App and Privacy Policy. A case of Mobile Strong Authentication without mobile

By | Friday May 19th, 2017

WAITING FOR TRANSLATION

Category: Impact, Risk and Measures Legal framework

About Stefano Tresoldi

Degree in Administrative Science at UNITO Law Department, with more than 20 years as consultant in IT field. Since 2011 to 2015 consultant for regulatory-driven transformation projects related to "Online Civil Trial" (PCT), included privacy and security compliance. 2014-2015 Consultant for an innovative digital project on the new juridical regulation for "Messa alla prova" (L. 67 del 28.04.14) and for "Volonatria Giurisdizione". Stefano founded in 1995 the company STL an IT computer science consulting company. As owner, the prime occupation was company management and new business discovering, public relations, and partnership building; but in more than 20 years at STL he worked and acquired many interdisciplinary skills in many matters: stakeholder management and stakeholder engagement, leadership, strategic thinking, problem solving, decision making, public speech and presentations. Since 2002 he work as consultant.

2 thoughts on “App and Privacy Policy. A case of Mobile Strong Authentication without mobile

  1. paolo calvi

    analisi interessante. il tema del consenso in ambito ePrivacy è assai rilevante e potrebbe non essere sufficientemente garantito neanche dal prossimo regolamento in materia (come evidenziato anche dall’EDPS, vedi il mio pst del 3/5 “Proposta di Regolamento ePrivacy e GDPR” ). mi chiedo tuttavia se sia sufficiente invocare una chiara informativa sulle motivazioni e modalità di utilizzo di alcune funzionalità o informazioni, congiunta alla possibilità di consensi selettivi per ogni specifico gruppo di autorizzazioni.
    mi è capitato recentemente proprio di installare una app di una media banca italiana, per ricevere token di accesso home banking. fra le autorizzazioni richieste (ovviamente senza motivazioni e senza scelta selettiva) c’era l’uso della fotocamera. mi chiedo: se anche mi avessero spiegato che diavolo se ne fanno, ed avessi potuto dare un consenso specifico, non resterebbe cmq un trattamento illegittimo, in quanto eccedente le finalità per le quali sto prestando il consenso? in altri termini: va bene specificare i termini del servizio e chiedere consenso specifico, ma non bisognerebbe intervenire più incisivamente imponendo semplicemente il divieto di chiedere autorizzazioni non necessarie e non pertinenti?

    1. laura.marretta

      Secondo me il problema sta primariamente nel fatto che non sappiamo la risposta a quanto chiedi “se anche mi avessero spiegato che diavolo se ne fanno, ed avessi potuto dare un consenso specifico, non resterebbe cmq un trattamento illegittimo, in quanto eccedente le finalità per le quali sto prestando il consenso?” Infatti in base a cosa valutiamo se sia realmente eccedente o non pertinente o non confacente con la finalità di raccolta e di utilizzo successivo? Il mezzo sarebbe l’informativa o un rimando a condizioni e termini d’uso collegate ad 1 informativa … cosa che invece il Titolare -pare- non aver fornito… quindi per quanto possa sembrare di primo acchito strano il consenso che ti hanno chiesto in realtà potrebbe – e dico potrebbe… – trovare una motivazione e chissà magari addirittura stupirci e farci vedere che quel consenso non obbligatorio (!) sia pertinente. All’inventiva non c’è mai fine 😉

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.