Smau Milano 2011 Massimo Farina - smartphone e tablet

Milano, 19 - 21 ottobre - Fieramilanocity

La gestione dei dati personali mediante
Smartphone e Tablet

Le recenti linee Guida del Garante Privacy su
smartphone e tablet

21 ottobre 2011 - ore 16 - Arena Retail - Pad. 3

Relatore: Massimo Farina

Massimo Farina - www.massimofarina.it -
massimo@massimofarina.it


PREMESSA

Smartphone e Tablet fanno parte della
dotazione di lavoro di professionisti e
impiegati a tutti i livelli.
Smartphone e Tablet fanno parte della vita
di tutti i giorni anche al di fuori dall’ambito 2

lavorativo.

Smartphone e Tablet sono dispositivi mediante i quali si trattano
DATI PERSONALI

massimo@massimofarina.it 2

QUALE TRATTAMENTO?

Rubrica, agenda, appuntamenti, appunti,
posta elettronica, pagine web, nonché i dati
memorizzati dalle singole applicazioni
specializzate, costituiscono risorse preziose
per l’utente ma allo stesso tempo
rappresentano banche dati mobili che
devono essere opportunamente protette. 3

Installazione all’insaputa dell’utente

GEOLOCALIZZAZIONE Trattamento illecito di dati personali

Notificazione ex art. 37, d.lgs. 196/03


QUALI RISCHI ?
(in generale)

il rischio immediato è che nomi, indirizzi e recapiti
telefonici memorizzati nel dispositivo mobile possano
essere acquisiti a seguito di un “furto” (o una
sottrazione anche per un periodo limitato di tempo).
La criticità aumenta inevitabilmente se all’interno del 4
dispositivo mobile sono memorizzati dati sensibili (si
pensi, ad esempio, ad un terminale utilizzato da un
medico specialista che esegue terapie a domicilio e
che tiene traccia delle assistenze su tale dispositivo).


LE MOBILE APPS E I MARKET

Applicazioni per smartphone, ossia software
MOBILE APPS che è possibile installare sugli smartphone e
sui tablet per fornire funzionalità aggiuntive.

5
MARKET speciali applicazioni che visualizzano una
(application vetrina virtuale dalla quale è possibile
store) acquisire ulteriori applicazioni

• Android Market (Google)
• Apple Store (Apple)
Principali market • Windows MarketPlace (Microsoft)
• Nokia Ovistore (Nokia)


“Smartphone e sistemi tradizionali:
cosa cambia?”

Tablet e smartphone si differenziano dai netbook e
Elemento
dai notebook più tradizionali per la specificità
tecnico
dell’hardware e del software di base

Elemento modalità di acquisizione e distribuzione del software
giuridico (software acquisition & distribution) 6

controllato dal fornitore del dispositivo,
dall’operatore telefonico, dal produttore del
sistema operativo o, infine, dal “gestore del
Sistema centralizzato market” che opera da intermediario tra il
produttore/sviluppatore dei software e dei
servizi e l’utente finale
segue


Milano, 19 - 21 ottobre - Fieramilanocity Il MARKET

L’utente acquista software aggiuntivi (es. un videogame)
e servizi (es. un servizio di condizioni meteo, un film in
streaming, un videogame in multiplayer) avvalendosi di
un’applicazione fornita dal gestore denominata market e
preinstallata sul dispositivo.
7
L’utilizzo del market richiede la preventiva registrazione
dell’utente e l’accettazione, da parte di quest’ultimo, delle
condizioni contrattuali prefissate dal gestore del market,
cristallizzate in un documento denominato terms of
service (ToS).


AUTORITÀ GARANTE
PER IL TRATTAMENTO DEI
DATI PERSONALI

Smartphone e tablet:
scenari attuali e prospettive
operative

8
Agli inizi del 2011 l’Autorità ha avviato un’indagine che ha avuto
come interlocutori privilegiati i principali produttori di sistemi
operativi per smartphone (nello specifico, Nokia, Microsoft,
Apple, Google), al fine di verificare gli accorgimenti adottati da
queste società per garantire la sicurezza nell’utilizzo delle
mobile apps sviluppate per i loro sistemi


CONTENUTI DELL’INDAGINE
CONOSCITIVA

L’authority ha invitato le società ad indicare

1. i meccanismi adottati o i requisiti richiesti (in termini, ad
esempio, di affidabilità o di adeguato rispetto di misure di
sicurezza) per selezionare preventivamente gli sviluppatori
terzi (quelli, cioè, non direttamente dipendenti dalla società) 9

autorizzati a distribuire le application di propria creazione
sulle piattaforme di market di quest’ultima e quali condizioni
e procedure siano previste per un’eventuale revoca
dell’autorizzazione;


Milano, 19 - 21 ottobre - Fieramilanocity RISCONTRI PERVENUTI

LE SOCIETÀ HANNO RISPOSO CHE

1. In tutti e quattro i casi, lo sviluppatore terzo può proporre le
applicazioni di propria creazione per la distribuzione sulla piattaforma di
market dell’intermediario prescelto soltanto a seguito del 10
perfezionamento di una procedura di registrazione ed all’accettazione di
specifici accordi contrattuali predisposti, proprio, da quest’ultimo; ne
consegue una marcata eterogeneità delle clausole contrattuali cui gli
sviluppatori sono vincolati, a seconda che decidano di proporre le
proprie creazioni all’una o all’altra delle quattro diverse società.


CONOSCITIVA


2. meccanismi adottati per valutare le diverse funzionalità
delle application e per verificare se la raccolta di dati
11
personali effettuata dallo sviluppatore, per il tramite
dell’applicazione, sia effettivamente pertinente rispetto alle
predette funzionalità e alle finalità della raccolta.


RISCONTRI PERVENUTI

LE SOCIETÀ HANNO RISPOSO CHE

In quest’ambito è stato possibile, tuttavia, identificare due
diversi e contrapposti modelli di condotta, che si distinguono
per il modo in cui viene garantita la sicurezza delle
applicazioni messe in vendita tramite il market e possono 12
essere definiti nel modo seguente:
• privacy by process

• privacy by platform


Milano, 19 - 21 ottobre - Fieramilanocity PRIVACY BY PROCESS
Il processo di accreditamento dei potenziali sviluppatori e di
inserimento delle loro applicazioni nel market viene sottoposto ad un
rigido controllo, tipicamente formalizzato in un accordo ToS (Terms
of Service – condizioni di contratto) tra il soggetto interessato a
pubblicare il suo software sul market e il gestore del market stesso.
Inoltre, l’applicazione viene controllata allo scopo di garantirne la
sicurezza sotto il profilo tecnico prima dell’immissione nel mercato.
13

ESEMPIO: App Store di Apple
chi pubblica a nome di una azienda (e non come sviluppatore
indipendente), infatti, deve fornire visura della propria iscrizione al registro
delle imprese e qualsiasi applicazione sottomessa, prima di essere resa
disponibile sull’App Store, viene testata da un apposito team e, solo dopo
averne verificato la correttezza tecnica, è pubblicata sullo store accessibile
agli utenti.


Milano, 19 - 21 ottobre - Fieramilanocity PRIVACY BY PLATFORM
il gestore del market non effettua un controllo preventivo
sull’applicazione, ma affida la tutela dei diritti dell’utente alla solidità
della piattaforma di sistema operativo, alle sue funzionalità che
permettono all’utente di avere coscienza di quali dati saranno
oggetto di trattamento da parte dell’applicazione disponibile sul
market, facendo ricorso a meccanismi di ranking gestiti dai fruitori
del servizio
14
ESEMPIO: Android Market
la pubblicazione non è soggetta ad alcuna verifica da parte di Google.
Nonostante questo, le applicazioni malevole o fraudolente sono eliminate
in tempi brevissimi dall’Android Market, a seguito di segnalazioni degli
utenti o delle aziende usate come esca


CONOSCITIVA


3. le policies interne per assicurare il rispetto della
normativa in materia di protezione dei dati personali e quali
meccanismi siano adottati per verificare la conformità delle
application già distribuite alla predetta normativa, nel caso 15
in cui pervengano segnalazioni da parte degli utenti.

Risposte eterogenee


QUALI RISCHI ?
(secondo il Garante)

1. il rischio cagionato dalla carenza di consapevolezza
dell’utente in ordine a profili di assoluta rilevanza che lo
riguardano in maniera diretta e possiedono potenziali
attitudini lesive dei suoi diritti in materia di protezione dei
dati personali;
16

2. le specificità legate all’utilizzo di applicazioni, specie quelle
ad opera di sviluppatori terzi, che raccolgono dati sulla vita
privata (dai contatti alla posizione geografica, sino alle
abitudini di consumi e comportamenti, a dati relativi alla
salute ed alla vita di relazione);


QUALI RISCHI ?

3. la possibilità che i soggetti che trattano le informazioni
personali degli utenti, anche eventualmente di carattere
sensibile, possano renderle “pubbliche” ovvero
comunicarle ad altri soggetti determinati, sia per finalità
commerciali che di altro genere, non specificamente 17
correlate alla raccolta e, più in generale, non conformi ai
desideri dell’utente medesimo, innanzitutto per l’indubbia
attitudine dei dati a favorire attività di profilazione
dell’utente;


QUALI RISCHI ?

4. la possibilità che, in assenza di regole specifiche, i dati
così raccolti possano essere archiviati sui sistemi del
fornitore del servizio applicativo per periodi di tempo
ultronei rispetto alla fornitura del servizio stesso,
potenzialmente indeterminati; che, addirittura, possano 18
continuare a costituire oggetto di trattamento perfino
successivamente al momento in cui l’utente ha cessato di
far ricorso ad una determinata applicazione ovvero di
utilizzare uno specifico dispositivo.


OBIETTIVI DA RAGGIUNGERE

1. implementare sia la trasparenza nelle modalità di funzionamento delle
applicazioni, con specifico riguardo al trattamento delle informazioni
personali degli utenti, sia il controllo esercitabile, nonchè la
dimensione;

2. combinazione di accorgimenti tecnici - sufficientemente generali da non
modificare le strategie di mercato ma comunque ragionevolmente 19
efficaci - e di norme contrattualistiche da inserire negli accordi proposti
dai gestori dei market e rivolti sia agli sviluppatori delle applicazioni
che agli utenti finali.


MISURE DI SICUREZZA
APPLICABILI

Telefoni cellulari e tablet sono classificati
Credenziali come dispositivi personali prima che
d’accesso portatili. Il loro contesto di utilizzo non è
multiutente. Pertanto mancano concetti
quali username, password, home
directory, access control list.
20

Non è possibile definire all’accensione o al ripristino
diverse credenziali di dalla condizione di stand-
accesso ma soltanto dei by, il terminale chiede un
codici di sblocco. codice di accesso per
abilitare l’interfaccia utente


CRITICITÀ

Terminali dotati di funzionalità USB-Storage (che possono essere
utilizzati come unità di salvataggio dati per PC quando connessi
attraverso un cavo USB).

In questa modalità, il terminale si Proposta di soluzione
comporta alla stregua di un comune È consigliato installare
pendrive, rendendo accessibili i
propri dati dal navigatore del
un’applicazione in grado di
21
filesystem del computer in uso. crittografare i dati prima delle
Eventuali blocchi posti al terminale loro memorizzazione,
possono risultare inutili, essendo ponendo un’ulteriore barriera
direttamente accessibile il contenuto d’accesso rappresentata da
della memoria locale e quella di una password alfanumerica
eventuali memory card installate sul
telefono.
che inibisce la lettura dei dati
e le funzionalità


MISURE DI SICUREZZA
APPLICABILI
Gli aggiornamenti, come in ambiente
PC, risolvono malfunzionamenti ed
aggiornamenti eventuali vulnerabilità, migliorano le
prestazioni e la compatibilità con le
applicazioni.

I principali produttori, forniscono I terminali basati su Android,
22
strumenti gratuiti per beneficiano di un sistema di
l’aggiornamento automatico del aggiornamento attraverso la rete
firmware dei dispositivi: è cellulare o la connessione
sufficiente avviare l’utility e wireless: il terminale provvede
connettere il terminale con il cavo automaticamente al recupero
in dotazione per verificare la dell’aggiornamento e avvisa
disponibilità di una nuova versione l’utente di effettuare
del software di sistema l’aggiornamento software.


CRITICITÀ

Rispetto all’aggiornamento del software del PC, l’aggiornamento del
firmware di un terminale è una operazione critica che, se interrotta (a
causa di mancanza di alimentazione o distaccamento del cavo dati) può
provocare il danneggiamento del dispositivo e l’impossibilità di procede
a un ripristino o al recupero dei dati in esso memorizzati

suggerimento
23
- è necessario avere la batteria sempre carica ed essere collegato a
una sorgente di alimentazione durante il processo di aggiornamento.
- prima di effettuare l’aggiornamento del firmware è comunque
consigliato eseguire un back-up completo del contenuto della memoria
del telefono (operazione eseguita automaticamente da alcune utility di
aggiornamento).


MISURE DI SICUREZZA
APPLICABILI

I produttori di telefoni cellulari e computer
palmari forniscono applicazioni che
consentono di gestire alcune funzionalità del
telefono direttamente da PC: lettura
messaggi ricevuti e invio nuovi messaggi,
Back-up 24
accesso ai contenuti multimediali, gestione
della rubrica e anche il back-up dell’intero
contenuto del dispositivo, per ripristinarlo a
seguito di un aggiornamento del firmware o
di un reset forzato


MISURE DI SICUREZZA
APPLICABILI
I software antivirus sono disponibili per i maggiori
sistemi operativi (Windows Mobile e Symbian OS),
mentre non sono installabili sui sistemi operativi
proprietari.
Un discorso a parte meritano gli ambienti più moderni,
quali iOS (che equipaggia i terminali iPhone e iPad) e
Android: come già visto, la distribuzione del software
antivirus

attraverso gli application store offre maggiori tutele per
gli utenti finali, che possono contare su un sistema 25

centralizzato di segnalazione di software malevolo.
Nel caso particolare della piattaforma Apple, poi, i
meccanismi di protezione e isolamento delle
applicazioni e il processo di valutazione/certificazione
delle applicazioni prima della pubblicazione sull’App
Store rappresentano una barriera molto efficace per la
diffusione di malware.



l’attenzione
Grazie per l attenzione
21 ottobre 2011

massimo@massimofarina.it

http://www.massimofarina.it 26

http://www.diricto.it

RINGRAZIAMENTI: Ringrazio Stefano Sanna, il cui supporto è stato di
fondamentale importanza per l’analisi e la comprensione di tutti gli
aspetti tecnici relativi a smartphone e tablet.



LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera, di creare opere derivate alle seguenti condizioni:

• Attribuzione. Devi riconoscere il contributo dell'autore originario.
• Non commerciale. Non puoi usare quest’opera per scopi commerciali.
• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi27
distribuire l’opera risultante solo per mezzo di una licenza identica a questa.

In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della
licenza di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra


Smau Milano 2011 Massimo Farina - smartphone e tablet

Recommended

Recommended

More Related Content

Similar to Smau Milano 2011 Massimo Farina - smartphone e tablet

Similar to Smau Milano 2011 Massimo Farina - smartphone e tablet (20)

More from SMAU

More from SMAU (20)

Smau Milano 2011 Massimo Farina - smartphone e tablet