonia mobile e del 'web'
hanno creato un ecosistema ricco e dinamico che permette agli individui di sfruttare le
potenzialità della rete senza limitazioni connesse con il fattore spazio, e, tra l’altro, di modellare
e presentare identità personali on-line, offrendo la possibilità di entrare in contatto con comunità
di loro scelta, e di usufruire di innovative applicazioni e servizi.
Tali attività sono rese possibili grazie al (più o meno consapevole) trasferimento / utilizzo dei dati
personali, a livello mondiale, che avviene tra le applicazioni, dispositivi e aziende attraverso le
Rete.
Queste possibilità costituiscono, da una parte uno strumento potente per modelli di business
innovativi e per la personalizzazione di applicazioni e servizi
Possono peraltro anche costituire uno strumento di accesso dannoso o occulto di dati personali
di un utente.
Ci sono seri rischi che possono compromettere la fiducia degli utenti nell’ecosistema digitale.
I problemi si possono verificare quando gli utenti non ricevono un’informazione chiara e
trasparente con l'accesso di un'applicazione e l'utilizzo dei propri dati personali, o quando non è
data la possibilità di esprimere la scelta consapevole ed un controllo sull'uso dei propri dati per
scopi secondari e oltre a quelle necessarie per il funzionamento di un'applicazione o un servizio.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 4
2012 - Tutti i diritti riservati
4
5. 10/30/2012
La Mobile Economy
Business ecosistema generato e favorito da:
rapida diffusione Smartphone,
proliferazione App e siti Mobile.
Contributo a sviluppo economico del Paese:
a livello infrastrutturale,
a livello di business,
a livello imprenditoriale.
Osservatorio Mobile Internet, Content & Apps
Politecnico di Milano, School of Management – Dipartimento di Ingegneria
gestionale MIP:
Mobie Internet,
Mobile Content & App
Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese,
Telco e Over the Top,
(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 5
2012 - Tutti i diritti riservati
5
6. 10/30/2012
Mobile Internet e Mobile Content & App
Mobile Internet
Si intende la navigazione da Cellulare / Smartphone, che supporta il
Mobile Web, ossia la navigazione su siti e Application Store.
Mobile Content & App
Si intendono contenuti e Applicazioni pensati appositamente per il
Mobile e fruiti tramite il Cellulare / Smartphone
Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese,
Telco e Over the Top,
(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 6
2012 - Tutti i diritti riservati
6
7. 10/30/2012
Application Mobile
Che cosa è un’App?
Proviamo a dare una definizione
Un'applicazione mobile è un software progettato per funzionare su smartphone,
tablet PC e altri dispositivi mobili. Sono disponibili attraverso piattaforme di
distribuzione delle applicazioni, che sono tipicamente gestiti dal proprietario del
sistema operativo mobile, come ad esempio l'Apple App Store, Google Play,
Windows Phone Store e BlackBerry App World. Alcune applicazioni sono
gratuite, mentre altre hanno un prezzo. Di solito, vengono scaricati dalla
piattaforma di un dispositivo di destinazione, ad esempio un iPhone, BlackBerry,
Android telefono o Windows Phone, ma a volte possono essere scaricati su
computer meno mobili, come laptop o desktop. (Fonte: Wikipedia)
Rilevanza economica
Implicazioni giuridiche
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 7
2012 - Tutti i diritti riservati
7
8. 10/30/2012
Lo sviluppo di una App: cenni
I soggetti coinvolti
Committente
Sviluppatore
Le problematiche giuridiche connesse
Contratto di sviluppo
Diritto d’autore
Diritto industriale
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 8
2012 - Tutti i diritti riservati
8
9. 10/30/2012
La commercializzazione di una App
I soggetti coinvolti
Fornitore
Utenti
Business
Consumer
Le problematiche giuridiche connesse
Contratto di fornitura di servizi informatici
Diritto d’autore e diritto industriale (marchi e segni
distintivi)
Commercio elettronico
Trattamento dei dati personali
Tutela del consumatore
Legge applicabile e foro competente
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 9
2012 - Tutti i diritti riservati
9
10. 10/30/2012
Application Mobile e Privacy
Rilevanza ai fini della normativa in materia di
trattamento dei dati personali
Definizione di trattamento di dati personali:
Ambito di applicazione del Codice in materia di dati
personali
De iure condendo
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 10
2012 - Tutti i diritti riservati
10
11. 10/30/2012
Il quadro giuridico di riferimento
(ordinamento italiano e comunitario)
Decreto Legislativo 30 giugno 2003, n. 196 – Codice in
materia di trattamento dei dati personali
Direttiva 2002/58/CE, relativa al trattamento dei dati
personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche
Direttiva 2009/136/CE del Parlamento europeo e del
Consiglio (che modifica, tra l’altro, la Direttiva
2002/58/CE) – attuato in Italia con D. Lgs. 28 maggio
2012, n. 169, che ha modificato il D. Lgs. 196/2003
Proposta di Regolamento generale sulla protezione dei
dati (vedi infra)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 11
2012 - Tutti i diritti riservati
11
12. 10/30/2012
Oggetto e ambito di applicazione del Codice
Privacy – in positivo
Il Trattamento di dati personali, anche detenuti all'estero,
effettuato da chiunque è stabilito Italia o in un luogo comunque
soggetto alla sovranità dello Stato italiano.
Il Trattamento di dati personali effettuato da chiunque è
stabilito nel territorio di un Paese non appartenente all'Unione
europea e impiega, per il trattamento, strumenti situati nel
territorio dello Stato italiano anche diversi da quelli elettronici,
salvo che essi siano utilizzati solo ai fini di transito nel territorio
dell'Unione europea
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 12
2012 - Tutti i diritti riservati
12
13. 10/30/2012
Trattamento
art. 4, co. 1, lett. a) Codice
Qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 13
2012 - Tutti i diritti riservati
13
14. 10/30/2012
Il Dato
art. 4, co. 1, lett. b), c), d) Codice
b) "dato personale", qualunque informazione relativa a
persona fisica, [persona giuridica, ente od associazione,]
identificata o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 14
2012 - Tutti i diritti riservati
14
15. 10/30/2012
Altre definizioni
a) "comunicazione elettronica", ogni informazione scambiata o
trasmessa tra un numero finito di soggetti tramite un servizio di
comunicazione elettronica accessibile al pubblico
c) “reti di comunicazione elettronica”, i sistemi di trasmissione e, se
del caso, le apparecchiature di commutazione o di instradamento e
altre risorse, inclusi gli elementi di rete non attivi, che consentono di
trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con
altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri
mobili e fisse a commutazione di circuito e a commutazione di
pacchetto, compresa Internet, le reti utilizzate per la diffusione
circolare dei programmi sonori e televisivi, i sistemi per il trasporto
della corrente elettrica, nella misura in cui siano utilizzati per
trasmettere i segnali, le reti televisive via cavo, indipendentemente
dal tipo di informazione trasportato
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 15
2012 - Tutti i diritti riservati
15
16. 10/30/2012
Altre definizioni
e) "servizio di comunicazione elettronica", i servizi consistenti
esclusivamente o prevalentemente nella trasmissione di
segnali su reti di comunicazioni elettroniche
g) "utente", qualsiasi persona fisica che utilizza un servizio di
comunicazione elettronica accessibile al pubblico, per motivi
privati o commerciali, senza esservi necessariamente
abbonata
h) "dati relativi al traffico", qualsiasi dato sottoposto a
trattamento ai fini della trasmissione di una comunicazione su
una rete di comunicazione elettronica o della relativa
fatturazione
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di
comunicazione elettronica o da un servizio di comunicazione
elettronica che indica la posizione geografica
dell'apparecchiatura terminale dell'utente di un servizio di
comunicazione elettronica accessibile al pubblico
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 16
2012 - Tutti i diritti riservati
16
17. 10/30/2012
Adempimenti preliminari
Informativa
Consenso
Misure di sicurezza
Trasferimento dati all’estero
Notificazione
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 17
2012 - Tutti i diritti riservati
17
18. 10/30/2012
Adempimenti preliminari
L’informativa (art. 13 Codice)
Preventiva
Non è prevista una modalità specifica
Contenuto (minimo):
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione
dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato
ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è
indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio
dei diritti di cui all'articolo 7, è indicato tale responsabile.
Contenuto eventuale: elementi previsti da specifiche disposizioni del Codice;
Può non comprendere:
a) gli elementi già noti alla persona che fornisce i dati o
b) elementi la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto
pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato
oppure di prevenzione, accertamento o repressione di reati.
Informativa / consenso: consenso informato -> trattamento lecito
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 18
2012 - Tutti i diritti riservati
18
19. 10/30/2012
Adempimenti preliminari
Il consenso
Il trattamento di dati personali da parte di privati o di
enti pubblici economici è ammesso solo con il
consenso espresso dell'interessato.
Il consenso può riguardare l'intero trattamento
ovvero una o più operazioni dello stesso.
Il consenso è validamente prestato solo se è
espresso liberamente e specificamente in riferimento
ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese
all'interessato le informazioni di cui all'articolo 13.
Il consenso è manifestato in forma scritta quando il
trattamento riguarda dati sensibili
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 19
2012 - Tutti i diritti riservati
19
20. 10/30/2012
Adempimenti preliminari
Il consenso - (Casi nei quali può essere effettuato il
trattamento senza consenso)
Il consenso non è richiesto quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge,
da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque, fermi restando i limiti e le
modalità che le leggi, i regolamenti o la normativa comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche,
trattati nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 20
2012 - Tutti i diritti riservati
20
21. 10/30/2012
Adempimenti preliminari
Garanzie per i dati sensibili
In linea generale:
consenso scritto dell'interessato
previa autorizzazione del Garante
osservanza dei presupposti e dei limiti stabiliti dal
Codice, nonché dalla legge e dai regolamenti
Autorizzazione individuale / Autorizzazioni generali
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 21
2012 - Tutti i diritti riservati
21
22. 10/30/2012
Adempimenti preliminari
Le misure di sicurezza
Obbligo di sicurezza (art. 31)
Obblighi relativi ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico (art.
32)
Adempimenti conseguenti ad una violazione di dati
personali) (Art. 32-bis)
Misure di sicurezza minime (art. 33)
Misure in relazione ai trattamenti effettuati con
strumenti elettronici (art. 34 – Allegato B)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 22
2012 - Tutti i diritti riservati
22
23. 10/30/2012
Adempimenti preliminari
La notificazione
Il titolare notifica al Garante il trattamento di dati
personali cui intende procedere, solo se il trattamento
riguarda:
(…) dati che indicano la posizione geografica di
persone od oggetti mediante una rete di
comunicazione elettronica;
La notificazione è effettuata con unico atto anche
quando il trattamento comporta il trasferimento
all'estero dei dati.
Il Garante inserisce le notificazioni ricevute in un
registro dei trattamenti accessibile a chiunque e
determina le modalità per la sua consultazione gratuita
per via telematica
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 23
2012 - Tutti i diritti riservati
23
24. 10/30/2012
Adempimenti preliminari
Modalità di notificazione
La notificazione del trattamento è presentata al Garante prima dell'inizio del
trattamento ed una sola volta, a prescindere dal numero delle operazioni e della
durata del trattamento da effettuare, e può anche riguardare uno o più
trattamenti con finalità correlate.
La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito
del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire
tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo
rappresentante, nonché le modalità per individuare il responsabile del
trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle
categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza
delle misure adottate per garantire la sicurezza del trattamento.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 24
2012 - Tutti i diritti riservati
24
25. 10/30/2012
Adempimenti preliminari
Trasferimento di dati all’estero
Trasferimenti all'interno dell'Unione europea (Art. 42)
Trasferimenti consentiti in Paesi terzi (Art. 43)
Altri trasferimenti consentiti (Art. 44)
Trasferimenti vietati (Art. 45)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 25
2012 - Tutti i diritti riservati
25
26. 10/30/2012
App – privacy e Cloud Computing
Insieme di tecnologie e di modalità di fruizione di servizi
informatici che favoriscono l’utilizzo e l’erogazione di software,
la possibilità di conservare ed elaborare grandi quantità di
informazioni via Internet.
La tecnologia Cloud consente il trasferimento della
conservazione o dell’elaborazione dei dati dai computer degli
utenti ai sistemi del fornitore. Il Cloud consente inoltre di
usufruire di servizi complessi, senza doversi necessariamente
dotare di risorse (tecniche o umane) di livello elevato.
Gestione in outsourcing a costi limitati (profilo privacy)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 26
2012 - Tutti i diritti riservati
26
27. 10/30/2012
TIPI DI CLOUD
PRIVATE CLOUD PUBLIC CLOUD
ALTRI TIPI DI CLOUD
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 27
2012 - Tutti i diritti riservati
27
28. 10/30/2012
MODELLI DI
SERVIZIO CLOUD
CLOUD CLOUD PLTFORM AS
INFRASTRUCTURE A SERVICE
AS S SERVICE
CLOUD SOFTWARE
AS A SERVICE
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 28
2012 - Tutti i diritti riservati
28
29. 10/30/2012
Alcuni spunti di riflessione (1)
In attesa di una normativa – nazionale ed
internazionale aggiornata ed uniforme, che
consenta di governare il fenomeno evitando il
rischio di penalizzare l’innovazione e la
potenzialità di sviluppo del Cloud – è opportuno
valutare con attenzione i rischi connessi con
l’adozione del Cloud, anche in relazione agli
aspetti connessi con la protezione dei dati
personali
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 29
2012 - Tutti i diritti riservati
29
30. 10/30/2012
Alcuni spunti di riflessione (2)
Designazione del fornitore dei servizi cloud quale
Responsabile da parte del Titolare,
Trasferimento di dai al di fuori dell’UE,
Sicurezza dei dati,
Diritti dell’interessato
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 30
2012 - Tutti i diritti riservati
30
31. 10/30/2012
App e Codice in materia di protezione dei dati
personali
Il Fornitore di una App è un Titolare che effettua
trattamenti dei dati personali degli utenti
(Interessati). Oggetto di trattamento possono essere
dati comuni e dati sensibili. Le App possono
consentire la localizzazione dell’utente.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 31
2012 - Tutti i diritti riservati
31
32. 10/30/2012
App e Codice in materia di protezione dei dati
personali (definizioni) (1)
Titolare
La persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine alle finalità,
alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza (Art. 4, co. 1, lett. f)
Codice)
Quando il trattamento è effettuato da una persona giuridica, da una
pubblica amministrazione o da un qualsiasi altro ente, associazione
od organismo, titolare del trattamento è l'entità nel suo complesso o
l'unità od organismo periferico che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza. (Art. 28 Codice)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 32
2012 - Tutti i diritti riservati
32
33. 10/30/2012
App e Codice in materia di protezione dei dati
personali (definizioni) (2)
Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo relativo alla
sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal
titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. (Art. 29
Codice)
Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle
istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata preposizione
della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito
del trattamento consentito agli addetti all'unità medesima. (Art. 30 Codice)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 33
2012 - Tutti i diritti riservati
33
34. 10/30/2012
App e Codice in materia di protezione dei dati
personali (definizioni) (3)
Interessato
La persona fisica, [la persona giuridica, l'ente o
l'associazione] cui si riferiscono i dati personali (Art. 4,
co. 1, lett. i) Codice)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 34
2012 - Tutti i diritti riservati
34
35. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei
Garanti Europei
Nonostante i riconosciuti benefici, la globale
diffusione dei servizi di cloud può far emergere
diversi problemi e rischi connessi con la protezione
dei dati personali (ad es.: perdita di controllo sui dati,
insufficiente informazione su come, dove e da chi
sono effettuare le operazioni)
Scelta del fornitore del servizio di cloud
Rapporto Titolare / fornitore servizio di cloud (Resp.
Ex art. 29 Codice), in un’ottica (interessato)privacy-
oriented: analisi dei rischi; aspetti informativi
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 35
2012 - Tutti i diritti riservati
35
36. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
Lack of control
Lack of information on processing (transparency)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 36
2012 - Tutti i diritti riservati
36
37. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
Mancanza di controllo
Trasmettendo dati personali ai sistemi gestiti da un
provider cloud, gli utenti potrebbero non essere più in
grado di esercitare il controllo esclusivo su questi dati
e non valutare le misure organizzative e tecniche
necessarie per garantire la disponibilità, l'integrità, la
riservatezza, trasparenza, isolamento, interoperabilità
e la portabilità dei dati.
Questa mancanza di controllo può manifestarsi in
diversi modi
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 37
2012 - Tutti i diritti riservati
37
38. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
Mancanza di informazioni sul trattamento
(trasparenza)
La carenza di informazioni circa le operazioni di
trattamento di un servizio cloud rappresenta un
rischio per la di controllo, nonché per le persone
interessate, perché potrebbero non essere a
conoscenza di potenziali minacce e rischi e, quindi,
non può adottare le misure che ritengono
appropriate.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 38
2012 - Tutti i diritti riservati
38
39. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Legal Framework
Data protection frame work
Applicable law
Duties and responsibilities of different players
Cloud client and cloud provider
Subcontractors
Data protection requirements in the client-provider relationship
Compliance with basic principles
Transparency
Purpose specification and limitation
Erasure of data
Contractual safeguards of the “controller”-“processor” relationship(s)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 39
2012 - Tutti i diritti riservati
39
40. 10/30/2012
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Legal Framework
Technical and organizational measures of data protection and data
security
Availability
Integrity
Confidentiality
Transparency
Isolation (purpose limitation)
Intervenability
Portability
Accountability
International transfers
Safe Harbor and adequate countries
Exemptions
Standard contractual clauses
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 40
2012 - Tutti i diritti riservati
40
41. 10/30/2012
Proposta Regolamento europeo
Aggiornamento della normativa, anche ai fini di
renderla più uniforme
Necessità di avvicinare le frontiere della protezione
dei dati, allontanate a causa degli incalzanti sviluppi
tecnologici
Necessità di instaurare un clima di fiducia negli
ambienti on line, in quanto la mancanza di fiducia
frena i consumatori dall’acquistare on line e utilizzare
i nuovi servizi
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 41
2012 - Tutti i diritti riservati
41
42. 10/30/2012
Proposta Regolamento europeo
Principi applicabili al trattamento di dati personali (art. 5)
Liceità del trattamento (art. 6)
Informazioni e comunicazioni trasparenti (art. 11)
Informazione dell’interessato (art. 14)
Diritto di accesso (art. 15)
Diritto di rettifica (art. 16)
Diritto all’oblio ed alla cancellazione (art. 17)
Diritto alla portabilità dei dati (art. 18)
Diritto di opposizione (art. 19)
Protezione fin dalla progettazione e protezione di default (art.
23)
Sicurezza del trattamento (art. 30)
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 42
2012 - Tutti i diritti riservati
42
43. 10/30/2012
Privacy in Cloud Computing (alcuni studi
internazionali)
ITU-T – Privacy in Cloud computing, Technology
Watch Report, March 2012
FPF – Mobile Apps Study, June 2012
GSMA – Mobile Privacy Principles (Document:
Promoting a user-centric privacy framework for the
mobile ecosystem) [vers. 1.0 – 2012]
GSMA – Mobile and Privacy (Privacy Design
Guidelines for Mobile Application Development)
[vers. 1.0 – 2012]
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 43
2012 - Tutti i diritti riservati
43
44. 10/30/2012
ITU-T – Privacy in Cloud computing, Technology Watch
Report, March 2012
Definizione “cloud” del National Institute of Standard
and Technology
5 key characteristics
3 delivery models
4 development models
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 44
2012 - Tutti i diritti riservati
44
45. 10/30/2012
FPF – Mobile Apps Study, June 2012
Future of privacy forum
Responsible data practices
Provide application developers with the tools and
resources necessary to implement esponsible
information collection ad use practise
“Best practises for Mobile Application developers
report”
App developers have begun to heed the call for
privacy policies
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 45
2012 - Tutti i diritti riservati
45
46. 10/30/2012
GSMA
Il GSMA rappresenta gli interessi degli operatori
dell'ecosistema di servizi mobili (ad es.: produttori di
telefonini, imprese di software, fornitori di
apparecchiature e società di Internet, organizzazioni
in settori industriali, servizi finanziari, sanità, media,
trasporti e servizi.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 46
2012 - Tutti i diritti riservati
46
47. 10/30/2012
GSMA – Mobile Privacy Principles
Il settore della tecnologia mobile e web sono in un processo di
convergenza senza precedenti.
innovazione tecnologica continua
rapido emergere di nuovi social media e applicazioni
Questi sviluppi offrono un enorme valore economico e sociale.
Un fattore critico per lo sviluppo sostenibile di questo eco-
sistema è un quadro solido ed efficace per la tutela della
privacy, in cui gli utenti possono continuare ad avere fiducia
nelle applicazioni e servizi mobili.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 47
2012 - Tutti i diritti riservati
47
48. 10/30/2012
GSMA – Mobile Privacy Principles
Legal Framework sono stati creati in molte parti del mondo per
affrontare i problemi di tutela della privacy e dei dati.
Queste leggi spesso variano da paese a paese.
Sfida continua per fornitori di servizi online e mobile che cercano di
comprendere e rispettare una miriade di legge nazionali, e allo
stesso tempo, di soddisfare le aspettative di privacy degli utenti.
Queste aspettative tendono a non essere geograficamente legate a
quadri giuridici specifici, in quanto gli utenti cercano un trattamento
coerente della loro privacy.
L'industria dovrebbe svolgere un ruolo centrale nella creazione di
standard di privacy coerenti e codici basati su principi concordati a
livello internazionale, che diano conto di proteggere la privacy degli
utenti mobili.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 48
2012 - Tutti i diritti riservati
48
49. 10/30/2012
GSMA – Mobile Privacy Principles
Openness, Transparency and Notice
Purpose and Use
User Choice and Control
Data Minimisation and Retention
Respect User Rights
Security
Education
Children and Adolescent
Accountability and Enforcement
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 49
2012 - Tutti i diritti riservati
49
50. 10/30/2012
GSMA – Guidelines for Mobile Application
Development (Scope and Purpuse)
Queste linee guida si applicano ai principi privacy di progettazione
per le applicazioni ed ai relativi servizi progettati per i dispositivi
mobili.
Esse sono destinate ad essere applicate a tutte le parti della catena
di distribuzione delle applicazioni o del servizio che consiste nella
raccolta e nel trattamento delle informazioni personali di un utente -
sviluppatori, produttori di dispositivi, piattaforme, e le aziende del
sistema operativo, gli operatori mobili, gli inserzionisti e le società di
analisi.
Creare esperienze di buona privacy e di fiducia per generare fiducia
negli utenti.
La chiave per realizzare questi obiettivi è un quadro solido ed
efficace per la tutela della privacy, sulla base dei principi di
trasparenza, scelta e controllo.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 50
2012 - Tutti i diritti riservati
50
51. 10/30/2012
GSMA – Guidelines for Mobile Application
Development
Queste linee guida consentono di adottare un approccio Privacy by Design e
hanno lo scopo di contribuire a garantire che le applicazioni mobili siano
sviluppate in modo da rispettare e tutelare la privacy degli utenti e le loro
informazioni personali.
Privacy by Design significa anche riconoscere che gli utenti hanno interessi
privacy (le aspettative, i bisogni, i desideri e le preoccupazioni) che devono
essere affrontate in modo proattivo fin dall'inizio e non come un
ripensamento o un 'add-on'. Le linee guida incoraggiano la consegna, lo
sviluppo e la gestione di applicazioni mobili che devono mettere gli utenti
prima e aiutarli a capire (almeno):
quali sono le informazioni personali di un applicazione mobile può accedere,
raccogliere e utilizzare
quali le informazioni saranno utilizzate per, e perché, e
come gli utenti possono esercitare scelta e il controllo su questo uso.
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 51
2012 - Tutti i diritti riservati
51
52. 10/30/2012
GSMA – Guidelines for Mobile Application
Development
Transparency, choice and control — putting the user
first
Data retention and security
Education
Social networking and social media
Mobile advertising
Location
Children and adolescents
Accountability and enforcement
SMAU Mob App Camp - Milano, 19/10/2012 AVVOCATI VINCENTI Associazione Professionale 52
2012 - Tutti i diritti riservati
52
53. 10/30/2012
GRAZIE PER L’ATTENZIONE!
CONTATTI
Avv. Marco VINCENTI
AVVOCATI VINCENTI
Associazione Professionale
Via Agostino Bertani, n. 2
20154 – Milano
tel: (+39) 02/33.60.42.85
fax: (+39) 02/34.69.10.24
info@avvocativincenti.it
marco.vincenti@avvocativincenti.it
Skype: marco.alessandro.vincenti
L’avv. Marco Vincenti è su Linkedin
SMAU Mob App Camp - AVVOCATI VINCENTI Associazione 53
Milano, 19/10/2012 Professionale - 2012 - Tutti i diritti riservati
53