.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

27 settembre 2024

"Esiste, dunque, un giudice a Berlino"... ed un Garante a Roma.



"Esiste, dunque, un giudice a Berlino"...

ed un Garante a Roma.




Ancora non ho capito perché mi abbiano chiamato “No-FSE” ma, alla luce dei recenti accadimenti, non è stata una buona idea.



Qualche mese fa, si è creata registrata una certa agitazione, generale e mediatica, riferita al “termine di opposizione al pregresso”, prevista dalla normativa di riforma del Fascicolo Sanitario Elettronico. La scadenza del termine per l’esercizio del diritto di opposizione, fissata per il 30 giugno 2024, era rimasta in sordina per molti mesi, anche perché la campagna informativa che il governo avrebbe dovuto realizzare ha avuto la stessa risonanza di un petardo bagnato.


All’epoca scrissi un articolo abbastanza ruvido (https://bernieri.blogspot.com/2024/06/dark-pattern-di-stato.html) per evidenziare una serie di problemi legati all rispetto della normativa in materia di protezione dei dati personali: dark pattern, esclusione di determinate categorie dal diritto di accesso, mancanza di informazione relativa ai trattamenti, ecc. Fui intervistato dal Corriere della sera, da Radio 24 ed ebbi occasione di spiegare i termini della questione in varie sedi. Solo negli ultimi giorni, molte persone hanno preso coscienza della situazione.

Negli stessi giorni, come spesso accade, il dibattito si polarizzò su schieramenti opposti, mortificando il concetto stesso di esercizio di un diritto ed il valore della libertà di scelta.

In quegli stessi giorni, inoltre, ho avuto modo di dialogare con professionisti della sanità, convinti che si possa fare ricerca con i dati, approssimativi, parziali e non significativi, contenuti nel Fascicolo Sanitario Elettronico. Altri professionisti erano convinti che, senza accesso alle analisi del sangue risalenti al decennio precedente, non sarebbero stati in grado di curare una distorsione alla caviglia di un loro paziente in pronto soccorso. Che dire, non tutti possono essere aiutati.



Il 30 giugno arrivò, la possibilità di opporsi al trattamento del pregresso cessò, la pagina del portale venne chiusa e tutto fu dimenticato sia dalla cronaca che dalla gente.


Fortunatamente non da tutti.

Alcune persone mi hanno chiesto aiuto e, con loro, ho preparato e presentato alcuni reclami al Garante Privacy.


Dopo complessi passaggi tecnici e molto lavoro nei palazzi del potere, oggi è arrivata la pec che annuncia l’esito dell’istruttoria.


Forse le mie osservazioni non erano del tutto peregrine dal momento che il Garante ha accolto le richieste presentate recependo le osservazioni nel provvedimento del 12 settembre 2024, di imminente pubblicazione sul sito https://www.garanteprivacy.it/.


Dietro le quinte, sono state organizzate specifiche interlocuzioni con il Ministero dell’economia e delle finanze e con il Ministero della salute per superare le difficoltà segnalate e valutare la possibilità di una riapertura dei termini per l’esercizio della facoltà di opposizione nei confronti di determinate categorie di interessati.

A conclusione di questo lavoro di indirizzo, il Governo ha presentato all’autorità lo schema del decreto di riapertura dei termini per l’esercizio della facoltà di opposizione. Il Garante ha esaminato il testo e ha dato parere favorevole. Oltre alla riapertura dei termini, il decreto introduce le modifiche necessarie per garantire l’esercizio dei diritti a chi non era nemmeno stato preso in considerazione dalla versione originaria della norma.


Parallelamente, il Garante ha analizzato le informative dedicate al FSE predisposte dalle Regioni, riscontrando gravi violazioni e aprendo specifici procedimenti correttivi e sanzionatori  nei confronti di 18 Regioni e 2 Province autonome. Anche questo punto è stato oggetto di segnalazione da parte di molti cittadini ed esperti della materia.


Sono state riscontrate, dunque, intere categorie di interessati alle quali il diritto di opposizione, previsto dalla legge, è stato negato. Una “piccola” dimenticanza che, tuttavia, non può essere ignorata. In effetti, come evidenziato nell’articolo sui Dark Pattern di stato, alcuni elementi farebbero pensare più ad una azione intenzionale che ad un mero errore. Le categorie di interessati escluse, o meglio, le persone escluse devono poter esercitare il loro diritto di opposizione e lo stato deve garantire loro la possibilità di farlo.


Basta questo per ridimensionare le accuse di luddismo e cancellare la suggestiva ma inconsistente l’etichetta “NoFSE” subito attribuita a chi ha osato farsi una domanda e mettere in discussione la faciloneria con la quale il Governo ha gestito il passaggio da FSE ad FSE2.0  (Si veda l’articolo citato per ogni dettaglio in merito).



Il Garante ha supportato le correzioni della norma in modo eccellente, ampliandone la portata originaria in modo da includere una platea decisamente più ampia e abbracciando, finalmente, anche i più deboli ed invisibili.


Ecco in sintesi i principali contenuti del decreto di imminente pubblicazione:


  1. Riapertura dei termini di opposizione per tutti gli assistiti, al fine di consentire a coloro che non abbiano potuto esercitare la predetta facoltà, anche per impedimenti di natura tecnica dipesi dai sistemi regionali e da quello centrale, di esercitare tale facoltà per un ulteriore periodo di trenta giorni dalla pubblicazione in Gazzetta Ufficiale del predetto decreto;


  1. L’estensione del diritto di opposizione anche alle persone con codice fiscale o con codice STP (straniero temporaneamente presente in Italia) che non siano più assistiti dal servizio sanitario nazionale;


  1. L’estensione del diritto di opposizione sine die per i soggetti non più assistiti dal SSN, ma che lo siano stati in passato, entro 30 giorni dalla riattivazione dell’assistenza al SSN;


  1. L’estensione del diritto di opposizione per tutti gli assistiti che nel tempo diventeranno maggiorenni, entro 30 giorni dal compimento della maggiore età;


  1. Uno specifico onere alle Asl di dare informazione circa tale facoltà di opposizione al soggetto che riattiva l’assistenza sanitaria specificando i termini e le modalità per l’esercizio di tale diritto.




In conclusione, a brevissimo verrà pubblicato il provvedimento del Garante con il parere favorevole sul decreto ministeriale; successivamente, il decreto completerà il suo iter e verrà pubblicato in gazzetta ufficiale.

Da allora, tutti avranno nuovamente 30 giorni per esercitare il diritto di opposizione, per non far confluire i dati pregressi (ante maggio 2020) dal fascicolo sanitario elettronico vecchia maniera al nuovo FSE2.0.


Ricordo che il FSE vecchia maniera aveva finalità di trattamento dei dati imitate unicamente alla gestione sanitaria e l’accesso era possibile solo nell’ambito della sanità. Il FSE2.0 ha molte finalità aggiuntive (descritte QUI) che nulla hanno a che vedere con la sanità e, inoltre, l’ambito di condivisione dei dati è enormemente amplificato.


A breve, chi non si è accorto di nulla e chi si è sentito escluso potrà beneficiare nuovamente della facoltà di scelta che non ha esercitato. Chi ha già scelto, potrà riconsiderare la propria posizione e cambiare idea.


Ringrazio personalmente la tenacia di chi ha creduto di poter cambiare le cose, di chi non si è limitato a protestare dal divano e si è speso per il bene di tutti. Queste persone avranno sempre la mia stima e, entro le mie competenze, potranno contare sul mio supporto.



Prosit.









SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


25 settembre 2024

APP e privacy... ora si fa sul serio

L'immagine a corredo di questo articolo ha il solo scopo di attirare l'attenzione degli sviluppatori di APP!



 APP e privacy... ora si fa sul serio

Da oggi cambia tutto.

Il Garante francese (CNIL) ha pubblicato un documento di raccomandazioni dedicato alla compliance delle APP. Una bomba, un fulmine a ciel sereno.

Sino ad oggi, ogni sviluppatore ha potuto fare spallucce e lasciare decidere all'azienda i requisiti tecnici relativi in conformità alle norme in materia di privacy. Comodissimo, anche perchè l'azienda è fatta di gente del marketing, gente dell'amministrazione, gente delle risorse umane, gente dell'IT, gente dell'ufficio legale, gente dell'amministrazione, gente come il DPO... tutta gente che non riesce a mettersi d'accordo e che, alla fine, decide sulla base di criteri arbitrari. Chi urla di più, ha ragione, e alla fine decide chi ci mette la faccia (o altre parti anatomiche).

Da oggi, con la guida del CNIL, diventa molto più difficile sentirsi liberi di inventare e, di fatto, perpetrare ogni nefandezza protetti dai soliti vecchi alibi: "lo fanno tutti", "il garante non si è espresso", "stiamo sperimentando", "siamo innovativi, "è un nuovo approccio basato sull'algoritmo di AI", "sono trattamenti tecnicamente necessari", "sono partner selezionatissimi", "sono autonomi titolari, noi non centriamo niente","ci teniamo molto ai dati dell'utente"... ops, lapsus, volevo dire "ci teniamo molto alla privacy dell'utente". 

Con le sue poderose (quasi) 100 pagine, il documento del Garante francese sgombra il campo dalle incertezze e dalla malizia tipica del settore. 

NB: ogni riferimento all'ittiologia è puramente intenzionale.


Ci vorrà un po' di tempo prima che le aziende si rendano conto che la portata del documento di raccomandazioni non può essere paragonata ad un pacato consiglio, ma è quella di una linea guida, non una best practice una vera e propria guida alla conformità normativa. Fare qualcosa di diverso sarà certamente possibile, ma non vorrei trovarmi nei panni di chi dovrà sostenerne la bontà.

Anche il fatto che l'autore sia oltralpe non aiuta alla comprensione di ciò che sta accadendo: i garanti si specializzano, si suddividono il lavoro, si dedicano ciascuno ad un aspetto della materia e, soprattutto, beneficiano reciprocamente del lavoro svolto. In altre parole, il Garante italiano potrà contestare ad uno sviluppatore italiano di aver violato il GDPR, basandosi sul confronto della APP con i requisiti indicati dalle linee guida (raccomandazioni) del CNIL. 

Orrore...

ma noi siamo sovrani

come si permettono

è solo questione di interpretazione

impugneremo il provvedimento...


ok ok, caro sviluppatore, ma intanto che ti lamentavi hai realizzato una app non rispettosa del GDPR e lontana dallo stato dell'arte.

Eccolo il concetto fondamentale, ben noto a chi maneggia norme UNI ISO EN ECC... lo stato dell'arte.

Sviluppare una APP, ovunque nel mondo, se destinata a trattare i dati di persone europee, dovrà essere fatto tenendo le linee guida del CNIL sul tavolo, consultandole di continuo e, di fatto, adottandole come una nuova bibbia.


Il documento originale è disponibile a questo indirizzo: 

https://www.cnil.fr/en/mobile-applications-cnil-publishes-its-recommendations-better-privacy-protection  


Non escludo che il CNIL produca una versione del documento in inglese o in altre lingue. Per ora, il documento tradotto in italiano (in automatico - traduzione di cortesia) è qui:

https://drive.google.com/file/d/1dXbwnADtFpzl5h4rOcIYaBOhv4m3HzwD/view?usp=drive_link 



Prosit




SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 






19 settembre 2024

Informative fantastiche e dove trovarle


Informative fantastiche e dove trovarle



Non so perchè ma le leggo sempre.

Gli amici mi prendono in giro per questo ma non posso farci niente, è più forte di me: se trovo un’informativa privacy devo leggerla. Mi dicono che scuoto la testa, sbuffo, a volte picchio i pugni sul tavolo e alla fine mi arrabbio, rimanendo, poi, di malumore per un po’.


Al ristorante, quando trovo cartoline con iscrizioni a newsletter, prenotazioni online, qrcode per il menù e simili, mentre aspetto il mio piatto, mi metto a correggere i testi  delle informative e li lascio in regalo con una avvertenza: “cambiate consulente”. Stranamente nessuno pare apprezzare questo gesto perché, in cambio, non mi hanno mai offerto nemmeno un caffè.


Molto spesso trovo formulari molto standard, presi da qualche circolare delle associazioni di categoria, altre volte trovo testi spudoratamente copiati da altri siti o altre realtà produttive, assai differenti da quella che vedo attorno a me.

In alcuni casi riesco ad ampliare la mia collezione degli orrori con reperti archeologici che citano oscure norme risalenti al secolo scorso, ormai dimenticate.


Qualche volta sorrido, trovo spunti interessanti per migliorare il mio lavoro e imparo qualcosa di nuovo.

Un'informativa suscita in me la stessa trepidazione che ho visto nelle mie figlie la notte di Natale.


Le uniche informative che non leggo sono quelle di Iubenda. Evito di farlo per tre buoni motivi: 

  1. sono tutte ontologicamente sbagliate e contengono, come minimo, gli stessi errori concettuali.

  2. contengono dei tracker di profilazione del traffico e i miei sistemi di autodifesa le bloccano. Sono per me inaccessibili.

  3. sono sempre incomplete perché il titolare del trattamento non sa cosa fa realmente, e iubenda nemmeno.


Ho già avuto modo di approfondire l’argomento iubenda in un articolo che richiamo volentieri: https://bernieri.blogspot.com/2024/02/il-taccone-e-peggio-del-buco.html 



In alcuni casi trovo delle vere e proprie perle, meraviglie dell’ingegno umano e mi piacerebbe poter fare i complimenti all’autore.

Eccone una: la metropolitana di Torino.







Si, lo so, non è una informativa privacy ma è l’unico difetto che ha. Si tratta di un'informativa legata alla sicurezza e destinata ai bambini per evitare che mettano le mani vicino la bordo scorrevole delle porte automatiche.


Perfetta!


Chi l’ha scritta ha fatto esattamente ciò che dovrebbe fare un titolare del trattamento nella stesura delle sue informative privacy: mettersi nei panni di chi le leggerà.




La passione per le informative mi ha spinto a sperimentare e, una volta, ho coinvolto anche le mie figlie.

Un divertente progetto, nato in seno ai Legal Hackers Roma (https://www.legalhackersroma.it/), ha attirato la mia attenzione e ho deciso di partecipare assieme a tre Minions.

HACK THE DOC (qui spiegato bene dalla ottima Stefania Passera @StewieKee https://www.youtube.com/watch?v=qlZuzrRoA7Y  e qui descritto bene https://www.utopiathesoftware.com/blog-post/privacy-policy-leggibile-hackthedock ) ci ha permesso di reinventare un’informativa pallosissima, quella di MS TEAMS, proponendola in una veste più adatta ai reali fruitori (bambini che a scuola ne fanno largo uso) e con un tocco di maggiore trasparenza.

Erano tempi duri, tempi di scuola a distanza e pandemia… la trasparenza era una "fisima" passata in secondo piano. Ma non per tutti.


Ne è uscito un fumetto in stile Scottecs (chiediamo per sempre scusa a Sio per averlo accostato a questo lavoro) che ha meritato una menzione d’onore della giuria della manifestazione.


Una grande soddisfazione, un divertente esperimento e una informativa anomala che ora è a disposizione di tutti:



Hack The Doc

Informativa Privacy di MS TEAM rivisitata e corretta dai Minions.



https://youtu.be/FNvSXv2Zh0w 


 


HackTheDoc è stato solo un gioco ma ha richiesto il coinvolgimento diretto dei destinatari dell’informativa.


Quando un professionista deve preparate lo stesso documento, da usare nel mondo reale, non può accontentarsi di due disegnini ma ha bisogno di capire quale trattamento deve descrivere, deve indagare sui possibili destinatari, possibilmente deve esplorare la storia e la cultura aziendale, lo stile, il modo in cui l’impresa si relaziona con i clienti (o utenti) e, in alcuni casi, prevedere il futuro. 


Tutto ciò non è solo necessario per predisporre un testo coerente con l’azienda, ma è un vero e proprio adempimento poiché costituisce la manifestazione e applicazione concreta del principio di trasparenza.


Non si può essere trasparenti se si fa compilare l’informativa ad un professionista tuttofare, come spesso accade di vedere in certi studi legali. Occorrono diverse competenze tra le quali il legal-design, la comunicazione, l’esperienza del DPO e la conoscenza della materia e dei suoi meandri e applicazioni. Purtroppo queste sono doti rare perchè, troppo spesso, prevale la forma alla sostanza, difficilmente si riesce a scrollarsi di dosso i tecnicismi, il linguaggio esoterico che caratterizza la professione del consulente di riferimento. Così, sovente, l’avvocato scriverà pensando che il testo verrà letto da un altro avvocato. Tutto ciò è normale, fisiologico, ma è anche un grosso ostacolo all’applicazione corretta del GDPR.


Prosit.






(C) immagine di apertura: https://www.vangogheverything.com/


SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇