smau milano 2012 mob app camp vincenti
DESCRIPTION
Smau Mob App CampTRANSCRIPT
10/30/2012
1
Marco Vincenti(Avvocato del Foro di Milano)
AVVOCATI VINCENTI ASSOCIAZIONE PROFESSIONALE
Mobile App & Cloud: come gestire la privacy
10/30/2012
2
1. Lo Studio e l’Avv. Marco Vincenti
2. La Mobile Economy
3. Application Mobile: sviluppo e commercializzazione
4. Appication Mobile e privacy
5. Il Codice privacy
6. App e cloud computing
7. Cloud Computing e Gruppo di lavoro dei garanti
europei
8. La proposta di regolamento europeo
9. Alcuni Studi internazionali
Agenda
SMAU Mob App Camp - Milano, 19/10/2012 2AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
3
1. Sedi principale: Milano
2. Sedi operative:Torino1. Asti
3. Attività particolari dello studio:1. Diritto IT2. Diritto IP
3. Trattamento dei dati personali
4. Attività consulenza e assistenza stragiudiziale
5. Attività assistenza giudiziale
Lo Studio e l’Avv. Marco Vincenti
SMAU Mob App Camp - Milano, 19/10/2012 3AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
4
L'emergere delle piattaforme mobile-oriented e la convergenza della telefonia mobile e del 'web' hanno creato un ecosistema ricco e dinamico che permette agli individui di sfruttare le potenzialità della rete senza limitazioni connesse con il fattore spazio, e, tra l’altro, di modellare e presentare identità personali on-line, offrendo la possibilità di entrare in contatto con comunità di loro scelta, e di usufruire di innovative applicazioni e servizi.
Tali attività sono rese possibili grazie al (più o meno consapevole) trasferimento / utilizzo dei dati personali, a livello mondiale, che avviene tra le applicazioni, dispositivi e aziende attraverso le Rete.
Queste possibilità costituiscono, da una parte uno strumento potente per modelli di business innovativi e per la personalizzazione di applicazioni e servizi
Possono peraltro anche costituire uno strumento di accesso dannoso o occulto di dati personali di un utente.
Ci sono seri rischi che possono compromettere la fiducia degli utenti nell’ecosistema digitale.
I problemi si possono verificare quando gli utenti non ricevono un’informazione chiara e trasparente con l'accesso di un'applicazione e l'utilizzo dei propri dati personali, o quando non è data la possibilità di esprimere la scelta consapevole ed un controllo sull'uso dei propri dati per scopi secondari e oltre a quelle necessarie per il funzionamento di un'applicazione o un servizio.
Introduzione
SMAU Mob App Camp - Milano, 19/10/2012 4AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
5
� Business ecosistema generato e favorito da:� rapida diffusione Smartphone,� proliferazione App e siti Mobile.
� Contributo a sviluppo economico del Paese:� a livello infrastrutturale,� a livello di business,� a livello imprenditoriale.
� Osservatorio Mobile Internet, Content & AppsPolitecnico di Milano, School of Management – Dipartimento di Ingegneria gestionale MIP:
� Mobie Internet,� Mobile Content & App
Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese, Telco e Over the Top,
(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)
La Mobile Economy
SMAU Mob App Camp - Milano, 19/10/2012 5AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
6
� Mobile Internet� Si intende la navigazione da Cellulare / Smartphone, che supporta il
Mobile Web, ossia la navigazione su siti e Application Store.
� Mobile Content & App� Si intendono contenuti e Applicazioni pensati appositamente per il
Mobile e fruiti tramite il Cellulare / Smartphone
Fonte: Osservatorio Mobile Internet, Content & Apps – “Mobile Internet & Apps: è boom Opportunità per tutti: Start-up e grandi imprese, Telco e Over the Top,
(di seguito, “Rapporto “Mobile Internet & Apps: è boom”)
Mobile Internet e Mobile Content & App
SMAU Mob App Camp - Milano, 19/10/2012 6AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
7
� Che cosa è un’App?
� Proviamo a dare una definizione� Un'applicazione mobile è un software progettato per funzionare su smartphone,
tablet PC e altri dispositivi mobili. Sono disponibili attraverso piattaforme di distribuzione delle applicazioni, che sono tipicamente gestiti dal proprietario del sistema operativo mobile, come ad esempio l'Apple App Store, Google Play,
Windows Phone Store e BlackBerry App World. Alcune applicazioni sono gratuite, mentre altre hanno un prezzo. Di solito, vengono scaricati dalla piattaforma di un dispositivo di destinazione, ad esempio un iPhone, BlackBerry, Android telefono o Windows Phone, ma a volte possono essere scaricati su computer meno mobili, come laptop o desktop. (Fonte: Wikipedia)
� Rilevanza economica
� Implicazioni giuridiche
Application Mobile
SMAU Mob App Camp - Milano, 19/10/2012 7AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
8
� I soggetti coinvolti� Committente� Sviluppatore
� Le problematiche giuridiche connesse� Contratto di sviluppo� Diritto d’autore
� Diritto industriale
Lo sviluppo di una App: cenni
SMAU Mob App Camp - Milano, 19/10/2012 8AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
9
� I soggetti coinvolti� Fornitore� Utenti
� Business� Consumer
� Le problematiche giuridiche connesse� Contratto di fornitura di servizi informatici� Diritto d’autore e diritto industriale (marchi e segni
distintivi)� Commercio elettronico� Trattamento dei dati personali� Tutela del consumatore� Legge applicabile e foro competente
La commercializzazione di una App
SMAU Mob App Camp - Milano, 19/10/2012 9AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
10
� Rilevanza ai fini della normativa in materia di
trattamento dei dati personali
� Definizione di trattamento di dati personali:
� Ambito di applicazione del Codice in materia di dati
personali
� De iure condendo
Application Mobile e Privacy
SMAU Mob App Camp - Milano, 19/10/2012 10AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
11
� Decreto Legislativo 30 giugno 2003, n. 196 – Codice in materia di trattamento dei dati personali
� Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche
� Direttiva 2009/136/CE del Parlamento europeo e del Consiglio (che modifica, tra l’altro, la Direttiva 2002/58/CE) – attuato in Italia con D. Lgs. 28 maggio 2012, n. 169, che ha modificato il D. Lgs. 196/2003
� Proposta di Regolamento generale sulla protezione dei dati (vedi infra)
Il quadro giuridico di riferimento
(ordinamento italiano e comunitario)
SMAU Mob App Camp - Milano, 19/10/2012 11AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
12
� Il Trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito Italia o in un luogo comunque soggetto alla sovranità dello Stato italiano.
� Il Trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato italiano anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea
Oggetto e ambito di applicazione del Codice
Privacy – in positivo
SMAU Mob App Camp - Milano, 19/10/2012 12AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
13
Qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati
Trattamentoart. 4, co. 1, lett. a) Codice
SMAU Mob App Camp - Milano, 19/10/2012 13AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
14
� b) "dato personale", qualunque informazione relativa a persona fisica, [persona giuridica, ente od associazione,] identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
� c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
� d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Il Datoart. 4, co. 1, lett. b), c), d) Codice
SMAU Mob App Camp - Milano, 19/10/2012 14AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
15
� a) "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico
� c) “reti di comunicazione elettronica”, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato
Altre definizioni
SMAU Mob App Camp - Milano, 19/10/2012 15AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
16
� e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche
� g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata
� h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione
� i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico
Altre definizioni
SMAU Mob App Camp - Milano, 19/10/2012 16AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
17
� Informativa
� Consenso
� Misure di sicurezza
� Trasferimento dati all’estero
� Notificazione
Adempimenti preliminari
SMAU Mob App Camp - Milano, 19/10/2012 17AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
18
� Preventiva� Non è prevista una modalità specifica� Contenuto (minimo):
a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato
ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
� Contenuto eventuale: elementi previsti da specifiche disposizioni del Codice;� Può non comprendere:
a) gli elementi già noti alla persona che fornisce i dati ob) elementi la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto
pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
� Informativa / consenso: consenso informato -> trattamento lecito
Adempimenti preliminari
L’informativa (art. 13 Codice)
SMAU Mob App Camp - Milano, 19/10/2012 18AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
19
� Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
� Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
� Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
� Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili
Adempimenti preliminari
Il consenso
SMAU Mob App Camp - Milano, 19/10/2012 19AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
20
� Il consenso non è richiesto quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
Adempimenti preliminari
Il consenso - (Casi nei quali può essere effettuato il
trattamento senza consenso)
SMAU Mob App Camp - Milano, 19/10/2012 20AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
21
� In linea generale:
� consenso scritto dell'interessato� previa autorizzazione del Garante� osservanza dei presupposti e dei limiti stabiliti dal
Codice, nonché dalla legge e dai regolamenti
� Autorizzazione individuale / Autorizzazioni generali
Adempimenti preliminari
Garanzie per i dati sensibili
SMAU Mob App Camp - Milano, 19/10/2012 21AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
22
� Obbligo di sicurezza (art. 31)
� Obblighi relativi ai fornitori di servizi di
comunicazione elettronica accessibili al pubblico (art.
32)
� Adempimenti conseguenti ad una violazione di dati
personali) (Art. 32-bis)
� Misure di sicurezza minime (art. 33)
� Misure in relazione ai trattamenti effettuati con
strumenti elettronici (art. 34 – Allegato B)
Adempimenti preliminari
Le misure di sicurezza
SMAU Mob App Camp - Milano, 19/10/2012 22AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
23
� Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
� (…) dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
� La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
� Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica
Adempimenti preliminari
La notificazione
SMAU Mob App Camp - Milano, 19/10/2012 23AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
24
� La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.
� La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;c) una descrizione della o delle categorie di persone interessate e dei dati o delle
categorie di dati relativi alle medesime;d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;e) i trasferimenti di dati previsti verso Paesi terzi;f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza
delle misure adottate per garantire la sicurezza del trattamento.
Adempimenti preliminari
Modalità di notificazione
SMAU Mob App Camp - Milano, 19/10/2012 24AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
25
� Trasferimenti all'interno dell'Unione europea (Art. 42)
� Trasferimenti consentiti in Paesi terzi (Art. 43)
� Altri trasferimenti consentiti (Art. 44)
� Trasferimenti vietati (Art. 45)
Adempimenti preliminari
Trasferimento di dati all’estero
SMAU Mob App Camp - Milano, 19/10/2012 25AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
26
Insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software,
la possibilità di conservare ed elaborare grandi quantità di informazioni via Internet.
La tecnologia Cloud consente il trasferimento della conservazione o dell’elaborazione dei dati dai computer degli
utenti ai sistemi del fornitore. Il Cloud consente inoltre di usufruire di servizi complessi, senza doversi necessariamente
dotare di risorse (tecniche o umane) di livello elevato.
Gestione in outsourcing a costi limitati (profilo privacy)
App – privacy e Cloud Computing
SMAU Mob App Camp - Milano, 19/10/2012 26AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
27
SMAU Mob App Camp - Milano, 19/10/2012 27AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
TIPI DI CLOUD
ALTRI TIPI DI CLOUD
PUBLIC CLOUDPRIVATE CLOUD
10/30/2012
28
SMAU Mob App Camp - Milano, 19/10/2012 28AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
MODELLI DI
SERVIZIO CLOUD
CLOUD SOFTWARE
AS A SERVICE
CLOUD PLTFORM AS
A SERVICE
CLOUD
INFRASTRUCTURE
AS S SERVICE
10/30/2012
29
In attesa di una normativa – nazionale ed
internazionale aggiornata ed uniforme, che
consenta di governare il fenomeno evitando il rischio di penalizzare l’innovazione e la
potenzialità di sviluppo del Cloud – è opportuno
valutare con attenzione i rischi connessi con l’adozione del Cloud, anche in relazione agli aspetti connessi con la protezione dei dati
personali
Alcuni spunti di riflessione (1)
SMAU Mob App Camp - Milano, 19/10/2012 29AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
30
� Designazione del fornitore dei servizi cloud quale Responsabile da parte del Titolare,
� Trasferimento di dai al di fuori dell’UE,� Sicurezza dei dati,
� Diritti dell’interessato
Alcuni spunti di riflessione (2)
SMAU Mob App Camp - Milano, 19/10/2012 30AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
31
Il Fornitore di una App è un Titolare che effettua
trattamenti dei dati personali degli utenti
(Interessati). Oggetto di trattamento possono essere
dati comuni e dati sensibili. Le App possono
consentire la localizzazione dell’utente.
App e Codice in materia di protezione dei dati
personali
SMAU Mob App Camp - Milano, 19/10/2012 31AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
32
TitolareLa persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (Art. 4, co. 1, lett. f) Codice)
Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. (Art. 28 Codice)
App e Codice in materia di protezione dei dati
personali (definizioni) (1)
SMAU Mob App Camp - Milano, 19/10/2012 32AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
33
Responsabile del trattamento1. Il responsabile è designato dal titolare facoltativamente.2. Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. (Art. 29 Codice)
Incaricati del trattamento1. Le operazioni di trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. (Art. 30 Codice)
App e Codice in materia di protezione dei dati
personali (definizioni) (2)
SMAU Mob App Camp - Milano, 19/10/2012 33AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
34
InteressatoLa persona fisica, [la persona giuridica, l'ente o l'associazione] cui si riferiscono i dati personali (Art. 4, co. 1, lett. i) Codice)
App e Codice in materia di protezione dei dati
personali (definizioni) (3)
SMAU Mob App Camp - Milano, 19/10/2012 34AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
35
� Nonostante i riconosciuti benefici, la globale
diffusione dei servizi di cloud può far emergere
diversi problemi e rischi connessi con la protezione
dei dati personali (ad es.: perdita di controllo sui dati,
insufficiente informazione su come, dove e da chi
sono effettuare le operazioni)
� Scelta del fornitore del servizio di cloud
� Rapporto Titolare / fornitore servizio di cloud (Resp.
Ex art. 29 Codice), in un’ottica (interessato)privacy-
oriented: analisi dei rischi; aspetti informativi
Il Cloud Computing ed il Gruppo di lavoro dei
Garanti Europei
SMAU Mob App Camp - Milano, 19/10/2012 35AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
36
� Lack of control
� Lack of information on processing (transparency)
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
SMAU Mob App Camp - Milano, 19/10/2012 36AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
37
Mancanza di controllo� Trasmettendo dati personali ai sistemi gestiti da un
provider cloud, gli utenti potrebbero non essere più in grado di esercitare il controllo esclusivo su questi dati e non valutare le misure organizzative e tecniche
necessarie per garantire la disponibilità, l'integrità, la riservatezza, trasparenza, isolamento, interoperabilità e la portabilità dei dati.
� Questa mancanza di controllo può manifestarsi in diversi modi
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
SMAU Mob App Camp - Milano, 19/10/2012 37AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
38
Mancanza di informazioni sul trattamento
(trasparenza)
La carenza di informazioni circa le operazioni di
trattamento di un servizio cloud rappresenta un
rischio per la di controllo, nonché per le persone
interessate, perché potrebbero non essere a
conoscenza di potenziali minacce e rischi e, quindi,
non può adottare le misure che ritengono
appropriate.
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Data protection risks of cloud computing
SMAU Mob App Camp - Milano, 19/10/2012 38AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
39
� Data protection frame work� Applicable law
� Duties and responsibilities of different players
� Cloud client and cloud provider� Subcontractors
� Data protection requirements in the client-provider relationship
� Compliance with basic principles� Transparency
� Purpose specification and limitation
� Erasure of data� Contractual safeguards of the “controller”-“processor” relationship(s)
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Legal Framework
SMAU Mob App Camp - Milano, 19/10/2012 39AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
40
� Technical and organizational measures of data protection and data security
� Availability
� Integrity� Confidentiality
� Transparency
� Isolation (purpose limitation)� Intervenability
� Portability
� Accountability� International transfers
� Safe Harbor and adequate countries
� Exemptions� Standard contractual clauses
Il Cloud Computing ed il Gruppo di lavoro dei Garanti
Europei
Legal Framework
SMAU Mob App Camp - Milano, 19/10/2012 40AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
41
� Aggiornamento della normativa, anche ai fini di
renderla più uniforme
� Necessità di avvicinare le frontiere della protezione
dei dati, allontanate a causa degli incalzanti sviluppi
tecnologici
� Necessità di instaurare un clima di fiducia negli
ambienti on line, in quanto la mancanza di fiducia
frena i consumatori dall’acquistare on line e utilizzare
i nuovi servizi
Proposta Regolamento europeo
SMAU Mob App Camp - Milano, 19/10/2012 41AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
42
� Principi applicabili al trattamento di dati personali (art. 5)� Liceità del trattamento (art. 6)
� Informazioni e comunicazioni trasparenti (art. 11)� Informazione dell’interessato (art. 14)� Diritto di accesso (art. 15)
� Diritto di rettifica (art. 16)� Diritto all’oblio ed alla cancellazione (art. 17)
� Diritto alla portabilità dei dati (art. 18)� Diritto di opposizione (art. 19)
� Protezione fin dalla progettazione e protezione di default (art. 23)
� Sicurezza del trattamento (art. 30)
Proposta Regolamento europeo
SMAU Mob App Camp - Milano, 19/10/2012 42AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
43
� ITU-T – Privacy in Cloud computing, Technology
Watch Report, March 2012
� FPF – Mobile Apps Study, June 2012
� GSMA – Mobile Privacy Principles (Document:
Promoting a user-centric privacy framework for the
mobile ecosystem) [vers. 1.0 – 2012]
� GSMA – Mobile and Privacy (Privacy Design
Guidelines for Mobile Application Development)
[vers. 1.0 – 2012]
Privacy in Cloud Computing (alcuni studi
internazionali)
SMAU Mob App Camp - Milano, 19/10/2012 43AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
44
� Definizione “cloud” del National Institute of Standard
and Technology
� 5 key characteristics
� 3 delivery models
� 4 development models
ITU-T – Privacy in Cloud computing, Technology Watch Report, March 2012
SMAU Mob App Camp - Milano, 19/10/2012 44AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
45
� Future of privacy forum
� Responsible data practices
� Provide application developers with the tools and
resources necessary to implement esponsible
information collection ad use practise
� “Best practises for Mobile Application developers
report”
� App developers have begun to heed the call for
privacy policies
FPF – Mobile Apps Study, June 2012
SMAU Mob App Camp - Milano, 19/10/2012 45AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
46
Il GSMA rappresenta gli interessi degli operatori
dell'ecosistema di servizi mobili (ad es.: produttori di
telefonini, imprese di software, fornitori di
apparecchiature e società di Internet, organizzazioni
in settori industriali, servizi finanziari, sanità, media,
trasporti e servizi.
GSMA
SMAU Mob App Camp - Milano, 19/10/2012 46AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
47
� Il settore della tecnologia mobile e web sono in un processo di convergenza senza precedenti.
� innovazione tecnologica continua� rapido emergere di nuovi social media e applicazioni� Questi sviluppi offrono un enorme valore economico e sociale.
� Un fattore critico per lo sviluppo sostenibile di questo eco-sistema è un quadro solido ed efficace per la tutela della
privacy, in cui gli utenti possono continuare ad avere fiducia nelle applicazioni e servizi mobili.
GSMA – Mobile Privacy Principles
SMAU Mob App Camp - Milano, 19/10/2012 47AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
48
� Legal Framework sono stati creati in molte parti del mondo per affrontare i problemi di tutela della privacy e dei dati.
� Queste leggi spesso variano da paese a paese.
� Sfida continua per fornitori di servizi online e mobile che cercano di comprendere e rispettare una miriade di legge nazionali, e allo
stesso tempo, di soddisfare le aspettative di privacy degli utenti.
� Queste aspettative tendono a non essere geograficamente legate a quadri giuridici specifici, in quanto gli utenti cercano un trattamento
coerente della loro privacy.
� L'industria dovrebbe svolgere un ruolo centrale nella creazione di standard di privacy coerenti e codici basati su principi concordati a
livello internazionale, che diano conto di proteggere la privacy degli
utenti mobili.
GSMA – Mobile Privacy Principles
SMAU Mob App Camp - Milano, 19/10/2012 48AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
49
� Openness, Transparency and Notice
� Purpose and Use
� User Choice and Control
� Data Minimisation and Retention
� Respect User Rights
� Security
� Education
� Children and Adolescent
� Accountability and Enforcement
GSMA – Mobile Privacy Principles
SMAU Mob App Camp - Milano, 19/10/2012 49AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
50
� Queste linee guida si applicano ai principi privacy di progettazione per le applicazioni ed ai relativi servizi progettati per i dispositivi
mobili.
� Esse sono destinate ad essere applicate a tutte le parti della catena di distribuzione delle applicazioni o del servizio che consiste nella
raccolta e nel trattamento delle informazioni personali di un utente -
sviluppatori, produttori di dispositivi, piattaforme, e le aziende del sistema operativo, gli operatori mobili, gli inserzionisti e le società di
analisi.
� Creare esperienze di buona privacy e di fiducia per generare fiducia negli utenti.
� La chiave per realizzare questi obiettivi è un quadro solido ed
efficace per la tutela della privacy, sulla base dei principi di trasparenza, scelta e controllo.
GSMA – Guidelines for Mobile Application
Development (Scope and Purpuse)
SMAU Mob App Camp - Milano, 19/10/2012 50AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
51
� Queste linee guida consentono di adottare un approccio Privacy by Design e
hanno lo scopo di contribuire a garantire che le applicazioni mobili siano
sviluppate in modo da rispettare e tutelare la privacy degli utenti e le loro
informazioni personali.
� Privacy by Design significa anche riconoscere che gli utenti hanno interessi
privacy (le aspettative, i bisogni, i desideri e le preoccupazioni) che devono
essere affrontate in modo proattivo fin dall'inizio e non come un
ripensamento o un 'add-on'. Le linee guida incoraggiano la consegna, lo sviluppo e la gestione di applicazioni mobili che devono mettere gli utenti
prima e aiutarli a capire (almeno):� quali sono le informazioni personali di un applicazione mobile può accedere,
raccogliere e utilizzare� quali le informazioni saranno utilizzate per, e perché, e
� come gli utenti possono esercitare scelta e il controllo su questo uso.
GSMA – Guidelines for Mobile Application
Development
SMAU Mob App Camp - Milano, 19/10/2012 51AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
52
� Transparency, choice and control — putting the user
first
� Data retention and security
� Education
� Social networking and social media
� Mobile advertising
� Location
� Children and adolescents
� Accountability and enforcement
GSMA – Guidelines for Mobile Application
Development
SMAU Mob App Camp - Milano, 19/10/2012 52AVVOCATI VINCENTI Associazione Professionale
2012 - Tutti i diritti riservati
10/30/2012
53
SMAU Mob App Camp -
Milano, 19/10/2012
AVVOCATI VINCENTI Associazione
Professionale - 2012 - Tutti i diritti riservati
53
GRAZIE PER L’ATTENZIONE!
CONTATTI
Avv. Marco VINCENTI
AVVOCATI VINCENTI
Associazione Professionale
Via Agostino Bertani, n. 2
20154 – Milano
tel: (+39) 02/33.60.42.85
fax: (+39) 02/34.69.10.24
Skype: marco.alessandro.vincenti
L’avv. Marco Vincenti è su Linkedin