¿Es legal almacenar / enviar el IMEI / MEID del dispositivo del usuario? [cerrado]

Navega tus respuestas
3

Estoy trabajando en una aplicación de Android con un "sistema de prohibición". El cliente sugirió usar el IMEI / MEID de los dispositivos como identificador y me preguntó sobre cuestiones legales al respecto.

¿Es legal almacenar / enviar el dispositivo del usuario IMEI / MEID, o hay alguna fuente confiable donde pueda encontrar especificaciones legales al respecto?

Nota: esta aplicación se utilizará para un control de acceso en España, pero con dispositivos de todo el mundo. Quiero decir, la gente que lo usa podría venir de cualquier país

    
pregunta Christian García 16.11.2012 - 12:14
fuente

2 respuestas

8

Como esta es una pregunta legal, se aplica el habitual Renuncia de responsabilidad de IANAL .

En el Reino Unido, al menos, es completamente legal almacenar el número IMEI de un dispositivo móvil. No puedo imaginar que sea diferente para España, porque un IMEI no es información personal , es un número de serie del dispositivo. Sin embargo, puede ser sometido a un escrutinio si luego tiene una violación que filtra el número IMEI adjunto a los datos personales (por ejemplo, nombre, dirección) porque esos datos permitirían a un atacante oler el tráfico celular y descubrir que una persona está dentro del rango de la torre celular .

Si solo estás implementando un sistema de prohibición, ¿por qué no hash el IMEI con un algoritmo de cifrado criptográfico como SHA1? No necesita sal, ya que el espacio de teclas es lo suficientemente grande como para evitar ataques de diccionario de todos modos. De esa manera, si ocurre una violación, los IMEI son difíciles de descubrir computacionalmente.

    
respondido por el Polynomial 16.11.2012 - 12:22
fuente
0

En el artículo 2 Directiva de protección de datos de la UE que define que los datos personales;

  

significará cualquier información relacionada con una persona física identificada o identificable ("sujeto de datos"); una persona identificable es una persona que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social;

También establece que;

  

'procesamiento de datos personales' ('procesamiento') significa cualquier operación o conjunto de operaciones que se realizan con datos personales, ya sea por medios automáticos, como recolección, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, bloqueo, borrado o destrucción;

Pero en virtud del artículo 7 establece que;

  

Los Estados miembros dispondrán que los datos personales solo puedan ser procesados   si:

     

(a) el interesado ha dado inequívocamente su consentimiento; ...

Por lo que entiendo de esto, debería estar bien siempre que tenga avisos legales o términos y condiciones de uso de la aplicación que indique que almacenará esta información.

Esta directiva también se está extendiendo para que las compañías de EE. UU. también puedan procesar su información de usuario en el futuro. Directiva ampliada de la UE

    
respondido por el SomethingSmithe 16.11.2012 - 12:40
fuente

Lea otras preguntas en las etiquetas

¿Qué tan difícil sería infectar un sistema con malware a través de un navegador web portátil? Anulación de la validación de entrada de la aplicación web