Non ci stiamo nemmeno provando (a rispettare le regole) !

 Non ci stiamo nemmeno provando a rispettare le regole!

© Mordillo Foundation. All rights reserved.

Premessa: un post che farà arrabbiare molti colleghi, preoccupare molti imprenditori, sobbalzare molti controllori. 

Obbiettivo: lanciamo un altro sasso nello stagno e vediamo cosa succede. Magari qualcuno si sveglia

Previsione: non succederà proprio niente perchè nessuno vuole accettare la realtà

Esito finale: continueremo ad essere tutti molto fragili e ricattabili.

Lungo lungo lungo post che richiede un piccolo indice:

• Introduzione
• Il dilemma del DPO
• Non c'è solo il GDPR
• Cosa ci chiede lo statuto dei lavoratori?
• Il percorso di elaborazione del dolore
• La negazione
• La rabbia
• Il patteggiamento
• La depressione
• L'accettazione
• Il riscatto

Introduzione

Quando opero da consulente mi trovo spesso ad analizzare aziende che iniziano a mettersi in regola con il GDPR: si inizia pieni di entusiasmo ma con un velo di malinconia perchè si preconizza come andrà a finire.

Il lavoro è lungo e dipende molto dalle aspettative dell'azienda. Normalmente tutto parte dall'analisi dei trattamenti: un bell'inventario basato su ciò che accade in azienda, cosa si fa, da dove arrivano i dati, come vengono usati, dove vengono mandati, fino ad arrivare a cosa potremo voler fare in futuro. Quanto più si riesce ad essere precisi e analitici, tanto più sarà completo il lavoro finale. Il resto del lavoro dipende da questa analisi e si svilupperò di conseguenza.

Quando opero da DPO il discorso è molto simile, verifico i documenti, gli adempimenti e mi trovo di fronte a situazioni gestite con tanta buona volontà e con un livello di consapevolezza dei dettagli che varia molto tra le diverse imprese.

Per la cronaca... si, intendevo proprio dire questo: se faccio il consulente per un'azienda non posso essere il suo DPO e viceversa. Ma questa è un'altra storia.

In entrambi i casi, quando mi capita di affiancare ispettori durante le loro verifiche, osservo un livello di analisi decisamente leggero, compiacente, uno sguardo dall'alto, senza voler approfondire più di tanto e senza scoperchiare pentoloni che, forse, è meglio che rimangano chiusi. Non intendo dire che le verifiche siano all'acqua di rose, ma non posso fare a meno di concludere ogni ispezione con un giudizio che immancabilmente suona più o meno sempre nello stesso modo: "ci è andata veramente di lusso!"

Perchè lamentarsene quando la situazione va a proprio vantaggio? Non penso proprio che la fortuna possa giocare un ruolo in tutto questo e, forse, le cause vanno ricercate più che altro in un tacito patto tra persone che si trovano di fronte ad un nemico comune.

Penso che la stessa cosa capiti a ogni professionista, per quanto riguarda il proprio campo di specializzazione. Fin qui, dunque, nulla di speciale.

Il dilemma del DPO

Rimango spesso invischiato in pensieri che mi perplimono e che tratteggiano situazioni che non riesco ad accettare.

Non ci dormo la notte.

Ciò che mi turba è l'immenso ed ubiquitario il vaso di Pandora che nessuno vuole vedere, che nessuno vuole toccare e che, se aperto, avrebbe conseguenze dirompenti e devastanti un po' per tutti. Nessuno ne ammette l'esistenza ma il vaso c'è. Forse siamo tutti tacitamente d'accordo e fare finta di niente può essere la cosa giusta da fare di fronte a una faccenda troppo dolorosa, troppo complicata, troppo grossa per essere gestita.

E io non ci dormo la notte.

Probabilmente è vero che viviamo in un mondo sovrastrutturato, con norme molto stratificate che rendono complicato anche il solo fatto di respirare, dove tutto è potenzialmente vietato e che, spesso, frustra la volontà di chi desidera provare a fare le cose per bene. 

Altrettanto probabilmente il mondo della privacy è estremamente complesso e maledettamente serio, un mondo in cui le circostanze determinano il senso e la portata della norma nonchè la sua applicabilità ai singoli casi.  È un mondo dalla dimensione frattale, dove ogni singolo elemento può essere oggetto di ulteriore analisi e scomposizione, ritrovando in ogni sua parte le stesse simmetrie che sono proprie dell'intero. Chiunque approfondisca un po' l'argomento si trova presto alle prese con il fatidico dilemma al quale tutti dobbiamo dare un risposta:  

la domanda fondamentale sulla vita, l'universo e tutto quanto, in salsa Privacy...  

"ma fino a che punto devo arrivare?" 

Fino a che punto è giustificato analizzare, scandagliare, descrivere nel particolare e vivisezionare i trattamenti, i sistemi informativi, il ciclo produttivo, i fornitori ed ogni altro asset che concorre al trattamento dei dati personali?

Fino a che livello di analisi e di sofisticazione deve spingersi un DPO, un titolare del trattamento, un consulente, per spacchettare la realtà e per poterla, poi, gestire pezzo per pezzo, evidenziandone i rischi, rimediare ai guai e, in ultima analisi, adempiere al GDPR?

Si, perchè ci dev'essere un punto che, una volta raggiunto, mi consenta di dire "ok, va bene così, può bastare". 

Deve esserci anche perché, se non ci fosse, saremmo di fonte ad un circolo vizioso, senza senso, che porterebbe a riscoprire che l'atomo è indivisibile per poi portarci a concludere che più avanti di così non si può andare, perdendo completamente di vista il quadro generale e il senso della realtà. Senza contare il fatto che, la natura frattale della protezione dei dati personali, potrebbe portare ad inviluppi senza fine degni dei cervellotici paradossi tipici delle antiche scuole filosofiche ateniesi.

Non ci dormo la notte, vedendo che l'approccio più comune consiste nell'allinearsi ad un livello di analisi così superficiale da non riuscire a vedere l'ovvio, così fumoso da trascurare rischi macroscopici e ignorare adempimenti cardine dell'intero sistema.

E dato che non ci dormo la notte, approfondisco volentieri.

Cercando questo punto di equilibrio, tra rigore e senso pratico, si finisce spesso a filosofeggiare tra DPO e divertirsi a portare il discorso alle sue estreme conseguenze. Questo è un esercizio utile per capire molti meccanismi, per esempio, è molto divertente analizzare un semplice browser per capire cosa implichi in termini di adempimenti GDPR. Cosa dobbiamo considerare per una analisi attenta?

• c'è il browser,
• ci sono dei trattamenti automatici che l'utente non vede nemmeno, come la tecnologia Google Instant
• ci sono i cookie del browser,
• ci sono i cookie di alcuni produttori o di tecnologie accessorie (es. ricordiamo quelli di Adobe Flash)
• ci sono i javascript che arrivano dalle pagine web visitate
• c'è la risoluzione degli indirizzi digitati tramite i DNS,
• ci sono utenti loggati e utenti non loggati, per esempio, a Google,
• ci sono utenti che salvano le password in locale nel browser,
• ci sono pagine web che memorizzano il dispositivo come attendibile,
• ci sono le estensioni che possono essere aggiunte al browser e che fanno entrare in gioco nuovi soggetti con i quali i dati sono condivisi,
• e ci sono tante altre cose sempre più tecniche, invisibili e sempre più complicate.

Adempiere al GDPR rispetto ad ogni singolo elemento riscontrato in un'analisi rigorosa e completa è estenuante. Non ho mai incontrato un'azienda che abbia nominato "responsabili del trattamento" tutti i soggetti che emergono da questa banale analisi di un ipotetico browser e tutti i produttori di tecnologia coinvolti, per esempio, dalle varie estensioni presenti nel browser.

Non sono un matto e capisco benissimo che, ad un certo punto, sia necessario fermarsi.

Il livello a cui porre l'asticella cambia ed è il titolare del trattamento, diciamo pure l'azienda, che deve decidere quando fermarsi e quando un'analisi è arrivata ad un livello di dettaglio adeguato e, quindi, sufficiente.

Ma io non ci dormo la notte. 

Sì, perché non esiste solo il GDPR, esistono anche altre norme da rispettare, ben più risalenti, consolidate e severe. Esistono norme per le quali non si può fare spallucce liquidandole a una fisima o etichettandole come esagerazioni di un legislatore lontano dal mondo reale (si, ogni tanto me lo sento dire).

Per esempio, esiste la L.300 del 1970, nota alle masse come "statuto dei lavoratori". Una legge fondamentale e profondamente ancorata al nostro contesto sociale e produttivo. Difficile pensare ad una Italia senza tale norma. 

Forse a causa dell'età anagrafica della norma, ho sentito dire che sarebbe, secondo alcuni, una legge anacronistica e non adatta ad un contesto fatto di computer, smartphone ed email.  Ogni volta che lo sento sorrido e taccio perchè ci sarebbero troppe cose da dire e non vorrei seppellire l'interlocutore sotto una montagna di parole e di vergogna.

È un fatto che dagli anni 70 ad oggi sono cambiate tante cose, è vero, ma è cambiata anche la norma e il suo articolo 4 non è sfuggito alle novelle e al maquillage operato da recenti governi.

Al contrario del GDPR, l'articolo 4 dello Statuto dei lavoratori è una norma molto rigida, che non lascia all'interprete margini per giustificare le proprie scelte e che, se violata, comporta unicamente una sanzione penale, immediata, diretta. Questo elemento, da solo, testimonia tutta l'austerità della norma, l'importanza che ha nel nostro ordinamento e la sua posizione in cima alla lista delle norme che non possono essere trascurate o applicate in modo distratto.

Eppure, non ci domo la notte quanto mi accorgo che, normalmente, questa norma viene presa in considerazione solo con riferimento ai sistemi di videosorveglianza. E a volte nemmeno per quelli!

Cosa ci dice lo statuto? In realtà una cosa molto semplice:

Se hai un sistema di videosorveglianza o un qualsiasi altro sistema, dal quale è teoricamente possibile effettuare un controllo a distanza dell'attività dei lavoratori... hai dei limiti e devi fare determinate cose. Se sbagli sei un malfattore. L'unica deroga riguarda i sistemi utilizzati dal lavoratore per rendere la prestazione lavorativa. (parafrasi molto libera e sgarzullina)

Dispositivo dell'art. 4 Statuto dei lavoratori

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Dietro a questa "cosa molto semplice" c'è un universo di sentenze, interpretazioni, fatti e misfatti che rendono il tema scottante e difficile da maneggiare. Si può facilmente trovare tutto ed il suo contrario nelle sentenze dei tanti tribunali che hanno deciso su vicende legate all'articolo 4 dello statuto.  Facendo i dovuti approfondimenti si nota tuttavia una prevalenza netta di determinate applicazioni e si delinea una giurisprudenza prevalente e chiara.

Senza addentrarci nell'esegesi del diritto e nei complessi ragionamenti sugli orientamenti giurisprudenziali, ci limitiamo ad alcune semplici considerazioni, in salsa GDPR che, tuttavia, svelano un mondo di inadempienze.

PRIMA CONGETTURA: siamo nel penale. Per arrivare al penale con il GDPR bisogna impegnarsi veramente tanto, combinarne di tutti i colori e non è facile.  Al contrario, violare l'articolo 4 dello statuto costituisce una violazione con una unica sanzione di tipo penale. Si, è vero che esiste l'istituto dell'oblazione, ma non sempre può essere esercitato e non è certo uno strumento per ricondurre tutto ad una burla. Ho visto personalmente datori di lavoro dover affrontare il tribunale per aver pagato il bollettino dell'oblazione in ritardo!

SECONDA CONGETTURA: quando la norma cita "gli altri strumenti" amplia enormemente il proprio campo di applicazione. Che i sistemi di videosorveglianza siano richiamati espressamente non li rende diversi da ogni altro sistema che possa essere ricondotto alla fattispecie prevista dall'articolo 4. 

E quali sarebbero gli altri sistemi citati? Beh, mettiamola così: questo è esattamente ciò che mi toglie il sonno.

Volendo vedere la portata esatta dell'articolo 4, in modo oggettivo e non capzioso, bisogna leggerlo in questi termini: ogni altro sistema dal quale sia possibile effettuare un controllo a distanza e che non sia necessario al lavoratore per rendere la prestazione lavorativa. 

E a questo punto, anche i migliori trasecolano davanti al dolore.

-fase della negazione-

"Non è possibile. "

"Stai scherzano... "

"Ma figurati, è roba da talebani della privacy"

Chiunque inizia a preoccuparsi seriamente e ad elaborare l'orrore che si delinea cupo all'orizzonte e che è troppo doloroso per essere vero. Non si può accettare una sconfitta così clamorosa e ci si rende conto che, se le cose stessero veramente in questi termini, la situazione sarebbe veramente grave... non può essere possibile! Non deve esserlo!

-fase della rabbia-

"questa è una norma scritta da chi non ha mai lavorato"

"così le aziende chiudono"

"voglio proprio vedere quale ispettore ha il coraggio di venirmi a dire una cosa del genere"

Dopo la negazione si inizia a prendere in considerazione il fatto che, effettivamente, la norma esista e dalla negazione si passa alla rabbia. Il pensiero di non poterla gestire e di non poter accettare un cambiamento di questa portata genera ostilità e porta le persone a dire cose poco gradite al clero.

È in questi momenti che i DPO vengono spesso presi a maleparole e, nei casi più pittoreschi, anche licenziati. Per fortuna la maggior parte dei titolari si limita a dare al DPO tutte le colpe di un sistema fatto unicamente per dare da vivere ai DPO... ma questa è tutta un'altra storia.

-fase del patteggiamento-

"presto, chiama il consulente, deve esserci una soluzione"
(quello appena mandato via perchè era tutta colpa sua - n.d.r.)

"avremo capito male, deve esserci una soluzione"

"chiamo mio cugino, vediamo come hanno fatto dalle loro parti"

Dopo aver placato i bollenti spiriti, la mente ricomincia a funzionare in modo razionale ma è ancora intontita dal forte shock. A questo punto si cerca una strada alternativa, si pensa che possano esistere deroghe, eccezioni, che si possa fare qualcosa per non doversi tuffare nella valle di lacrime che, ora, si vede chiaramente all'orizzonte.

È in questa fase che arriva uno dei passaggi più insidiosi del percorso perchè, a questo punto, arriva sempre, immancabilmente, chi suggerisce di leggere bene e interpretare pro domo sua l'unica eccezione presente nella regola: "utilizzato per rendere la prestazione lavorativa" 

Vogliamo essere meno furbi degli altri? La domanda è legittima e, nella cupa disperazione, fioriscono variopinte interpretazioni.

Sicchè, incuranti della giurisprudenza accumulata negli anni, nel totale disprezzo dei numerosi provvedimenti del Garante che chiariscono bene la postata di questo inciso, dopo tanta angoscia, si vuole a tutti i costi intravedere un barlume di speranza... forse c'è una soluzione, forse abbiamo trovato l'escamotage.

Ma la luce in fondo al tunnel non è l'uscita, ma un treno che arriva in senso contrario!

-fase della depressione-

Ed è qui che il dolore lascia il segno più profondo, quando il DPO, di nuovo, chiarisce al titolare che quel lumicino di speranza deve confrontarsi con l'evidenza del concetto di necessità, così come interpretato dal Garante.

        

Così, recentissimo il Garante con Ordinanza di ingiunzione nei confronti di Regione Lazio - 1 dicembre 2022

Sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta "envelope" del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460, confermato dal Tribunale di Chieti con sent. n. 672 del 24 ottobre 2019; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914), la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta l. n. 300/1970. Infatti, per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

In tale quadro, la generalizzata raccolta e la conservazione, per un periodo più esteso (rispetto ai predetti 7 giorni), dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono, invece, essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4.

Così il Garante in audizione il 13 maggio 2020

Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli mediante strumenti utilizzati appunto per rendere la prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, c.2, l.300).

Non sarebbe, ad esempio, legittimo fornire per lo smart working un computer dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, questo dispositivo. 

Garante in Newsletter 21/12/2017

Il Garante ha osservato inoltre che ai sensi della disciplina di settore, il sistema non poteva configurarsi quale mero "strumento di lavoro" indispensabile per rendere la prestazione, potendo consentire, anche indirettamente, il controllo a distanza del lavoratore.

Garante in Newsletter 15/09/2016

L´infrastruttura adottata dall´Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all´e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall´utente. E´ stato così violato lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l´adozione di specifiche garanzie per il lavoratore.

Garante in Newsletter 29/03/2018

Il sistema, contrariamente a quanto affermato dalla società, non può essere considerato uno "strumento di lavoro" per la sola gestione del contatto con il cliente e dunque utilizzato dall´operatore per rendere la prestazione, perché rientra piuttosto - a parere del Garante - tra gli "strumenti organizzativi" per soddisfare esigenze organizzative e produttive del datore di lavoro dai quali può derivare il controllo a distanza dei lavoratori. E, data la loro invasività, prima di impiegare questi strumenti la società avrebbe dovuto attivare tutte le procedure previste dallo Statuto dei lavoratori

Addirittura sul tema: Audizione del Presidente Antonello Soro sugli schemi di decreti legislativi attuativi del c.d. Jobs Act - 9 e 14 luglio 2015

Espressa esclusione, dalla procedura concertativo-autorizzativa, dei controlli realizzati mediante gli "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (es. computer, smartphone) e gli strumenti di registrazione degli accessi e delle presenze" (ad es. i badge).

Come precisato dallo stesso Ministro, tuttavia, i controlli realizzati mediante tali strumenti beneficiano dell´esonero dalla procedura autorizzativa solo nella misura in cui siano effettuati utilizzando le normali funzionalità degli apparecchi  forniti in dotazione, appunto, per rendere la prestazione e non inserendo specifici  sistemi modificativi  dei dispositivi, finalizzati al controllo personale del lavoratore.

Non dovrebbe, dunque, avvalersi dell´esonero il datore di lavoro che intenda dotare di particolari software atti al monitoraggio del lavoratore i dispositivi (il pc o il telefono) forniti al dipendente per ragioni di servizio.

Provvedimento sul trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro - 13 luglio 2016 

Tali software non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa" (ai sensi e per gli effetti dell´art. 4, comma 2, l. n. 300/1970, come modificato dall´art. 23 del d.lg. n. 151/2015; sul punto, cfr. nota del Ministero del Lavoro e delle Politiche Sociali, del 18 giugno 2015; v. altresì la definizione di "attrezzatura" e "post[azione] di lavoro" di cui all´art. 173 d.lg. n. 81/2008).

Questa breve e approssimativa ricerca, purtroppo, spegne il lumicino di speranza, riportando il titolare nell'oscurità che precede la genesi. 

-fase dell'accettazione-

L'accettazione della situazione si fa largo nel buio e si offre ai titolari rincuorandoli, come una strada sicura da percorrere per uscire dalle tenebre.

Avendo superato questo dolente percorso, il titolare riconsidera la propria situazione, ammette la possibilità di adempiere e inizia persino a intravedere alcuni aspetti positivi; si rende conto che ora sa cosa fare per scongiurare i rischi che incombevano sulla sua attività e di cui non era nemmeno consapevole. Il titolare si sente più padrone della propria impresa, vede un modo concreto per poterla proteggere e, soprattutto, inizia a guardare con occhi nuovi il DPO.

Forse non gli chiederà mai scusa per le brutte cose dette in precedenza, ma il titolare incomincia a capire che il DPO sta dalla sua stessa parte, che ha sofferto anche lui per l'angosciante situazione e che lui per primo si è personalmente esposto cercando di spiegare la situazione, senza passioni né pregiudizi.

E dunque?

Questo percorso ci porta ad una nuova consapevolezza: in azienda utilizziamo quotidianamente moltissimi strumenti che rientrano nel campo di applicazione dell'art 4 dello statuto, che quindi sono limitati nelle finalità, che sono assoggettati ad un regime autorizzativo (con i sindacati o con la Direzione Territoriale del Lavoro) e che, in ultima analisi, abbiano fortemente sottovalutato e volontariamente ignorato.

Qui cambia tutto

Primo Passo per il riscatto

Riprendendo il metodo ideale, si deve ripartire dalla mappatura, dall'inventario di tutte le tecnologie presenti in azienda che possono comportare il monitoraggio a distanza dei lavoratori. Questa volta, però, cercando di includerle tutte, anche se ci sembra assurdo che possano, in astratto, essere comprese tra gli strumenti di controllo a distanza. 

Con questo elenco sarà possibile, caso per caso, stabilire quali siano le modalità corrette di esercizio del sistema, le misure di prevenzione, i tempi di conservazione dei dati e ogni altro elemento necessario ai fini del GDPR. Sarà inoltre possibile predisporre il necessario ai fini della regolarità e dell'adempimento autorizzativo previsto dallo statuto dei lavoratori.

L'elenco è lungo e cambia rispetto ad ogni organizzazione, non è certamente possibile provare ad essere esaustivi e sarebbe già un grande risultato riuscire ad essere vagamente utili. Per puro diletto, solo per dare un'idea della tipologia di strumenti e trattamenti da elencare, provo ad immaginare una azeinda ipotetica e la sua lista di trattamenti che possono ricadere nel campo di applicazione dell'articolo 4 dello statuto:

• rendicontazione transiti telepass o viacard
• black box di assicurazioni o di sistemi antifurto
• sistemi di pagamento elettronico, incluse le tessere carburante, carte di credito aziendali ecc
• smartphone e tablet per il personale viaggiante
• badge o codice per apertura porte, sblocco sistemi, cancelli e box con apertura a badge o a codice personale
• mailbox o sistemi di deposito e prelievo oggetti
• centralino telefonico digitale (che registra localmente le chiamate entranti, uscenti, durata, interni utilizzati, ecc.). Ovviamente anche i centralini che registrano le conversazioni effettuate.
• sistemi di registrazione audio/video dell'attività lavorativa (es. centralini di callcenter, verifica identità dei clienti o utenti, stipula o attivazioni a distanza)
• codici o badge individuali per inserimento comande (tipici dei terminali nei ristoranti)

A questi sistemi deve essere aggiunta l'intera categoria dei gestionali, ogni gestionale, che permetta di tracciare le operazioni compiute dai singoli terminali o dai singoli operatori. 

• Gestionali che tracciano l'attività di ogni operatore scrivendo una riga di dati in un log e registrino anche solo i metadati per ogni operazione effettuata anche se riguarda movimentazione di merci o prodotti
• CRM (come Salesforce), ERP (come SAP), PIM, AMS, TMS, ecc
• Piattaforme operative web based con logging degli accessi e delle operazioni compiute: CMS, LMS e sistemi Elearning, MAP, ecc

Ok, qualcuno potrebbe pensare... mi è andata bene, non facciamo nulla di simile, ma la lista non è ancora terminata. Nella più assoluta banalità e nelle operazioni più comuni troviamo comunque molti trattamenti che meritano attenzione e che meritano di essere riconsiderate alla luce dell'obbligo previsto dallo statuto dei lavoratori:

• qualsiasi file di office automation con journaling (MS Word, tanto per fare un esempio, ma vale per la maggior parte dei word processors e dei software che permettono gli "undo", le revisioni o che storicizzano le modifiche)
• sistemi di lavoro collaborativo (che tracciano le modifiche e le revisioni per poterle integrare)

Non di solo software parliamo. Esistono anche elementi dell'infrastruttura di comunicazione da mettere nella lista:

• router che instradano il traffico internet e che, ovviamente, possono registrare le pagine visitate
• sistemi di sicurezza che filtrano i contenuti indesiderati e che, necessariamente, verificano i contenuti in transito sulla rete e verso internet
• fotocopiatrici, stampanti scanner multifunzione con codice utente individuale o con reportistica d'uso
• sistemi di reportistica dell'attività lavorativa

L'unico sistema di reportistica escluso è il sistema di timbratura di inizio e fine turno. Trattandosi di norma penale diventa difficile pensare ad una applicazione analogica tale da estendere l'esclusione ad altro che non sia strettamente collegato al tracciamento dell'orario di inizio e di fine lavoro.

Proseguendo con la lista non posso omettere altri sistemi di uso frequente che, per quanto incredibile, devono essere autorizzati e gestiti nei modi previsti dallo statuto:

• Veicoli connessi, gestiti con app o con portale o con telemetria. Sono veicoli di ultima generazione, auto elettriche e simili.
• Gestione flotte, sistemi di sicurezza antirapina, sistemi di chiamata soccorso con localizzazione, ecc 
• Sistemi di assistenza in caso di guasto o incidente e localizzazione di veicoli in generale.
• Parcheggi o posti auto con rilevazione presenza o accesso controllato 
• Sistemi di allarme anti intrusione con codici identificativi personali, chiavi personali e log degli eventi
• Strumenti di lavoro e diagnostica connessi, predisposti per invio di dati in remoto, tipico del settore medicale per l’effettuazione di analisi con refertazione a distanza e del settore dell'assistenza tecnica per la diagnostica o reportistica.
• Macchinette con chiavette elettroniche come distributori di caffè, merende e bibite
• Macchina fotografica digitale, se in dotazione per registrare fatti eventi lavori ecc. se registra metadati inclusa la localizzazione della foto 
• Tutti i sistemi di messaggistica che gestiscono condivisione posizione o ricevute lettura e generano metadati. Ricordo sempre volentieri che usare whatsapp o telegram per lavoro è veramente una pessima idea.

Non posso esimermi dal citare i chiacchierati sistemi di monitoraggio presenze: 

• analisi dei segnali wifi e bluetooth che permettono la localizzazione dei dispositivi
• rfid (tessere, bottoni, ecc) per gestire l'accesso o localizzazione in edifici, siti lavorativi, cantieri
• contapersone intelligenti

Infine, per i soli stoici che sono arrivati a leggere fino a qui, voglio citare l'emblematico caso della posta elettronica aziendale. Penso che ogni azienda italiana abbia un sistema di posta elettronica, fatico a immaginare attività che possono farne a meno, non fosse altro perchè è obbligatorio registrare un indirizzo PEC. Naturalmente la posta che più mi interessa è quella affidata ai lavoratori. Il panorama è molto vario e si va da mailbox individuali (paperino@paperopoli.it) ad email generiche (amministratione@paperopoli.it).

Il Garante Privacy ha appena sanzionato in modo molto pesante Regione Lazio proprio per aver violato le regole applicabili alle email e ai metadati generati dai loro server. Nello specifico (riassumendo molto) i metadati degli scambi delle email sono stati raccolti in modo indiscriminato per tutti gli account di posta, conservati per 6 mesi e utilizzati a posteriori per attività difensive rispetto a presunti illeciti comportamenti dei lavoratori. Nonostante sembri giusto poter perseguire condotte illecite, ci sono dei vincoli di legittimità, primo fra tutti il fatto che quei dati rientrano nel campo di applicazione del articolo 4 dello statuto. Serve una autorizzazione ministeriale o un accordo sindacale per trattarli lecitamente, Inoltre l'uso è limitato alle finalità indicate dallo statuto.

Per maggiori dettagli sulla sanzione a Regione Lazio si può leggere il mio thread su twitter: https://twitter.com/prevenzione/status/1604911740847808513?s=20&t=cGZhJJv3INmwESxbC2lPFw

Volendo imparare qualcosa da questo importante provvedimento si arriva a questa conclusione:

chiunque abbia in casa dati grazie ai quali è possibile verificare l'attività lavorativa di un dipendente deve ottenere una autorizzazione ministeriale oppure un accordo sindacale. Deve cancellarli appena semttono di essere tecnicamente necessari (7 giorni nel caso dei metadati delle email)

Dopodiché, il titolare deve limitarsi agli unici usi possibili e questi sono pochi pochi: 

• esigenze organizzative, 
• esigenze produttive, 
• esigenze di sicurezza del lavoro e 
• esigenze di tutela del patrimonio aziendale.

Infine devono essere rispettati i principi di minimizzazione del trattamento e di limitazione della conservazione, nonché di trasparenza, di privacy by design e ogni altro principio previsto dal GDPR.

Tutto questo per ogni singolo trattamento, sistema, tecnologia e aggeggio dal quale è possibile, anche solo astrattamente, raccogliere dati che permettono il controllo a distanza del lavoratore! La lista è lunga.

La particolarità di questa lista di trattamenti sta nel fatto che alcuni di essi sono pensati per utenti, clienti, passati o altre categorie di persone, diverse dai lavoratori dipendenti che, magari incidentalmente, possono rientrare comunque nel trattamento.

L'articolo 4 si applica infatti unicamente ai dati dei propri dipendenti, si, ma effettuato da qualsiasi sistema che, anche solo incidentalmente, tratti quei dati e dal quale sia possibile, anche solo astrattamente, realizzare una forma di controllo a distanza.

Ricordiamolo... non conta il fatto che questi strumenti siano effettivamente utilizzati per il controllo a distanza o in modo deteriore, né ci aiuta il fatto che siano configurati in modo da evitare il tracciamento. Ciò che conta è la teorica possibilità che un monitoraggio a distanza possa avvenire!

Forse questo panegirico farà perdere un po di serenità ad amici titolari del trattamento, a colleghi DPO, agli ispettori di vari enti...  oppure possiamo continuare tutti a fare finta di niente, allegramente, all'italiana.

Attenzione però, ogni azienda con DPO silenti che non sollevano il problema o titolari spensierati corrono un rischio enorme: vivono con la spada di Damocle sulla testa e sono, in una parola, ricattabili da tutti, ispettori, lavoratori, competitor.

Dovevo dirlo perchè non ci dormo la notte.

Ora non veglierò più da solo.

Prosit.

CB

Andiamo a divertirci un po'.

 Andiamo a divertirci... e vediamo cosa succede.

Ieri, in occasione del Milan Games Week, come decine di migliaia di altre persone (ragazzi, bambini, famiglie) sono andato in FIERA. Sempre bello vedere le architetture di Renzo Piano.

Entrando in fiera, ho detto alle mie figlie:

"Ragazze, spegnete wifi e bluetooth. Però spegnetelo del tutto, non in modo temporaneo. Andate nelle impostazioni e disattivatelo da li così non si riattiva fra 10 minuti"

Sono abituate alle mie stranezze e, come ogni volta, si sono anche un po' seccate nel sentirsi raccontare come fare una cosa che sanno fare. Si, perchè spippolare con il cellulare lo sanno fare veramente bene.

Ma sono piccole, sanno"come" fare una cosa ma non sanno "cosa" stanno in realtà facendo. 

Fatto sta che le ho incuriosite e in coro mi hanno chiesto: 

"Perchè?"

Non faccio a tempo a iniziare lo spiegone che, dopo pochi passi, vediamo questo cartello:

Come ti sbagli?   E meno male che lo abbiamo visto, in bella evidenza, all'ingresso della lunga passeggiata che porta ai padiglioni.

Si tratta di una INFORMATIVA PRIVACY, non di un semplice caretello, e ci avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Un sistema invisibile, posizionato ovunque, capace di ascoltare i segnali wifi e registrare le informazioni che riesce a captare.

Ogni cellulare, se il wifi è acceso, cerca in continuazione altre reti wifi e segnala la propria presenza lampeggiando come un faro, e come un faro ha un lampeggio tipico, dice che è lui, proprio lui, non un altro cellulare qualsiasi. Lampeggia dicendo il proprio nome / codice univoco / identificativo. 

L'utente non si accorge di nulla ma è così che i dispositivi si trovano tra di loro e grazie a questo ci possiamo collegare alle reti wifi, scambiare file, accedere al tethering ecc.

Ma tutto questo non si vede.

Inoltre i cellulari sono fatti in modo da favorire l'attivazione del wifi e del BT. Infatti, per chi ha un Iphone, sarà capitato di disattivare queste funzioni e ritrovarle nuovamente attive poco dopo... appunto!

Torniamo all'informativa. Bella, fantastica, che gioia, peccato che sia troppo sintetica e che non dia abbastanza informazioni.

Alla fine si fa riferimento al sito web dove trovare quella integrale.

Ovviamente sono andato a vedere e sul sito non c'è nulla. O meglio, ho trovato l'informativa per i visitatori del sito, i cookies ecc. Non c'è nulla relativo al sistema di monitoraggio e acquisizione segnali wifi presente in fiera.

Certamente è una svista, il solito stagista distratto che ha cancellato il link. Sono certo che comparirà molto rapidamente nei prossimi giorni.

Direi che QUESTO E' UN PROBLEMA. Il primo dei problemi.

L'informativa è una cosa obbligatoria. Da li si parte per capire cosa sta succedendo. Tra le altre cose dovrebbe essere completa e, in questo caso, non lo è decisamente.

Senza poter accedere all'informativa completa, vedere questo cartello può essere considerato solo uno sforzo apprezzabile ma non sufficiente per adempiere a ciò che il GDPR prescrive.

Basiamoci su quello che abbiamo, dunque.

Diamolo per buono: pare che i dati siano trattati in forma anonima e aggregata. 

Questo però non è vero e forse varrebbe la pena di essere più trasparenti.

I dispositivi sono visti e tracciati in modo univoco. Magari poi sono aggregati, ma va spiegato meglio.

Acquisite l'identificativo del dispositivo significa già trattare un dato personale. Se poi lo si anonimizza (sempre che questo avvenga realmente) significa comunque aver trattato un dato personale. Non lo si può fare senza una valida base di legittimazione e, in questo caso, mi spiace dirlo e mi sbilancio, può essere solo il consenso.

Mi sbaglio? Parliamone... ho le mie ragioni.

Una parolina sul concetto di anonimizzazione: è molto molto difficile dire che un dato è stato anonimizzato.

Se, per esempio seguo un segnale wifi di un dispositivo, posso addirittura cancellare ogni riferimento, conservando solo i suoi spostamenti nel tempo e nello spazio. Se nella stessa area ci sono videocamere, anche se ho provato ad anonimizzare il dato, non l'ho fatto. La ragione, magari un po' sofisticata, sta nel fatto che, con un pizzico di buona volontà, posso incrociare i dati e associare le immagini agli spostamenti del segnale wifi anonimizzato riuscendo a trovare la persona che aveva in tasca quel dispositivo. Taaac. 

Anonimizzare è una cosa seria e si può dire di averlo fatto solo se non ci sono mezzi o possibilità di reidentificare il soggetto. Attenzione: che il titolare non intenda farlo, non gli serva farlo, non voglia farlo o non sappia farlo è del tutto irrilevante. Bisogna fare riferimento a un ipotetico soggetto che voglia farlo, sappia farlo e abbia voglia di farlo.

Per dira in altri termini: non tutti sono bravi ragazzi. Fieramilano, in questo caso, non ha alcun interesse a scoprire il nome o il volto di chi era davanti ad un certo stand o che ha fatto un certo percorso... ma questo non eslcude che vi siano soggetti che abbiano interesse a farlo e che sappiano come farlo con i dati a disposizione. Per questo "dato anonimo" è un concetto complicato.

Bene, dunque, cosa accade ai dati?

Perchè è stato messo in piedi un sistema così complesso e costoso per avere solo un dato aggregato? 

Non bastava un tornello?

Anzi, non basta la timbratura dei biglietti all'ingresso?

A mio parere, e lo dico per mancanza di informazioni (come detto, l'informativa è carente) con quei dati si fa dell'altro.

Di fatto, i sistemi di monitoraggio dell'affollamento con wifi permettono di mappare i movimenti dei singoli individui. Che bello poter avere una mappatura dei flussi dei visitatori, sapere come si muovono, da dove arrivano e dove vanno, quanto si soffermano in un determinato luogo ecc. Se fossi un ente fieristico non oserei desiderare nulla di meglio per poter rendicontare e tariffare i servizi, stabilire il costo degli stand, offrire prodotti evoluti e poterne misurare il rendimento. sarebbe fantastico...

Siamo sicuri che non sia uno scopo non dichiarato? Chiedo.

Nel recente passato Google è stata sanzionata per aver trattato i dati del wifi e in modo molto meno invasivo: la sanzione ha riguardato un semplice trattamento di acquisizione (lettura e memorizzazione) dei banalissimi nomi delle reti wifi visibili dalla strada, gli ssid. Questo trattamento è stato aggiunto durante i giretti delle google-car fatti per la mappatura fotografica street view.

Siamo sicuri che Fieramilano non corra lo stesso rischio?

La mia domanda è questa: la lettura dei wifi è proprio necessaria?

Non si può fare la stessa cosa con altri sistemi meno invasivi, che non comportino tutte le fastidiose complicazioni di questo monitoraggio dei wifi?

Se ci serve veramente solo il dato statistico dell'affollamento, che senso ha mappare i cellulari e il loro wifi? 

Mi spiago meglio, oltre che di una soluzione tecnologicamente complessa e costosa, difficile da realizzare a norma di legge e nel rispetto del GDPR, si tratta anche di una pessima idea sotto il profilo del risultato. Alcune persone hanno due cellulari in tasca, alcune non ce l'hanno affatto! Chi lo speghe o disattiva il wifi non verrebbe rendicontato. Perchè usare un sistema così fallace ed impreciso?

Basta una breve ricerca sul web per scoprire che ci sono sistemi analoghi con tecnologia ottica  (tipicamente con termocamere ad alta risoluzione) molto più accurati e economici con i quali è possibile stimare con estrema precisione l'affollamento di grandi aree senza dover "frugare in tasca alle persone" e senza acquisire dati personali, di fatto, inutili, per  i quali sarà poi necessario attrezzarsi per rispettare il GDPR.

Non vorrei sembrare tedioso ma ci sarebbe anche un'altra questione di cui parlare e, come DPO, non la giudico nemmeno troppo marginale.

Domanda: ma perchè devo essere io a disattivare il wifi per evitare di essere tracciato? Non sareste voi, ente fiera, a dover chiedere il mio permesso prima di iniziare a fare una cosa simile? Non sareste voi a dovermi garantire che il mio cellulare non sarà tracciato se io non lo desidero?

ne faccio una questione di libertà, ovviamente, e mi pongo questa domanda nell'ottica di chi non ha voglia o non può semplicemente rinunciare ad avere uno smartphone in tasca.

Cosa succede se sono un soggetto debole?

Cosa succede se mi dimentico di disattivare il wifi?

Cosa succede e se non so come fare e lo disattivo solo in modo temporaneo?

Cosa succede se devo usarlo per rispettare degli obblighi di reperibilità o anche solo perchè voglio scambiare foto con un amico?

Ci sono tante, troppe cose sbagliate in questa bella idea di mappare il wifi, a partire dal fatto di considerare liberamente disponibile e di usare  un dato personale per il solo fatto che sia accessibile.

Tutto questo non mi piace. In particolare non è bello dover rimuginare e accettare situazioni simili di Domenica, a spasso con le proprie figlie, in contesti rilassati. non ho viglia di imbracciare le armi e l'armatura del DPO ogni momento. Vorrei potermi rilassare ma, purtroppo, ogni volta che ci rilassiamo, arriva qualcuno più furbo degli altri e zak... il danno è fatto.

Non mi piace.

Le mie figlie sono avvisare e nemmeno a loro piace.

 

Per la cronaca... tutto questo parte da un cartello visto in fiera ma i sistemi di tracciamento dei dispositivi con wifi o BT attivo sono ubiquitari. Attenzione dunque

al centro commerciale, 

allo stadio,

in aeroporto, 

in stazione,

nelle zone commerciali urbane,

per le vie del centro,

nei mercatini di Natale,

visitando una cattedrale

andando ad un concerto,

in università,

in azienda

e in ogni altra fiera o evento collettivo ove si prevede che arriveranno frotte di persone di cui può essere interessante capire e studiare il comportamento, i movimenti e, in ultima analisi, di cui vogliamo sapere cose senza doverle chiedere.

ADDENDA.

In molti mi hanno scritto manifestando perplessità sul fatto che le tracce del wifi di un cellulare possano essere considerati dati personali. Molti ritengono che l'indirizzo MAC ADDRESS (un indentificativo univoco che consente ai dispositivi di riconoscersi ed indirizzare correttamente i pacchetti di dati) non possa essere un dato personale anche perchè i sistemi operativi recenti permettono di cambiarlo. In alcuni casi sono generati periodicamente nuovi mac address random per lo stesso dispositivo.

Tutto bello, tutto vero, tutto inutile.

Il dato non è personale in modo assoluto. Un dato è personale solo se esiste la possibilità di identificare il soggetto al quale esso si riferisce. E non importa chi sia in grado di farlo, non deve essere necessariamente il titolare del trattamento, può anche essere un altro soggetto, magari più attrezzato, magari in possesso di elenchi, liste, log o altri dati che permettano di identificare la persona alla quale il nostro dato appartiene.

Un esempio: "il 56% dei maschi residenti a Milano sono biondi". Questa informazione non è personale e non lo sarà mai.

Un altro esempio: la scarpetta di cenerentola. Calza bene solo a Cenerentola? Beh, allora quella delicata scarpetta è un dato personale. Strano, non assomigliava nemmeno ad un dato, eppure...

Questo conta, la possibilità (magari solo teorica) di identificazione, di associare il dato ad una persona.

Questo trasforma un dato in un dato personale.

Se un dato è un dato NON personale, possiamo farci ciò che vogliamo, possiamo prenderlo, archiviarlo, maltrattarlo, qualsiasi cosa. Non abbiamo compiti, adempimenti, non abbiamo bisogno di autorizzazioni nè di consensi. Non ci sono documenti da preparare o informative da scrivere. di sicuro non dobbiamo appendere cartelli per avvertire il mondo che stiamo trattando un dato che non è associabile ad alcuna persona. 

 

Nel nostro caso abbiamo certamente un dato personale, l'ente fiera tratta un dato personale e lo sa benissimo.

Come facciamo a saperlo con certezza? 

Beh, sarò banale ma non posso fare a meno di puntualizzare l'ovvio: è Fiera Milano stessa che ce lo dice con il cartello che ha affisso. 

Se venissero trattati dati non personali, non ci sarebbe affatto bisogno di mettere un cartello.

Più tecnicamente dovrei dire che non c'è bisogno di rendere una informativa agli interessati.

E' Fiera stessa che ci dice che "...tratta i dati così acquisiti...", ci dice che li anonimizza e li aggrega ma questo lo fa, appunto, partendo da dati che riconosce essere dati personali.

SINE QUA NON

Se non fossero dati personali, niente cartello, niente informativa, niente di niente. Lo farebbe e basta. Perchè dovrebbe avvertire?

Approfondiamo: se venisse messo un addetto alla porta con il contapersone, una macchinetta che conta +1 ogni volta che viene premuto un pulsante, non ci sarebbe nessun cartello. Contare le persone che passano non genera un dato personale  ma un dato aggregato. 

In sostanza, il segnale wifi monitorato da fiera milano è un dato personale, per questo viene data una informativa. Non ci sono dubbi.

Prosit

Ritorno al Futuro: dalle BBS a Mastodon. Ma intanto il mondo è cambiato.

Ritorno al Futuro: dalle BBS a Mastodon. 

Ma intanto il mondo è cambiato. 

Dopo un tedioso balletto, finalmente i giochi sono fatti, les jeux sont faits: su Twitter inizia l’era di Re Elon.

Per quanto mi riguarda accolgo volentieri ogni cambiamento e mi sentirei un folle sia a lamentarmi sia a gioire. Si cambia, il futuro è tutto da scoprire. L’unica cosa che non cambierà sarà riconsiderare criticamente le mie scelte, giorno per giorno, come ho sempre fatto.

In realtà, una cosa da fare ci sarebbe: un bel backup dei dati. Twitter permette infatti di ESPORTARE i dati dell’utente. La procedura è molto semplice, si trova nelle impostazioni dell’account e, con pochi click, in alcune ore viene consegnato un file compresso contenente tutti i tweet, i like, la lista degli account bloccati, quelli silenziati, le impostazioni ecc.

Perchè esportare i dei dati? Semplicemente perché si può! Poterlo fare è una conquista, non è magnanimità di Elon o di Jack, è per loro un obbligo e per noi un diritto. 

È bene ricordarlo a se stessi per non dimenticarsi mai di avere dei diritti, ed è bene anche ricordarlo al nuovo padrone di casa, solo per richiamare il delicato concetto che LUI è padrone dei muri ma NOI siamo padroni dell’arredamento.

Mi piace immaginare quanto potrebbe essere eloquente il messaggio tra le righe se l'esportazione dei dati venisse fatta negli stessi giorni e da un numero significativo di utenti.

Comunque sia, a prescindere dal backup dei dati, c’è stato un cambiamento importante e in tanti hanno deciso di abbandonare twitter o, quanto meno, di predisporre un piano B. Mastodon, anzi, il Fediverso, è il piano B che la maggior parte degli utenti twitter ha preso in considerazione.

Lascio ad altri spiegare di cosa si tratta nel dettaglio. Darò per scontati un po ' di concetti e di termini tecnici.

Come DPO e come inguaribile smanettone, ho subito pensato di prendere uno dei miei Raspberry inutilizzati e montare una bella Istanza del fediverso, un piccolo regno da me creato dove stabilire le regole, giudicare ciò che accade, intervenire a mio piacimento come un Dio digitale nel proprio microcosmo binario fatto di bit.

Hei… ma io questo l’ho già fatto!  

Eh si, è un deja-vu: sono passati tanti anni, allora ero solo un ragazzo, ma ho ancora addosso il segno indelebile della mia BBS. Ancora ricordo i rumorino dell'hardware dai quali capivo cosa stesse succedendo anche senza guardare lo schermo. La BBS come scuola di vita. La BBS come microcosmo all’interno del quale io ero Dio.

Gli anni come Sysop (oggi diremmo Amministratore o Admin) mi hanno insegnato tanto, sia nel bene che nel male. Le competenze tecniche ne hanno certamente beneficiato ma gli insegnamenti maggiori appartengono a tutt’altro ambito e sono più vicini alla sociologia, alla psicologia e ho esplorato aspetti di me che non conoscevo: il lato oscuro di Christian.

Si dice che l’occasione faccia l’uomo ladro. Beh, probabilmente si può resistere al furto dell’auto lasciata aperta nel cortile del condominio… ma si può resistere anche all’occasione di essere Dio in un microcosmo? No, a questo nessuno può resistere.

Nei panni di un Sysop, ho scoperto quanto fosse potente uno sguardo dall’alto, capace di accedere a tutto, scoprire ogni segreto, cogliere ogni dettaglio, vedere l’invisibile e, soprattutto, vedere senza essere visto. 

Entusiasmante e terribile. 

Ogni Sysop, ogni Admin, si confronta con tentazioni troppo forti da vincere, con sentimenti non facili da gestire e, sicuramente, con il lato oscuro del proprio Io.

Per fortuna non ci sono più molti Sysop in circolazione, forse anche a causa di un fattore anagrafico, e gli Admin possono tutto, si, ma su sistemi informatici seri, ben configurati e rispettosi del GDPR, non possono fare poi molto. Di sicuro la curiosità e il potere divino vengono fortemente compressi rispetto a ciò che accade in una BBS.

Ma siamo all’alba di una nuova stagione: la stagione del ritorno dei Sysop.

Oggi, a causa della massiccia diffusione del Piano B, in tanti si stanno attrezzando per diventare i gestori dell'istanza, più o meno grande, più o meno strutturata, più o meno pubblica.

Mi sono paralizzato alla sola idea che questo percorso interiore, di fatto compiuto sacrificando la riservatezza degli utenti della mia bbs, possa essere replicato 10, 100, 1000 volte al giorno e diffondersi a macchia d’olio tra tutti quelli che smanettano con i raspberry o con i computer in generale. Oggi siamo in tanti, non è più una élite… o meglio, una piccola banda di disadattati.

Dopo la mia esperienza come sysop, dopo gli anni trascorsi a sfogliare i libri di Giurisprudenza, dopo i tanti anni come consulente privacy e, in ultimo, gli anni da DPO, non posso fare a meno di pormi una domanda:  ma questi ragazzi che mettono su istanze a cuor leggero lo sanno che cosa stanno facendo e quali rischi corrono?

E tutti quelli che utilizzeranno le istanze home-made del fediverso, di Mastodon, ecc., lo sanno che cosa stanno facendo e quali rischi corrono?

Andiamo con ordine.

Piccola premessa tecnica. 

Allo stato attuale, il protocollo alla base del fediverso, alla base di Mastodon e alla base di ogni singola istanza, non prevede alcuna cifratura. I messaggi viaggiano in chiaro, i messaggi diretti viaggiano in chiaro, gli allegati sono in chiaro e, in breve, tutti i dati che transitano sull’istanza sono completamente visibili ad ogni amministratore. 

Dire tutti i dati significa dire “tutti i dati personali” e questo non esclude affatto che tali dati abbiano natura sensibile. Informazioni, documenti, foto, foto private, confidenze, simpatie, amori… in un mondo in cui le persone pubblicano allegramente qualsiasi cosa, c’è da aspettarsi un bassissimo livello di selezione delle informazioni personali trasmesse.

Anzi, io mi aspetto un livello ancora più basso di selezione e una maggiore confidenza con l’uso del fediverso perché non c’è Mark o Elon che ci spiano. Si genera una sorta di fiducia, l'aspettativa di qualcosa di meglio e anche un certo affidamento su cui bisogna ragionare meglio. Ma è veramente così? 

Ovviamente no, oltre ai big della tecnologia, a cui non è pensabile di sottrarre l’accesso ai dati che circolano nel fediverso, si aggiungono al numero delle potenziali spie tutti gli amministratori delle singole istanze sulle quali i dati circolano. Quanti sono? Beh, magari è uno, se penso alla mini istanza su raspberry, ma potrebbero anche essere decine e decine per le istanze più grandi. Essere grandi, in questo caso, non significa essere strutturati o migliori né comporta maggiori competenze. Significa solo che saranno più numerose le persone con privilegi di amministratore in grado di sbirciare i contenuti, purtroppo. 

Molto male, direi… questa è una informazione importante della quale ogni utente deve essere ben consapevole e per la quale occorrono remind continui.

Un po come il beeper che ricorda di allacciare le cinture in macchina, così ogni client o ogni istanza dovrebbe ricordare ad ogni utente, in continuazione, che i messaggi non sono cifrati, li possono leggere in tanti e, quindi, è meglio controllarsi un pochino nell’uso.

La falsa sicurezza fa molti più danni dell'insicurezza palese.

Un pensiero dedicato a chi crea un’istanza.

Tecnicamente, “mettere su” un’istanza non è né difficile né costoso. Chiunque lo può fare e, anzi, facendolo si impara certamente qualcosa. Lo ritengo addirittura consigliabile.

Se tutto finisce lì, con la mera installazione, non ci sono particolari problemi: si tratta di un serverino configurato, pronto a fare un certo lavoro, pronto anche ad essere spento, formattato e riutilizzato per il prossimo esperimento nerd. Se gli va male, il serverino può essere cannibalizzato, ma per i nerd questo non è necessariamente un male.

Diverso è il caso di un serverino pronto, configurato e operativo, in uso. In questo caso cambia tutto.

Un pensiero dedicato a chi crea un’istanza con un solo utente.

I microserver con un solo utente saranno presto migliaia. È bellissimo poter avere il proprio server. Oltre al divertimento di farlo, ci sarà anche un concreto vantaggio per l’intero ecosistema fediverso, tuttavia ci saranno anche delle implicazioni di cui è bene tener conto.

Su ciascuno di quei serverini, ci saranno i dati del admin ma anche i dati di altre persone con le quali l'admin avrà interagito, con le quali avrà scambiato messaggi, testi, allegati. Sono dati personali altrui. Poco importa se quei dati sono stati spontaneamente inviati e noi li abbiamo solo ricevuti. Finché li abbiamo, li dobbiamo custodire in modo appropriato.

Questo implica che il gestore del server corra un rischio e ne deve essere consapevole.

Cosa succede se l’admin non è abbastanza bravo a gestire il suo server e i dati sono esposti su internet o oggetto di un data breach?

Il GDPR prevede una esenzione per i trattamenti personali, sono infatti esclusi dal campo di applicazione del GDPR i trattamenti …

“effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico”; (articolo2)

Questa esenzione ha dei limiti, per uscire dalla sua protezione basta infatti  essere un professionista o, in generale, un lavoratore che, per esempio, comunica con un cliente o con un altro professionista. In questi casi lo strumento di comunicazione (il fediverso e la sua istanza) richiede una serie di protezioni e di adempimenti per i quali, certamente,  non può più essere considerato un simpatico giocattolino.

Chi crea un'istanza aperta ad altri utenti…

In questo caso avviene una magia: ci stiamo trasformando in piccoli Mark o piccoli Elon.

Questo ce lo dice il GDPR:

“il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico.” (considerando 18)

Cosa significa? 

Lascio ad altri eventuali considerazioni di tipo amministrativo, autorizzativo e ogni considerazione sulla normativa di settore (AgiCom in primis) e mi limito alle considerazioni più immediate e dirette.

Significa che l’amministratore dell’istanza DEVE adempiere a tutto ciò che il GDPR prevede e risponde per tutto ciò che il GDPR mette sulle spalle di un titolare del trattamento. Non è una posizione semplice e, peraltro, si parte male a causa del fatto che i dati sulle istanze sono attualmente in chiaro. Dubito che l’amico nerd che ha messo su l’istanza per il proprio condominio sia in grado di adempiere o anche solo comprendere gli obblighi e le responsabilità a suo carico che questo comporta.

Dubito anche che si abbia la voglia, il tempo e il denaro per proteggere adeguatamente quel severino e per curare gli adempimenti sottostanti.

Dopo aver superato lo scoglio della adeguata protezione dei dati che si ha l’obbligo di custodire, infatti, ci si deve confrontare con una serie di adempimenti:

• l’elencazione precisa e completa dei trattamenti effettuati
• l’individuazione di una base di legittimazione per i trattamenti sottostanti al serverino
• la definizione di una politica di retention dei dati e la sua attuazione
• la scrittura dell’informativa da mettere a disposizione degli utenti (auguri per questo!)
• probabilmente, l’acquisizione e la documentazione del loro consenso
• la redazione del registro dei trattamenti
• l’individuazione e la nomina dei responsabili del trattamento (auguroni per questo!)
• l’individuazione degli addetti incaricati del trattamento (tanti tanti auguri per questo!)
• una procedura da seguire in caso di data breach
• fino alla nomina di un DPO, qualora il trattamento assuma un rilievo tale da comportare anche questo adempimento.

Con riferimento all’informativa vale la pena ricordare che si tratta di un adempimento molto delicato. Non si possono dire cose sbagliate, non si possono omettere informazioni rilevanti, bisogna essere esaustivi, chiari, sintetici, comprensibili ad ogni nostro utente e, immagino, non tutti gli utenti sono cintura nera di data protection. L’informativa che una istanza deve scrivere deve tenere conto di tutto ciò che è scomodo dire e deve dirlo in modo palese.

Magari un giorno mi metterò a scrivere una bozza di informativa per un’istanza tipo, intanto ne anticipo la versione sintetica che dovrebbe campeggiare in ogni dove e comparire come un popup ovunque ed in continuazione:

“Barrisci responsabilmente!

Attenzione, ogni toot sarà visibile pubblicamente, anche i messaggi diretti. Nel fediverso non c’è riservatezza dei contenuti. Tutto ciò che invii, inclusi i metadati (utenti seguiti, like, data ed ora degli invii, destinatari, mittenti, indirizzo IP da cui ti colleghi, ecc.), sarà visibile pubblicamente, sarà conservato per sempre. Tutto quello che dirai o farai potrà essere usato, da chiunque, contro di te o contro i tuoi contatti.” 

Beh, forse messa in questi termini potrebbe suonare più come una minaccia, ma non penso che i contenuti siano lontani dalla verità.

Dulcis in fundo, è necessario strutturare una procedura e un flusso informativo per la gestione delle richieste di accesso ai dati e l'esercizio dei diritti da parte di ogni possibile interessato, cioè da parte degli utenti di una certa istanza o di ogni utente che ha mandato un messaggio verso quella istanza. 

Porcavacca, sono tanti. Vuoi che non ci sia tra loro un DPO piantagrane?

Questo significa organizzare un apparato di ricezione, valutazione, elaborazione delle risposte che sia di alto adeguato, con tempi di risposta adeguati e, in ogni caso, inferiori ad un mese e che sia, per quanto possibile, in grado di disinnescare le querelle che potrebbero nascere a causa di domande imbarazzanti o richieste sgradite. Non si può bannare gli utenti piantagrane, non si può rispondere “è gratis, di cosa ti lamenti”, non si può buttare giù tutto e scomparire se le cose vanno male. Stacca Stacca Stacca… in questo caso non funziona.

Se vuoi questa bicicletta, poi, devi pedalare! Devi sapere quello che fai e non puoi esimerti dai doveri e non puoi dimenticarti delle responsabilità che assumi. Anche perchè loro, le responsabilità, non si dimenticheranno di te.

È noto che, nel recentissimo passato, importanti istanze (non farò nomi: mastodon.uno) abbiano criminalizzato gli utenti colpevoli di aver ipotizzato che vi fossero dei problemi nella conservazione degli allegati e chiesto informazioni a riguardo. Drammatico! Utenti competenti e consapevoli, attenti alla propria riservatezza, che hanno solo fatto domande lecite, sono stati bannati ed estromessi. Una epurazione, in pratica.

Questo caso mi ha colpito perché dimostra un dilettantismo fuori scala, una approssimazione pericolosa per sé e per gli altri.

Se trattano così un utente fastidioso, con quale garbo tratteranno i dati personali di migliaia di utenti, così divertenti da sbirciare, così succulenti da monetizzare, così facili da carpire.

Anche senza voler considerare gli evidenti inadempimenti al gdpr, anche il solo fatto di aver liquidato in questo modo una DSAR* configura una pesante responsabilità e, come una valanga, può allargarsi su un fronte immenso, ingestibile per una cricca di nerd che hanno messo su un simpatico giochino.

*(Data Subject Access Request)

Anche volendo ammettere che il caso citato rappresenti un'anomalia e che gli amministratori siano tutti ben disposti a ricevere segnalazioni, consigli e critiche costruttive, restano i limiti tecnici che rendono impossibile accogliere integralmente le DSAR, le richieste di accesso ai dati personali, se corredate dalla richiesta di cancellazione.

La gestione degli allegati è, infatti, piuttosto complessa e scorporata dalla gestione del testo dei messaggi o dai metadati gestiti dal server. Spesso si appoggia a provider esterni che, ovviamente, rientrano nella filiera del trattamento del dato in veste di responsabile del trattamento.

Accogliere una richiesta di cancellazione diventa impossibile nell’immediato, difficile nel medio termine e concretamente impossibile in molti casi. 

Non è tutto qui ma direi che questo è già sufficiente per capire che tutto ciò  non si fa in due minuti e non si fa con il copia-incolla da un file trovato su internet cambiando XXXXX con il nome della propria istanza.

A questo scenario, focalizzato sul GDPR, si deve aggiungere ciò che prevede il codice penale e che, salvo sorprese, si applica anche a questo specifico caso:

l’amministratore, come anche a suo tempo il sysop, può tutto e può certamente vedere i messaggi, inclusi quelli privati. Vede i messaggi dei suoi amici, ai quali ha “graduidamente” fornito credenziali di accesso individuali e un account personale, ma vede anche i messaggi e i dati personali di ogni loro contatto o utente del fediverso con il quale gli amici abbiano intrattenuto amene e “riservate” conversazioni. Che una conversazione sia tecnicamente accessibile non significa sia lecito sbirciarla.

Resisterà il nostro eroe a cotanta tentazione? Non resisterebbe nemmeno Ulisse legato all’albero della sua nave.

In questo caso si rischia l’applicazione dell’articolo 616 del codice penale che punisce la violazione, la sottrazione e la soppressione di corrispondenza. Se la guardi, sei un criminale. Se la tocchi, sei un criminale, se spegni il server perchè la bolletta ti devasta e la corrispondenza non viene più recapitata, sei un criminale. (per dettagli, si veda qui https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-v/art616.htm)

Magari a nessuno verrebbe in mente di aprire la casella di posta del vicino e curiosare gli estratti conto della banca aprendo le lettere che ha ricevuto. Purtroppo sembra molto meno compromettente curiosare sul serverino su cui gira una nostra istanza, specialmente quando si possono cancellare le proprie impronte… ma questa è solo una pia illusione.

Dopodiché vale la pena di ricordare l’esistenza dell’articolo 615 ter: accesso abusivo ad un sistema informatico o telematico che prevede una responsabilità specifica per l’abuso del ruolo di operatore di sistema. 

“Ma come, vostro onore… ma il computer era il mio!”

Mi immagino già le risate in aula. Purtroppo questo dettaglio sarà irrilevante poichè viene punita la condotta del soggetto che, anche se abilitato ad accedere al sistema, lo faccia per raccogliere dati protetti per fini diversi dalle ragioni per cui possiede le chiavi di accesso. Questo configura un uso del sistema sistema per finalità diverse da quelle consentite.

… qui tutti i dettagli

https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-iv/art615ter.html 

Sarà molto interessante leggere i Term&Conditions delle varie istanze, con matita rossa e blu, alla ricerca di tutti i punti problematici, sia sotto il profilo penale, sia sotto il profilo civilistico, con il pensiero ai risarcimenti che gli utenti potranno chiedere ai nerd gestori di istanze compromesse, buggate, spente, crashate, ecc.

Una sola parola a riguardo: clausole vessatorie. Quanto ci rimarrà male l’admin sentendosi dire che la metà dei T&C, ovviamente scopiazzati dall’istanza blasonata, sono inutili perché non sono state gestite correttamente le clausole vessatorie?

Chi diventerà utente di una istanza piccina picciò, del proprio amico, condomino, collega, compagno di merende che sia…

Le implicazioni appena descritte sono chiaramente più gestibili ma aumenta a dismisura un rischio: il fatto che i dati siano per significativi ed interessanti per l’admin. I dati che gireranno sul serverino saranno tutti riferiti a persone ben note all’Admin, conosciute, per le quali può si può sviluppare probabilmente una normalissima e sana curiosità. E l’occasione fa l’uomo ladro.

La vicina di casa carina, il compagno di calcetto che rimorchia un sacco, il compagno di banco che ha sempre roba buona, quella schifezza umana del mio vicino che mi rompe le scatole se sento la mia musica, ecc.

Provengo da un paesino e ho sperimentato che nei paesini tutti sanno tutto di tutti. Vivo in una grande città e quando la cameriera mi inizia a chiamare per nome, cambio bar e torno ad essere invisibile.

In ogni piccolo mondo la riservatezza è inversamente proporzionale al rumore di fondo, alla confusione, alle dimensioni del mucchio.

Pensando ad una istanza elefantiaca con migliaia di utenti…

Le implicazioni diventano più serie, gli adempimenti più rigorosi e complessi e cresce il rischio di venire coinvolto in vicende scomode ed antipatiche per colpa di altri. Se nell’istanza si spacciano figurine dei Pokemon, potresti essere torchiato dalla STASI per spaccio di figurine, ma certamente tutto si risolverà bene e potrai uscire con le tue gambe dalla stanza degli interrogatori. Forse. 

Per fortuna ci sono però dei risvolti positivi: si offusca l’interesse e la significatività del dato del singolo. Probabilmente per l’admin sarà più facile avere il giusto distacco dai dati che circolano sul serverino… a meno che non si identifichino persone interessanti, per le quali si finirà per sviluppare fissazioni e, di nuovo, invasione della vita privata. 

Certo, se l’admin non è un bravo ragazzo, con molti utenti potrebbe anche divertirsi un sacco… ma sono certo che questa sia una ipotesi irrealistica. Siamo tutti brave persone e chi pensa male è un lestofante.

Intanto… auguri.

Tutto questo, il GDPR, il codice penale, la responsabilità civile, sembra incongruo e incomprensibile se si pensa che il serverino gira spinto dalla passione, per hobby, che nessuno ci guadagna e che lo si fa quasi per gioco.

Tuttavia un giovane nerd, prima di montare la sua istanza, dovrebbe familiarizzare con un concetto: l’affidamento!

MAI CREARE L’AFFIDAMENTO.  

Se qualcuno, chiamiamolo euGenio, è stato portato a pensare che sul tuo serverino sia possibile mandare messaggi diretti ad una sola persona e tu lo ospiti come utente, poco importa se euGenio non sia un genio dell’informatica, poco importa che nessuno ti paghi per un servizio e che lo fai per diletto. Poco importa che tutti sappiano che euGenio sta sbagliando!

Quando euGenio si sveglierà dal suo torpore, magari perchè, in seguito un uso malandrino dei messaggi visibili all'admin, il suo capo lo licenzierà, la fidanzata lo pianterà, il condomino lo prenderà a cazzotti perchè euGenio parla male di lui...  tutto ti sarà chiaro e ti pentirai di aver acceso quel maledetto Raspberry e di averlo collegato al fediverso.

Nel torbido si pesca meglio? MonitoraPA e GA nella PA

 

PS: a questo articolo fa riferimento la puntata 6x28 di DataKnightmare: https://www.spreaker.com/user/runtime/dk-6x28

In questi giorni è stato lanciato un sasso in uno stagno e molti si sono stupiti del fatto che le onde concentriche abbiano turbato il torpore dei ranocchi adagiati al sole.

Sono felici i ranocchi al sole, si crogiolano, si scaldano e mettono a frutto lo sforzo di essere riusciti a salire su una foglia galleggiante. Peccato che, come spesso accade, basta un soffio di vento, tenue come un dubbio, basta una piccola onda, armoniosa come la razionalità, per destabilizzare tutto e causare gelidi bagni e gracidii infastiditi.

Forse questo non è ancora del tutto evidente ma quella piccola onda, provocata dal lancio del sasso, sta per diventare uno Tsunami.

Il progetto Monitora PA (https://privacy.g0v.it/) ha agitato le acque nella pubblica amministrazione semplicemente partendo dalla constatazione che… la PA non rispetta le regole che si è data.

Forse questo sembra normale in un paese dove il Diritto, ed in particolare le norme in materia di protezione dei dati personali, sono paragonate a fisime, ma di normale c’è ben poco.

Cosa è stato osservato? Quale tabù è stato infranto?

In realtà, è bastato accedere come utenti ad alcuni siti web della pubblica amministrazione per rendersi conto che sono largamente in uso i codici di Google Analytics: un diffuso sistema per monitorare il traffico di rete, visualizzare coloratissimi grafici e curiosare morbosamente nelle abitudini e nei comportamenti dei visitatori.

Quello che non è noto agli utilizzatori è il fatto che Google Analytics “regala” queste fantastiche dashboard, tanto care ai dirigenti con ambizioni di influencer, ma in cambio acquisisce e si tiene una mole di dati personali dieci volte superiore a quelli necessari per generare le statistiche visibili all’utilizzatore stesso.  Questi dati ulteriori sono utilizzati da Google per fini propri e in una giurisdizione che favorisce, di fatto, qualsiasi tipo di trattamento, prescindendo dal consenso, dall’informativa e dal rispetto delle garanzie imposte dal GDPR e dalla direttiva E-Privacy.

Rimanendo su metafore etologiche, Monitora PA potrebbe essere quel battito di ali di farfalla che farà cambiare molte cose in robusti palazzi istituzionali, spacciandoli come un uragano.

Il progetto parte con l’analisi di una moltitudine di siti web ricavandone dati allarmanti. Il seguito è già parzialmente definito, le rispettive PA sono state avvisate di ciò che, con tutta evidenza, è una palese violazione del GDPR, sono state invitate a provvedere e, entro qualche settimana, saranno sottoposte a nuovi accessi. Il passo successivo sarà una segnalazione formale al Garante per segnalare i siti inadempienti per permettere le opportune verifiche.

E’ meraviglioso ciò che accade quando le persone si accorgono di contare più di chi le rappresenta o amministra. Non tanto guardando alle persone, quanto piuttosto osservando le più disparate reazioni di chi, tranquillo come un ranocchio al sole, viene bruscamente riportato alla realtà.

Quando ho letto i dettagli del progetto mi sono compiaciuto per l’iniziativa, ho iniziato a fantasticare sui possibili risvolti pratici e mi sono dispiaciuto di non essere uno dei membri attivi del gruppo di lavoro.

Forse questa velata amarezza mi ha spinto a prendere i dati (pubblicati da MonitoraPA) e fare qualche piccola elaborazione e considerazione. In realtà, non ho fatto altro che riordinare i dati e rileggere il tutto con gli occhi di DPO.

Già, perché questo sono, questo so fare e questo è il filtro con il quale leggo la realtà che mi circonda.

Ciò su cui desidero soffermarmi è il fatto che alcuni codici GA si ripetono più volte.

Teoricamente, ogni gestore di siti web, ottiene da Google il proprio codice GA, da assegnare ad uno o più siti, per qualificare i dati dei visitatori e generare statistiche e analisi comportamentali. 

Il fatto che alcuni codici GA si ripetano due o tre volte e siano comuni a siti affini (stesso istituto, stesso ente, plessi della medesima direzione didattica, ecc) non deve stupire ed è decisamente normale.

Smette di essere normale che il medesimo codice GA sia ripetuto 20 - 40 - 100 - 1000 volte su siti di enti che non hanno nulla in comune, almeno all’apparenza.

Cosa dire di quei codici GA ripetuti migliaia di volte in migliaia di siti completamente eterogenei?

Gli occhi del DPO, allenati a riconoscere sia la malizia che l’ignoranza, intravedono un’ombra, un sospetto che, con pochi click, si palesa in tutta la sua portata: i codici GA ripetuti molte volte sono, con tutta probabilità, attribuiti a PROVIDER attivi nei servizi offerti alla PA. Quanto meno, sono attribuiti a soggetti terzi all’ente utilizzatore del sito. 

In pratica, ignoti malfattori, probabilmente Hacker con la felpa ed il cappuccio, o forse i fornitori che hanno venduto i siti di enti locali, comuni, istituti scolastici, RSA, ecc, hanno inserito il proprio codice per ricevere le statistiche dettagliate di uso dei siti dei propri clienti/bersagli.

Quegli stessi dati che lusingano i sindaci, i dsga, i dirigenti della PA, promettendo istogrammi colorati e contatori di visite giornaliere degni di un trapper, sono contemporaneamente dati assai remunerativi sia per Google che per i provider. Basti pensare quanto possa essere desiderabile poter profilare un visitatore che genera dati di traffico di un hospice, di una scuola primaria, di un piccolo comune a vocazione turistica. 

Purtroppo queste banali considerazioni non sono evidenti a chi dovrebbe proteggere quegli stessi dati dall’uso che terzi possano volerne fare, con il pessimo risultato di diventare complici dei peggiori e più invasivi trattamenti ai danni di ignari cittadini.

Spoiler: non finirà bene.

Tornando all’analisi dei dati, emergono alcuni codici ripetuti, non tantissimi per la verità, ma la quantità di siti coinvolti è preoccupante:

UA-76348362-1 Comune a 1335 siti

UA-98100247-1 Comune a 350 siti

UA-164699789-2 Comune a 85 siti

UA-37309701-1 Comune a 80 siti

UA-34776001-1 Comune a 54 siti

UA-7461716-1 Comune a 21 siti

UA-34412067-4 Comune a 20 siti

UA-58365471-1 Comune a 17 siti

UA-166283354-1 Comune a 13 siti

UA-57198021-1 Comune a 12 siti

UA-76516745-1 Comune a 10 siti

UA-7870337-1 Comune a 10 siti

UA-71629840-1 Comune a 7 siti

A questo punto, un DPO, pensando al proprio collega nominato DPO presso questi oltre 2.000 enti, alza gli occhi al cielo ed esclama: stercorem pro cerebro habeas!

Ma manteniamo la calma, andiamo con ordine e vediamo, uno per uno, di che cosa si tratta.

UA-76348362-1 comune a 1335 siti

Si tratta in massima parte di siti istituzionali di comuni sparsi in tutta Italia. Non mancano unioni consortili, scuole, RSA ed altri enti ma la massima parte sono Comuni.

Cosa condividono tutti questi enti? 

Niente, se non il fornitore Halley Informatica (http://www.halley.it/home/hh/index.php) 

L’azienda non si presenta bene perchè sul proprio sito (che lavora in HTTP e non in HTTPS) non rispetta le linee guida del Garante in materia di Cookie e tracciatori. L’informativa privacy racconta una storia che non ha nulla a che vedere con la realtà, parla di trattamenti che, con tutta evidenza, sono svolti in modo difforme da quanto descritto, non dice nulla sui tempi di retention, non parla di basi di legittimazione e, soprattutto, non parla affatto del trattamento che Halley fa dei dati di traffico generati dai 1335 siti venduti ai rispettivi clienti nella PA.

Visitando il sito Hally, oltre al protocollo HTTP, che gia da solo fa inorridire sotto il profilo della protezione dei dati perosnali, si viene letterlamente massacrati da 23 richieste di terze parti, praticamente una violenza di gruppo ai danni di ogni utente:

E tutto questo a fronte di una laconica informativa che pare non essersi accorta di nulla perchè racconta una bella storia di fantasia, bucolica e spensierata.

Anche i siti realizzati non si presentano bene. Ho effettuato una analisi su un campione significativo e le lacune (in termini di requisiti GDPR - informativa, cookie banner, cookies presenti)  sono palesi e costanti. A dirla tutta, non ne ho trovato uno che passerebbe un blando esame di conformità.

Le difformità sono sia nei contenuti che tecniche. ma questa è tutta un’altra storia.

Procedendo, si incontra

UA-98100247-1 comune a 350 siti

Qui il discorso si complica perchè l’utenza è decisamente orientata verso il mondo della scuola

Parliamo quindi di bambini, ragazzi, minorenni che devono collegarsi con il sito della propria scuola per accedere all’agenda degli eventi, per consultare il registro elettronico dei voti, scaricare dispense e compiti.

Se i dati generati dai siti dei comuni meritano protezione, i dati generati in ambito scolastico suscitano indignazione, allarme e senso di urgenza!

I bambini, ma santo Dio… un minimo di decenza, per carità!

La benevolenza che contraddistingue ogni DPO vacilla in questi casi e dopo pochi click pare lecito pensare che questo codice google analytics appartenga a Argoweb, scintillante prodotto sviluppato da Argo Software. L’alternativa potrebbe essere … una leggerezza di Argo nella selezione delle componenti del software. Come dicevo, la benevolenza, oggi, scarseggia.

Questo fornitore, specializzato effettivamente nel mondo della scuola, si presenta maluccio, con un cookie banner non rispondente alle linee guida del Garante. Propone, tanto per iniziare 11 tracker destinati al marketing, 3 di statistiche e 4 necessari. Si, si può formalmente non acconsentire, ma il pulsante non funziona. I cookie sono attivi ben prima dell’espressione del consenso o del diniego. Transeat sul fatto che non compare la X come opzione di chiusura del banner… tanto non funziona, è solamente un elemento cosmetico.

Mettendo per un momento in dubbio il banner (e l’informativa privacy), andando a verificare si nota facilmente che le chiamate esterne sono 111. Praticamente un assalto alla diligenza. Peccato che il visitatore del sito  (bambini, ricordiamolo) sia il viaggiatore da depredare.

Visitando il sito dedicato al prodotto (www.argoweb.net) venduto alle scuole, non si può fare a meno di notare che sia privo delle basilari misure di protezione del traffico. Funziona in HTTP e non in HTTPS. Nel 2022, da parte di una software house, pare incongruo.

Detto questo, francamente, passa la voglia di andare oltre. Diciamo solo che il resto è coerente con il sito istituzione del produttore.

Una parola sull’informativa va spesa: non c’è. O meglio, è pubblicata, ma è priva di contenuti che descrivano i trattamenti effettivamente effettuati tramite il sito e non prende nemmeno in considerazione ciò che Argoweb fa sui siti dei propri clienti.

Procedendo:

UA-164699789-2 comune a 85 siti

Questo gruppo di siti sono tutti gestiti dalla Società ICT in house della Regione Friuli Venezia Giulia  (INSIEL https://www.insiel.it/cms/). Molti degli enti servizi hanno nominato come DPO il medesimo fornitore: https://www.boxxapps.com

Non ho elementi per immaginare ciò che è successo dietro le quinte, ma lo spettacolo visibile da questa parte del palcoscenico sembra una commedia dell’assurdo:

il sito di insiel non usa HTTPS come modalità standard ma solo come opzione.

3 cookie di prima parte, alcuni dei quali con una durata decisamente ottimistica

e la bellezza di 62 cookies di parte terza. Il tutto imposto al visitatore ancora prima che lui possa manifestare consenso o dissenso. La natura di questi cookie è tutt’altro che tecnica, anzi, si tratta di servizi esterni per la monetizzazione del traffico, cosa che , come l'educazione raccomanda, dovrebbe essere consensuale. Che fisima questo GDPR che pretende la stessa cosa…

La cosa inaspettata è che sul sito di questo providere c’è di tutto ma non il medesimo codice GA presente in tutti i siti dei comuni friulani gestiti.

Potrebbe persino sorgere il dubbio che il codice GA sia incluso nel format (nel modello) in uso e replicato per la massima parte dei siti, magari inserito da chi ha disegnato il sito. Il provider potrebbe essersi limitato ad acquistare il template, senza verificarlo, utilizzandolo verso i propri cleinti. 

Sicuramente questa è una verifica da fare.

In ogni caso, i comuni friulani appoggiati a insiel incorporano nei propri siti il medesimo codice GA.

UA-37309701-1 comune a 80 siti

Altre 80 scuole, istituti, direzioni didattiche, tutte accomunate dal fatto di inviare i dati di traffico dei rispettivi siti a… non si sa. Il collettore delle statistiche, in questo caso, diventa ancora più opaco.

Tutti i siti sono basati su un progetto open: i siti sono realizzati su modello della comunità di pratica   PORTEAPERTESULWEB  https://www.porteapertesulweb.it

Personalmente sono un fautore delle iniziative di questo tipo. Il mio consiglio, in questo caso, è di guardarci dentro con attenzione, analizzare il codice del modello proposto dalla community perchè, forse, è una polpetta avvelenata.

Il codice GA è preimpostato. Alcune scuole probabilmente se ne sono accorte e lo hanno cambiato. Troppo poche purtroppo.

Sempre di bambini stiamo parlando. Le finalità didattiche dovrebbero essere contemperate con la sicurezza dei dati. Per quanto sia affascinante produrre un sito in classe, forse, si potrebbe realizzare un blog, un diario, un album di fumetti online, magari un ricettario… non è una buona idea realizzare il sito istituzionale della scuola (con tanto di registro elettronico) in modo dilettantisco.

Infatti, una delle cose brutte che potrebbero accadere, oltre a trovare la polpetta avvelenata del codice GA, potrebbe riguardare la monetizzazione del traffico.

Come dicevo, sono i dati dei bambini, dei ragazzi… e tramite alcuni di questi siti sono raccolti, profilati, venduti, condivisi, monetizzati.  Dubito che il Garante possa essere concorde con questa finalità, sia il Garante dell’Infanzia, sia il Garante Privacy.

UA-34776001-1 comune a 54 siti

I numeri si assottigliano, per fortuna non sono più migliaia o centinaia di siti. Tuttavia, anche in questo caso, 54 siti sono depredati dei dati di traffico per uso libero e disinibito da parte di ignoti.

o meglio, qui l’ignoto è esplorabile e un nome ricorrente salta agli occhi:

“Sito realizzato da WebGov su modello dalla comunità di pratica Porte aperte sul web nell'ambito del progetto Un CMS per la scuola   https://www.sarete.net/

Che dire, posso solo sorridere quando, visitando il sito di questo provider di servizi dedicati alla scuola, compare questo avviso:

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.Ok

Veramente: un sorriso, una pacca sulla spalla e una sonora risata sono l’unica reazione che riesco a pensare ed esprimere.

Solo per aumentare il buonumore generale, riporto lo screenshot dell’informativa privacy e della cookie policy presenti sul sito:

Sotto i 50 conviene sintetizzare…

UA-7461716-1 comune a 21 siti

Non trovo dati utili per formulare ipotesi

UA-34412067-4 comune a 20 siti

Siti realizzati tramite la piattaforma CKUBE di CSC s.c.s https://www.coopcsc.it/

UA-58365471-1 comune a 17 siti

RSA probabilmente consorziate

UA-166283354-1 comune a 13 siti

Il sito istituzionale dei comuni pugliesi è realizzato da Parsec 3.26 S.r.l. https://www.parsec326.it/

UA-57198021-1 comune a 12 siti

Siti gestiti da LEPIDA spa https://www.lepida.net/

UA-76516745-1 comune a 10 siti

Siti gestiti da LEPIDA spa https://www.lepida.net/

UA-7870337-1 comune a 10 siti

Siti gestiti da Weebly, alcuni ordini professionali e clienti sparuti

UA-71629840-1 comune a 7 siti

Non trovo dati utili per formulare ipotesi

Pensando al GDPR…

Non voglio entrare in dettagli o tecnicismi ma alcune considerazioni devono essere espresse per comprendere la portata di ciò che ho descritto nei paragrafi precedenti.

Un comune, una scuola, una RSA, un qualsiasi ente della pubblica amministrazione, è un TITOLARE DEL TRATTAMENTO.

Significa che è il destinatario della massima parte dei compiti che il GDPR prevede, deve sapere ciò che fa con i dati (da dove arrivano, come li tratta, con chi li condivide) deve rendere conto del proprio operato.

In tre parole, il titolare deve GOVERNARE I DATI PERSONALI.

Questo principio si applica a tutti i dati, inclusi quelli generati dal proprio sito web.

Attenzione, per la PA il sito web è un preciso obbligo di legge. Il Sito del piccolo Comune irpino non è un atto di coraggio del sindaco che, con scarse risorse, vuole dare servizi ai cittadini. C’è una legge, il sito è obbligatorio, ogni ente della PA lo deve avere e deve rispondere a determinati requisiti, avere certi contenuti e, con ottica da DPO, il trattamento sottostante si basa sulla propria funzione istituzionale e sull’assolvimento di un obbligo di legge. Nella PA i siti web non sono riconducibili al legittimo interesse di promuovere la propria immagine, né hanno natura contrattuale verso i clienti…

Per questo introdurre i codici di Google Analytics è difficilmente giustificabile.

Questo Titolare, come è naturale che sia, si può appoggiare a dei provider, dei fornitori, dei consulenti, ma non si distacca dal proprio ruolo. Il provider deve dare alla PA ciò che la PA chiede. 

Spesso, i bandi e gli affidamenti sono scritti maluccio ma anche questo è un tema che grava sulle spalle del titolare.

Il titolare è tenuto a saper fare bene il proprio mestiere. Se sbaglia ne deve rispondere.

Anche sbagliare provider configura una responsabilità del titolare perchè la scelta, la selezione, la verifica dei requisiti tecnico professionali compete unicamente al titolare. Si chiama Culpa in Eligendo.

Nella massima parte dei casi che ho descritto, il provider si comporta in modo inatteso, sorprendente, ma facilmente verificabile e riconoscibile dal Titolare.

Come è possibile che non si siano accorti che tutti i dati del traffico sono dirottati e condivisi (probabilmente da anni) con soggetti estranei all’ente, per finalità non istituzionali, usati a scopo di luco, marketing, profilazione, ecc. ?

Come è possibile essersi appoggiati a provider non in grado di dare spiegazioni su situazioni macroscopicamente difformi da ciò che la norma chiede?

Come è possibile che un provider abbia potuto fare i propri comodi senza ricevere precise istruzioni dal titolare?

Queste sono tutte domande che auspico vengano poste dal Garante alle PA interessate perché, voglio ricordarlo, la responsabilità del titolare è grante e non si scansa facendo firmare una letterina di manleva.

Naturalmente, questo non è tutto ciò che ci si può aspettare.

Il Garante potrebbe rivolgere una serie di domande anche ad altri soggetti e ne ho giustappunto in mente un paio:

I provider… 

Ciascuno di questi provider dovrebbe spiegare, al garante ma anche ai cittadini coinvolti che hanno visitato questi siti, perché ha inserito un codice GA nelle pagine web.

Tecnicamente, questo corrisponde a inserire un tracciatore in grado di registrare e trasmettere ogni dettaglio del traffico, costituito ovviamente da dati personali dei visitatori, con il provider e con terzi.

Quali trattamenti sono stati effettivamente posti in essere con quei dati?

La risposta a questa domanda, in ogni caso, sarà mai esaustiva perché il rischio va ben oltre a ciò che è stato effettivamente fatto ed abbraccia anche tutto ciò che si sarebbe potuto teoricamente fare.

Di sicuro, è stata fatta una cosa un po’ particolare: condividere i dati con google

Google…

già, google. In tutto questo, Google rischia di uscirne come una verginella, incolpevole di ciò che altri, cattivoni, fanno con i suoi sistemi, probabilmente in violazione di T&C precisissimi.

Su questo aspetto io sarei cauto e penso che anche Google debba prepararsi a rispondere ad alcune domande. Tecnicamente è facile individuare gli abusi dei codici GA. 

Il fatto che arrivi traffico da 1300 siti differenti, dovrebbe far insospettire anche la più tonta delle intelligenze artificiali. Avendo gli strumenti per monitorare l’uso dei codici GA, perché Google ha permesso che si generasse un tale flusso di dati senza indagare o porre una domanda all’utilizzatore?

Nel caso in cui un Titolare non faccia bene il proprio mestiere dovrà risponderne al 100%

Se il provider, senza guida, senza indicazioni e, in ultima analisi, lasciato libero ed incontrollato, si comporta male, tornerà a rispondere il Titolare, al 100%

Se il titolare ha fatto bene la sua parte e il Provider ha agito nell’ombra… questo si trasformerà in un nuovo ed autonomo titolare. Il provider si trasformerà in un titolare e dovrà rispondere in prima persona dei trattamenti effettuati per propri fini.

Tuttavia, se il comportamento del provider è riconoscibile, evidente agli occhi di un titolare coscienzioso, allora la situazione potrebbe complicarsi e le responsabilità potrebbero essere meno nette e arrivare a coinvolgere tutti gli attori di questa commedia.

Nel merito, soprassedendo per un momento sul fatto che questi trattamenti non siano conformi al GDPR rispetto ad un entre della PA, occorre stigmatizzare un elemento dirimente:

il fatto che un terzo stia acquisendo i dati di Google Analytics è un trattamento che deve…

1. essere descritto nell’informativa, spiegando come minimo le finalità, la base di legittimazione, il tempo di conservazione

2. effettuato solo con il consenso dell’utente… almeno, pare, così prescrive il Garante.

Ho letto fantasiose interpretazioni e atteggiamenti possibilisti sul fatto che questo trattamento possa non essere completamente illecito. Ciascuno ha certamente diritto ad avere un’opinione, ma per non farsi male, tendenzialmente, è meglio avvicinarsi alle posizioni del Garante, almeno parlando di protezione dei dati personali. Tempo, purtroppo, che queste fantasiose posizioni siano dettate, più che dalla conoscenza della materia, dal malcelato tentativo e desiderio di giustificare i pareri o le  approvazioni rilasciate a enti ed istituzioni clienti.

Rivolgo un pensiero finale anche agli enti della PA che, ignari di tutto ciò, si sono appoggiati al provider che gli è stato consigliato dal cugggino che conosce internet.

Signori, Dottori… per favore, metteteci la testa! 

Scorrendo i siti incriminati, ho trovato informative vuote, informative standard da compilare con tutte le XXXXXXXX nei campi ancora intonsi, informative immacolate con virginali spazi bianchi ____________, ho trovato informative con riferimenti di leggi abrogate da più di 20 anni ed altre stupidaggini che fanno inorridire.

Nella PA è obbligatorio nominare un DPO. Fatelo, ma fatelo bene. Soprattutto, fatelo lavorare.

Il costo per l’erario è il medesimo sia se il sito viene personalizzato con i contenuti appropriati e necessari, sia che rimanga identico alla versione demo, uguale per tutti gli enti del regno e buono per tutte le stagioni.

QUI l'analisi sommaria effettuata