Creact

Fai crescere il tuo business con CREACT AGENCY.

Chiamaci +39 081 183 73 153
Contattaci

Trattamento dati e app: ruoli e responsabilità

vpn personal online security virtual privat network

9 Aprile 2020 - Mondo App

A proposito dell’autore

Luigi Marino

Luigi Marino è un rinomato sviluppatore iOS e CEO di Creact, una digital agency specializzata nello sviluppo di soluzioni digitali personalizzate. Con oltre un decennio di esperienza nel settore IT, Luigi si è affermato come leader tecnologico innovativo e esperto in sicurezza informatica, accessibilità e gestione di progetti complessi.

Esperienza e Competenze:
- Sviluppo App iOS: Luigi ha sviluppato oltre 50 applicazioni per vari mercati, utilizzando tecnologie avanzate come SwiftUI e Swift Concurrency. La sua esperienza è supportata da una certificazione Apple, attestando le sue competenze avanzate nello sviluppo di app iOS.

- Sicurezza Informatica: Luigi è un esperto riconosciuto in sicurezza informatica e protezione dei dati nelle app. Ha pubblicato numerosi articoli su come implementare la crittografia e altre misure di sicurezza per garantire la protezione dei dati sensibili nelle applicazioni mobile.

- Accessibilità e Design Inclusivo: Impegnato nella creazione di esperienze digitali accessibili, Luigi adotta best practice e linee guida per garantire che le sue applicazioni siano utilizzabili da tutti, inclusi gli utenti con disabilità.

Come CEO di Creact, Luigi ha guidato team di sviluppo in progetti di successo, applicando metodologie Agile per assicurare efficienza e risultati di alta qualità. La sua capacità di gestire e coordinare team

Scrive articoli per Creact, dove condivide le sue conoscenze su sviluppo web, app e e le ultime tendenze nel settore IT.

Luigi offre approfondimenti preziosi e consigli pratici per aiutare aziende e professionisti a navigare nel mondo digitale e ottenere risultati tangibili. La sua scrittura è caratterizzata da chiarezza, precisione e un approccio orientato ai risultati.

Identificare i ruoli dei soggetti coinvolti nella realizzazione di un’app e le loro responsabilità è uno dei fattori più importanti da stabilire quando si parla di dinamiche inerenti al trattamento dei dati.

Lo sviluppatore imposta tecnicamente l’applicazione affinché richiesta, ricezione e conservazione dei dati siano effettuate secondo le regole, e per questo, spesso è erroneamente individuato come unico responsabile del trattamento dati. In realtà, l’implementazione tecnica non lo rende automaticamente l’unico responsabile.

Attualmente, a livello comunitario, si applica il Regolamento n. 2016/679 o GDPR e, all’art. 3 di quest’ultimo, viene introdotta la figura del titolare del trattamento.

È bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato perché è questo che realmente incide sul diritto applicabile.

Diversi attori concorrono alla creazione di un’app: gli sviluppatori, i produttori, gli app store o i rivenditori e le parti terze come gli sponsor e i consulenti, se si tratta di una app di un settore con specifiche molto tecniche.

La definizione dei ruoli nel contratto, o anche semplicemente quello che è scritto nell’informativa, consentirà di individuare le responsabilità in caso di trattamento illecito di dati.

Casi di violazione per trattamenti illeciti

Ho parlato nell’articolo sul consenso al trattamento dei dati delle modalità con cui ottenere l’autorizzazione dell’utente al trattamento dei dati. Seguire quelle linee guida, però, non rende comunque possibili trattamenti sleali e illeciti. In sostanza, se il trattamento è eccessivo e/o sproporzionato rispetto alle finalità, non si disporrà di un fondamento giuridico valido, violando la direttiva sulla protezione dei dati.

Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante.

Per sviluppare correttamente il meccanismo di ottenimento del consenso dei dati, invito a consultare l’articolo di approfondimento al riguardo.

Misure organizzative e tecniche per la sicurezza dei dati

Al di là degli obblighi di legge, pensare alla sicurezza dell’utente dovrebbe essere il primo dovere di un produttore di app.

In tema di sicurezza, l’art. 32 del GDPR stabilisce che, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche,

il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.

Possono essere comprese queste misure di sicurezza:

1. la pseudonimizzazione e la cifratura dei dati personali;

2. la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

4. una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

5. dati genetici e biometrici

Sono i dati genetici e biometrici come le impronte digitali, la voce, la forma della mano, la struttura della retina.

Qualsiasi proprietà biologica, caratteristica fisiologica, tratto biologico, deve essere assicurata ad un livello di sicurezza perché rientra tra i dati sensibili.

Allo stesso modo le azioni ripetibili, laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità.

Capire quando e come applicare il regolamento quando non tutti gli attori sono in UE

Attualmente a livello comunitario si applica il Regolamento n. 2016/679 o GDPR: all’art. 3 di quest’ultimo viene rivista completamente la concezione tradizionale del principio di stabilimento del territorio.

L’utente che usa la app e a cui i dati si riferiscono può trovarsi in uno Stato, lo sviluppatore in un altro, il produttore ubicato in un altro ancora. Per questo, quanto stabilisce l’articolo 3 permette di individuare un responsabile del trattamento nell’Unione, anche indipendentemente dal fatto che il trattamento sia effettuato o meno in UE.

Quando il responsabile non si trova in Unione Europea, si applica il regolamento UE al trattamento dei dati personali di interessati che si trovano nell’Unione nel caso in cui:

a) l’offerta di beni o servizi offerti è rivolta a utenti UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato

b) è in gioco il controllo del loro comportamento, inteso all’interno dell’Unione europea.

c) è in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.

Avviso sui cookie di WordPress da parte di Real Cookie Banner