È legale memorizzare / inviare l'IMEI / MEID del dispositivo dell'utente? [chiuso]

Naviga le tue risposte
3

Sto lavorando a un'applicazione Android con un "ban-system". Il cliente ha suggerito di utilizzare l'IMEI / MEID dei dispositivi come identificativo e mi ha chiesto informazioni su questo.

È legale archiviare / inviare il dispositivo dell'utente IMEI / MEID oppure esiste una fonte affidabile in cui posso trovare le specifiche legali a riguardo?

Nota: questa applicazione verrà utilizzata per un controllo di accesso in Spagna, ma con dispositivi di tutto il mondo. Voglio dire, le persone che lo usano potrebbero provenire da qualsiasi paese

    
posta Christian García 16.11.2012 - 12:14
fonte

2 risposte

8

Poiché si tratta di una domanda legale, si applica la solita dichiarazione di non responsabilità IANAL .

Nel Regno Unito, almeno, è completamente legale memorizzare il numero IMEI di un dispositivo mobile. Non posso immaginare che sia diverso per la Spagna, perché un IMEI non è personale , è un numero seriale del dispositivo. Tuttavia, potresti essere sotto esame se in un secondo momento si verificasse una violazione che trapelasse dal numero IMEI allegato ai dati personali (ad es. Nome, indirizzo) perché quei dati consentirebbero a un utente malintenzionato di individuare il traffico cellulare e scoprire che una persona si trova all'interno del raggio della cella. .

Se stai implementando un sistema di bando, perché non hash l'IMEI con un algoritmo hash crittografico come SHA1? Non ha bisogno di salatura, dal momento che lo spazio delle chiavi è abbastanza grande da prevenire comunque gli attacchi di dizionario. In questo modo, se si verifica una violazione, gli IMEI sono difficili da scoprire a livello di calcolo.

    
risposta data 16.11.2012 - 12:22
fonte
0

Ai sensi dell'articolo 2 Direttiva sulla protezione dei dati dell'UE definisce che i dati personali;

shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

Dichiara anche che;

'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

Ma in base all'articolo 7 afferma che;

Member States shall provide that personal data may be processed only if:

(a) the data subject has unambiguously given his consent; ...

Quindi, da quanto ho capito, dovresti essere a posto fintanto che hai delle note legali o dei termini e delle condizioni di utilizzo dell'app che affermano che memorizzerai queste informazioni.

Questa direttiva viene estesa anche in modo che le aziende statunitensi possano elaborare le informazioni dell'utente in futuro. Direttiva UE estesa

    
risposta data 16.11.2012 - 12:40
fonte

Leggi altre domande sui tag

Non aggiunge requisiti a una password, come ad esempio deve contenere 2 cifre, diminuire la forza? [duplicare] Posso usare tranquillamente un parametro URL criptato per l'ID di sessione?