.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

28 novembre 2022

Andiamo a divertirci un po'.

 Andiamo a divertirci... e vediamo cosa succede.




Ieri, in occasione del Milan Games Week, come decine di migliaia di altre persone (ragazzi, bambini, famiglie) sono andato in FIERA. Sempre bello vedere le architetture di Renzo Piano.


Entrando in fiera, ho detto alle mie figlie:

"Ragazze, spegnete wifi e bluetooth. Però spegnetelo del tutto, non in modo temporaneo. Andate nelle impostazioni e disattivatelo da li così non si riattiva fra 10 minuti"

Sono abituate alle mie stranezze e, come ogni volta, si sono anche un po' seccate nel sentirsi raccontare come fare una cosa che sanno fare. Si, perchè spippolare con il cellulare lo sanno fare veramente bene.

Ma sono piccole, sanno"come" fare una cosa ma non sanno "cosa" stanno in realtà facendo. 

Fatto sta che le ho incuriosite e in coro mi hanno chiesto: 

"Perchè?"

Non faccio a tempo a iniziare lo spiegone che, dopo pochi passi, vediamo questo cartello:



Come ti sbagli?   E meno male che lo abbiamo visto, in bella evidenza, all'ingresso della lunga passeggiata che porta ai padiglioni.

Si tratta di una INFORMATIVA PRIVACY, non di un semplice caretello, e ci avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Un sistema invisibile, posizionato ovunque, capace di ascoltare i segnali wifi e registrare le informazioni che riesce a captare.
Ogni cellulare, se il wifi è acceso, cerca in continuazione altre reti wifi e segnala la propria presenza lampeggiando come un faro, e come un faro ha un lampeggio tipico, dice che è lui, proprio lui, non un altro cellulare qualsiasi. Lampeggia dicendo il proprio nome / codice univoco / identificativo. 
L'utente non si accorge di nulla ma è così che i dispositivi si trovano tra di loro e grazie a questo ci possiamo collegare alle reti wifi, scambiare file, accedere al tethering ecc.
Ma tutto questo non si vede.
Inoltre i cellulari sono fatti in modo da favorire l'attivazione del wifi e del BT. Infatti, per chi ha un Iphone, sarà capitato di disattivare queste funzioni e ritrovarle nuovamente attive poco dopo... appunto!

Torniamo all'informativa. Bella, fantastica, che gioia, peccato che sia troppo sintetica e che non dia abbastanza informazioni.
Alla fine si fa riferimento al sito web dove trovare quella integrale.
Ovviamente sono andato a vedere e sul sito non c'è nulla. O meglio, ho trovato l'informativa per i visitatori del sito, i cookies ecc. Non c'è nulla relativo al sistema di monitoraggio e acquisizione segnali wifi presente in fiera.
Certamente è una svista, il solito stagista distratto che ha cancellato il link. Sono certo che comparirà molto rapidamente nei prossimi giorni.

Direi che QUESTO E' UN PROBLEMA. Il primo dei problemi.
L'informativa è una cosa obbligatoria. Da li si parte per capire cosa sta succedendo. Tra le altre cose dovrebbe essere completa e, in questo caso, non lo è decisamente.
Senza poter accedere all'informativa completa, vedere questo cartello può essere considerato solo uno sforzo apprezzabile ma non sufficiente per adempiere a ciò che il GDPR prescrive.

Basiamoci su quello che abbiamo, dunque.
Diamolo per buono: pare che i dati siano trattati in forma anonima e aggregata
Questo però non è vero e forse varrebbe la pena di essere più trasparenti.
I dispositivi sono visti e tracciati in modo univoco. Magari poi sono aggregati, ma va spiegato meglio.
Acquisite l'identificativo del dispositivo significa già trattare un dato personale. Se poi lo si anonimizza (sempre che questo avvenga realmente) significa comunque aver trattato un dato personale. Non lo si può fare senza una valida base di legittimazione e, in questo caso, mi spiace dirlo e mi sbilancio, può essere solo il consenso.
Mi sbaglio? Parliamone... ho le mie ragioni.

Una parolina sul concetto di anonimizzazione: è molto molto difficile dire che un dato è stato anonimizzato.
Se, per esempio seguo un segnale wifi di un dispositivo, posso addirittura cancellare ogni riferimento, conservando solo i suoi spostamenti nel tempo e nello spazio. Se nella stessa area ci sono videocamere, anche se ho provato ad anonimizzare il dato, non l'ho fatto. La ragione, magari un po' sofisticata, sta nel fatto che, con un pizzico di buona volontà, posso incrociare i dati e associare le immagini agli spostamenti del segnale wifi anonimizzato riuscendo a trovare la persona che aveva in tasca quel dispositivo. Taaac. 
Anonimizzare è una cosa seria e si può dire di averlo fatto solo se non ci sono mezzi o possibilità di reidentificare il soggetto. Attenzione: che il titolare non intenda farlo, non gli serva farlo, non voglia farlo o non sappia farlo è del tutto irrilevante. Bisogna fare riferimento a un ipotetico soggetto che voglia farlo, sappia farlo e abbia voglia di farlo.

Per dira in altri termini: non tutti sono bravi ragazzi. Fieramilano, in questo caso, non ha alcun interesse a scoprire il nome o il volto di chi era davanti ad un certo stand o che ha fatto un certo percorso... ma questo non eslcude che vi siano soggetti che abbiano interesse a farlo e che sappiano come farlo con i dati a disposizione. Per questo "dato anonimo" è un concetto complicato.


Bene, dunque, cosa accade ai dati?
Perchè è stato messo in piedi un sistema così complesso e costoso per avere solo un dato aggregato? 
Non bastava un tornello?
Anzi, non basta la timbratura dei biglietti all'ingresso?

A mio parere, e lo dico per mancanza di informazioni (come detto, l'informativa è carente) con quei dati si fa dell'altro.
Di fatto, i sistemi di monitoraggio dell'affollamento con wifi permettono di mappare i movimenti dei singoli individui. Che bello poter avere una mappatura dei flussi dei visitatori, sapere come si muovono, da dove arrivano e dove vanno, quanto si soffermano in un determinato luogo ecc. Se fossi un ente fieristico non oserei desiderare nulla di meglio per poter rendicontare e tariffare i servizi, stabilire il costo degli stand, offrire prodotti evoluti e poterne misurare il rendimento. sarebbe fantastico...
Siamo sicuri che non sia uno scopo non dichiarato? Chiedo.

Nel recente passato Google è stata sanzionata per aver trattato i dati del wifi e in modo molto meno invasivo: la sanzione ha riguardato un semplice trattamento di acquisizione (lettura e memorizzazione) dei banalissimi nomi delle reti wifi visibili dalla strada, gli ssid. Questo trattamento è stato aggiunto durante i giretti delle google-car fatti per la mappatura fotografica street view.

Siamo sicuri che Fieramilano non corra lo stesso rischio?
La mia domanda è questa: la lettura dei wifi è proprio necessaria?
Non si può fare la stessa cosa con altri sistemi meno invasivi, che non comportino tutte le fastidiose complicazioni di questo monitoraggio dei wifi?

Se ci serve veramente solo il dato statistico dell'affollamento, che senso ha mappare i cellulari e il loro wifi? 
Mi spiago meglio, oltre che di una soluzione tecnologicamente complessa e costosa, difficile da realizzare a norma di legge e nel rispetto del GDPR, si tratta anche di una pessima idea sotto il profilo del risultato. Alcune persone hanno due cellulari in tasca, alcune non ce l'hanno affatto! Chi lo speghe o disattiva il wifi non verrebbe rendicontato. Perchè usare un sistema così fallace ed impreciso?

Basta una breve ricerca sul web per scoprire che ci sono sistemi analoghi con tecnologia ottica  (tipicamente con termocamere ad alta risoluzione) molto più accurati e economici con i quali è possibile stimare con estrema precisione l'affollamento di grandi aree senza dover "frugare in tasca alle persone" e senza acquisire dati personali, di fatto, inutili, per  i quali sarà poi necessario attrezzarsi per rispettare il GDPR.


Non vorrei sembrare tedioso ma ci sarebbe anche un'altra questione di cui parlare e, come DPO, non la giudico nemmeno troppo marginale.
Domanda: ma perchè devo essere io a disattivare il wifi per evitare di essere tracciato? Non sareste voi, ente fiera, a dover chiedere il mio permesso prima di iniziare a fare una cosa simile? Non sareste voi a dovermi garantire che il mio cellulare non sarà tracciato se io non lo desidero?

ne faccio una questione di libertà, ovviamente, e mi pongo questa domanda nell'ottica di chi non ha voglia o non può semplicemente rinunciare ad avere uno smartphone in tasca.
Cosa succede se sono un soggetto debole?
Cosa succede se mi dimentico di disattivare il wifi?
Cosa succede e se non so come fare e lo disattivo solo in modo temporaneo?
Cosa succede se devo usarlo per rispettare degli obblighi di reperibilità o anche solo perchè voglio scambiare foto con un amico?

Ci sono tante, troppe cose sbagliate in questa bella idea di mappare il wifi, a partire dal fatto di considerare liberamente disponibile e di usare  un dato personale per il solo fatto che sia accessibile.


Tutto questo non mi piace. In particolare non è bello dover rimuginare e accettare situazioni simili di Domenica, a spasso con le proprie figlie, in contesti rilassati. non ho viglia di imbracciare le armi e l'armatura del DPO ogni momento. Vorrei potermi rilassare ma, purtroppo, ogni volta che ci rilassiamo, arriva qualcuno più furbo degli altri e zak... il danno è fatto.

Non mi piace.
Le mie figlie sono avvisare e nemmeno a loro piace.

 
Per la cronaca... tutto questo parte da un cartello visto in fiera ma i sistemi di tracciamento dei dispositivi con wifi o BT attivo sono ubiquitari. Attenzione dunque

al centro commerciale, 
allo stadio,
in aeroporto, 
in stazione,
nelle zone commerciali urbane,
per le vie del centro,
nei mercatini di Natale,
visitando una cattedrale
andando ad un concerto,
in università,
in azienda
e in ogni altra fiera o evento collettivo ove si prevede che arriveranno frotte di persone di cui può essere interessante capire e studiare il comportamento, i movimenti e, in ultima analisi, di cui vogliamo sapere cose senza doverle chiedere.


ADDENDA.
In molti mi hanno scritto manifestando perplessità sul fatto che le tracce del wifi di un cellulare possano essere considerati dati personali. Molti ritengono che l'indirizzo MAC ADDRESS (un indentificativo univoco che consente ai dispositivi di riconoscersi ed indirizzare correttamente i pacchetti di dati) non possa essere un dato personale anche perchè i sistemi operativi recenti permettono di cambiarlo. In alcuni casi sono generati periodicamente nuovi mac address random per lo stesso dispositivo.

Tutto bello, tutto vero, tutto inutile.

Il dato non è personale in modo assoluto. Un dato è personale solo se esiste la possibilità di identificare il soggetto al quale esso si riferisce. E non importa chi sia in grado di farlo, non deve essere necessariamente il titolare del trattamento, può anche essere un altro soggetto, magari più attrezzato, magari in possesso di elenchi, liste, log o altri dati che permettano di identificare la persona alla quale il nostro dato appartiene.

Un esempio: "il 56% dei maschi residenti a Milano sono biondi". Questa informazione non è personale e non lo sarà mai.

Un altro esempio: la scarpetta di cenerentola. Calza bene solo a Cenerentola? Beh, allora quella delicata scarpetta è un dato personale. Strano, non assomigliava nemmeno ad un dato, eppure...

Questo conta, la possibilità (magari solo teorica) di identificazione, di associare il dato ad una persona.
Questo trasforma un dato in un dato personale.

Se un dato è un dato NON personale, possiamo farci ciò che vogliamo, possiamo prenderlo, archiviarlo, maltrattarlo, qualsiasi cosa. Non abbiamo compiti, adempimenti, non abbiamo bisogno di autorizzazioni nè di consensi. Non ci sono documenti da preparare o informative da scrivere. di sicuro non dobbiamo appendere cartelli per avvertire il mondo che stiamo trattando un dato che non è associabile ad alcuna persona. 
 

Nel nostro caso abbiamo certamente un dato personale, l'ente fiera tratta un dato personale e lo sa benissimo.

Come facciamo a saperlo con certezza? 
Beh, sarò banale ma non posso fare a meno di puntualizzare l'ovvio: è Fiera Milano stessa che ce lo dice con il cartello che ha affisso. 
Se venissero trattati dati non personali, non ci sarebbe affatto bisogno di mettere un cartello.
Più tecnicamente dovrei dire che non c'è bisogno di rendere una informativa agli interessati.

E' Fiera stessa che ci dice che "...tratta i dati così acquisiti...", ci dice che li anonimizza e li aggrega ma questo lo fa, appunto, partendo da dati che riconosce essere dati personali.
SINE QUA NON
Se non fossero dati personali, niente cartello, niente informativa, niente di niente. Lo farebbe e basta. Perchè dovrebbe avvertire?




Approfondiamo: se venisse messo un addetto alla porta con il contapersone, una macchinetta che conta +1 ogni volta che viene premuto un pulsante, non ci sarebbe nessun cartello. Contare le persone che passano non genera un dato personale  ma un dato aggregato. 

In sostanza, il segnale wifi monitorato da fiera milano è un dato personale, per questo viene data una informativa. Non ci sono dubbi.

Prosit

11 novembre 2022

Ritorno al Futuro: dalle BBS a Mastodon. Ma intanto il mondo è cambiato.

Ritorno al Futuro: dalle BBS a Mastodon. 

Ma intanto il mondo è cambiato. 



Dopo un tedioso balletto, finalmente i giochi sono fatti, les jeux sont faits: su Twitter inizia l’era di Re Elon.

Per quanto mi riguarda accolgo volentieri ogni cambiamento e mi sentirei un folle sia a lamentarmi sia a gioire. Si cambia, il futuro è tutto da scoprire. L’unica cosa che non cambierà sarà riconsiderare criticamente le mie scelte, giorno per giorno, come ho sempre fatto.

In realtà, una cosa da fare ci sarebbe: un bel backup dei dati. Twitter permette infatti di ESPORTARE i dati dell’utente. La procedura è molto semplice, si trova nelle impostazioni dell’account e, con pochi click, in alcune ore viene consegnato un file compresso contenente tutti i tweet, i like, la lista degli account bloccati, quelli silenziati, le impostazioni ecc.

Perchè esportare i dei dati? Semplicemente perché si può! Poterlo fare è una conquista, non è magnanimità di Elon o di Jack, è per loro un obbligo e per noi un diritto. 

È bene ricordarlo a se stessi per non dimenticarsi mai di avere dei diritti, ed è bene anche ricordarlo al nuovo padrone di casa, solo per richiamare il delicato concetto che LUI è padrone dei muri ma NOI siamo padroni dell’arredamento.

Mi piace immaginare quanto potrebbe essere eloquente il messaggio tra le righe se l'esportazione dei dati venisse fatta negli stessi giorni e da un numero significativo di utenti.

Comunque sia, a prescindere dal backup dei dati, c’è stato un cambiamento importante e in tanti hanno deciso di abbandonare twitter o, quanto meno, di predisporre un piano B. Mastodon, anzi, il Fediverso, è il piano B che la maggior parte degli utenti twitter ha preso in considerazione.

Lascio ad altri spiegare di cosa si tratta nel dettaglio. Darò per scontati un po ' di concetti e di termini tecnici.

Come DPO e come inguaribile smanettone, ho subito pensato di prendere uno dei miei Raspberry inutilizzati e montare una bella Istanza del fediverso, un piccolo regno da me creato dove stabilire le regole, giudicare ciò che accade, intervenire a mio piacimento come un Dio digitale nel proprio microcosmo binario fatto di bit.

Hei… ma io questo l’ho già fatto!  

Eh si, è un deja-vu: sono passati tanti anni, allora ero solo un ragazzo, ma ho ancora addosso il segno indelebile della mia BBS. Ancora ricordo i rumorino dell'hardware dai quali capivo cosa stesse succedendo anche senza guardare lo schermo. La BBS come scuola di vita. La BBS come microcosmo all’interno del quale io ero Dio.

Gli anni come Sysop (oggi diremmo Amministratore o Admin) mi hanno insegnato tanto, sia nel bene che nel male. Le competenze tecniche ne hanno certamente beneficiato ma gli insegnamenti maggiori appartengono a tutt’altro ambito e sono più vicini alla sociologia, alla psicologia e ho esplorato aspetti di me che non conoscevo: il lato oscuro di Christian.

Si dice che l’occasione faccia l’uomo ladro. Beh, probabilmente si può resistere al furto dell’auto lasciata aperta nel cortile del condominio… ma si può resistere anche all’occasione di essere Dio in un microcosmo? No, a questo nessuno può resistere.

Nei panni di un Sysop, ho scoperto quanto fosse potente uno sguardo dall’alto, capace di accedere a tutto, scoprire ogni segreto, cogliere ogni dettaglio, vedere l’invisibile e, soprattutto, vedere senza essere visto. 

Entusiasmante e terribile. 

Ogni Sysop, ogni Admin, si confronta con tentazioni troppo forti da vincere, con sentimenti non facili da gestire e, sicuramente, con il lato oscuro del proprio Io.

Per fortuna non ci sono più molti Sysop in circolazione, forse anche a causa di un fattore anagrafico, e gli Admin possono tutto, si, ma su sistemi informatici seri, ben configurati e rispettosi del GDPR, non possono fare poi molto. Di sicuro la curiosità e il potere divino vengono fortemente compressi rispetto a ciò che accade in una BBS.


Ma siamo all’alba di una nuova stagione: la stagione del ritorno dei Sysop.

Oggi, a causa della massiccia diffusione del Piano B, in tanti si stanno attrezzando per diventare i gestori dell'istanza, più o meno grande, più o meno strutturata, più o meno pubblica.

Mi sono paralizzato alla sola idea che questo percorso interiore, di fatto compiuto sacrificando la riservatezza degli utenti della mia bbs, possa essere replicato 10, 100, 1000 volte al giorno e diffondersi a macchia d’olio tra tutti quelli che smanettano con i raspberry o con i computer in generale. Oggi siamo in tanti, non è più una élite… o meglio, una piccola banda di disadattati.


Dopo la mia esperienza come sysop, dopo gli anni trascorsi a sfogliare i libri di Giurisprudenza, dopo i tanti anni come consulente privacy e, in ultimo, gli anni da DPO, non posso fare a meno di pormi una domanda:  ma questi ragazzi che mettono su istanze a cuor leggero lo sanno che cosa stanno facendo e quali rischi corrono?

E tutti quelli che utilizzeranno le istanze home-made del fediverso, di Mastodon, ecc., lo sanno che cosa stanno facendo e quali rischi corrono?


Andiamo con ordine.


Piccola premessa tecnica. 

Allo stato attuale, il protocollo alla base del fediverso, alla base di Mastodon e alla base di ogni singola istanza, non prevede alcuna cifratura. I messaggi viaggiano in chiaro, i messaggi diretti viaggiano in chiaro, gli allegati sono in chiaro e, in breve, tutti i dati che transitano sull’istanza sono completamente visibili ad ogni amministratore. 

Dire tutti i dati significa dire “tutti i dati personali” e questo non esclude affatto che tali dati abbiano natura sensibile. Informazioni, documenti, foto, foto private, confidenze, simpatie, amori… in un mondo in cui le persone pubblicano allegramente qualsiasi cosa, c’è da aspettarsi un bassissimo livello di selezione delle informazioni personali trasmesse.

Anzi, io mi aspetto un livello ancora più basso di selezione e una maggiore confidenza con l’uso del fediverso perché non c’è Mark o Elon che ci spiano. Si genera una sorta di fiducia, l'aspettativa di qualcosa di meglio e anche un certo affidamento su cui bisogna ragionare meglio. Ma è veramente così? 

Ovviamente no, oltre ai big della tecnologia, a cui non è pensabile di sottrarre l’accesso ai dati che circolano nel fediverso, si aggiungono al numero delle potenziali spie tutti gli amministratori delle singole istanze sulle quali i dati circolano. Quanti sono? Beh, magari è uno, se penso alla mini istanza su raspberry, ma potrebbero anche essere decine e decine per le istanze più grandi. Essere grandi, in questo caso, non significa essere strutturati o migliori né comporta maggiori competenze. Significa solo che saranno più numerose le persone con privilegi di amministratore in grado di sbirciare i contenuti, purtroppo. 

Molto male, direi… questa è una informazione importante della quale ogni utente deve essere ben consapevole e per la quale occorrono remind continui.

Un po come il beeper che ricorda di allacciare le cinture in macchina, così ogni client o ogni istanza dovrebbe ricordare ad ogni utente, in continuazione, che i messaggi non sono cifrati, li possono leggere in tanti e, quindi, è meglio controllarsi un pochino nell’uso.

La falsa sicurezza fa molti più danni dell'insicurezza palese.



Un pensiero dedicato a chi crea un’istanza.

Tecnicamente, “mettere su” un’istanza non è né difficile né costoso. Chiunque lo può fare e, anzi, facendolo si impara certamente qualcosa. Lo ritengo addirittura consigliabile.

Se tutto finisce lì, con la mera installazione, non ci sono particolari problemi: si tratta di un serverino configurato, pronto a fare un certo lavoro, pronto anche ad essere spento, formattato e riutilizzato per il prossimo esperimento nerd. Se gli va male, il serverino può essere cannibalizzato, ma per i nerd questo non è necessariamente un male.

Diverso è il caso di un serverino pronto, configurato e operativo, in uso. In questo caso cambia tutto.



Un pensiero dedicato a chi crea un’istanza con un solo utente.

I microserver con un solo utente saranno presto migliaia. È bellissimo poter avere il proprio server. Oltre al divertimento di farlo, ci sarà anche un concreto vantaggio per l’intero ecosistema fediverso, tuttavia ci saranno anche delle implicazioni di cui è bene tener conto.

Su ciascuno di quei serverini, ci saranno i dati del admin ma anche i dati di altre persone con le quali l'admin avrà interagito, con le quali avrà scambiato messaggi, testi, allegati. Sono dati personali altrui. Poco importa se quei dati sono stati spontaneamente inviati e noi li abbiamo solo ricevuti. Finché li abbiamo, li dobbiamo custodire in modo appropriato.

Questo implica che il gestore del server corra un rischio e ne deve essere consapevole.

Cosa succede se l’admin non è abbastanza bravo a gestire il suo server e i dati sono esposti su internet o oggetto di un data breach?

Il GDPR prevede una esenzione per i trattamenti personali, sono infatti esclusi dal campo di applicazione del GDPR i trattamenti …

“effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico”; (articolo2)

Questa esenzione ha dei limiti, per uscire dalla sua protezione basta infatti  essere un professionista o, in generale, un lavoratore che, per esempio, comunica con un cliente o con un altro professionista. In questi casi lo strumento di comunicazione (il fediverso e la sua istanza) richiede una serie di protezioni e di adempimenti per i quali, certamente,  non può più essere considerato un simpatico giocattolino.


Chi crea un'istanza aperta ad altri utenti…

In questo caso avviene una magia: ci stiamo trasformando in piccoli Mark o piccoli Elon.

Questo ce lo dice il GDPR:

“il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico.” (considerando 18)

Cosa significa? 

Lascio ad altri eventuali considerazioni di tipo amministrativo, autorizzativo e ogni considerazione sulla normativa di settore (AgiCom in primis) e mi limito alle considerazioni più immediate e dirette.

Significa che l’amministratore dell’istanza DEVE adempiere a tutto ciò che il GDPR prevede e risponde per tutto ciò che il GDPR mette sulle spalle di un titolare del trattamento. Non è una posizione semplice e, peraltro, si parte male a causa del fatto che i dati sulle istanze sono attualmente in chiaro. Dubito che l’amico nerd che ha messo su l’istanza per il proprio condominio sia in grado di adempiere o anche solo comprendere gli obblighi e le responsabilità a suo carico che questo comporta.

Dubito anche che si abbia la voglia, il tempo e il denaro per proteggere adeguatamente quel severino e per curare gli adempimenti sottostanti.

Dopo aver superato lo scoglio della adeguata protezione dei dati che si ha l’obbligo di custodire, infatti, ci si deve confrontare con una serie di adempimenti:

  • l’elencazione precisa e completa dei trattamenti effettuati
  • l’individuazione di una base di legittimazione per i trattamenti sottostanti al serverino
  • la definizione di una politica di retention dei dati e la sua attuazione
  • la scrittura dell’informativa da mettere a disposizione degli utenti (auguri per questo!)
  • probabilmente, l’acquisizione e la documentazione del loro consenso
  • la redazione del registro dei trattamenti
  • l’individuazione e la nomina dei responsabili del trattamento (auguroni per questo!)
  • l’individuazione degli addetti incaricati del trattamento (tanti tanti auguri per questo!)
  • una procedura da seguire in caso di data breach
  • fino alla nomina di un DPO, qualora il trattamento assuma un rilievo tale da comportare anche questo adempimento.

Con riferimento all’informativa vale la pena ricordare che si tratta di un adempimento molto delicato. Non si possono dire cose sbagliate, non si possono omettere informazioni rilevanti, bisogna essere esaustivi, chiari, sintetici, comprensibili ad ogni nostro utente e, immagino, non tutti gli utenti sono cintura nera di data protection. L’informativa che una istanza deve scrivere deve tenere conto di tutto ciò che è scomodo dire e deve dirlo in modo palese.

Magari un giorno mi metterò a scrivere una bozza di informativa per un’istanza tipo, intanto ne anticipo la versione sintetica che dovrebbe campeggiare in ogni dove e comparire come un popup ovunque ed in continuazione:


“Barrisci responsabilmente!

Attenzione, ogni toot sarà visibile pubblicamente, anche i messaggi diretti. Nel fediverso non c’è riservatezza dei contenuti. Tutto ciò che invii, inclusi i metadati (utenti seguiti, like, data ed ora degli invii, destinatari, mittenti, indirizzo IP da cui ti colleghi, ecc.), sarà visibile pubblicamente, sarà conservato per sempre. Tutto quello che dirai o farai potrà essere usato, da chiunque, contro di te o contro i tuoi contatti.” 


Beh, forse messa in questi termini potrebbe suonare più come una minaccia, ma non penso che i contenuti siano lontani dalla verità.

Dulcis in fundo, è necessario strutturare una procedura e un flusso informativo per la gestione delle richieste di accesso ai dati e l'esercizio dei diritti da parte di ogni possibile interessato, cioè da parte degli utenti di una certa istanza o di ogni utente che ha mandato un messaggio verso quella istanza. 

Porcavacca, sono tanti. Vuoi che non ci sia tra loro un DPO piantagrane?

Questo significa organizzare un apparato di ricezione, valutazione, elaborazione delle risposte che sia di alto adeguato, con tempi di risposta adeguati e, in ogni caso, inferiori ad un mese e che sia, per quanto possibile, in grado di disinnescare le querelle che potrebbero nascere a causa di domande imbarazzanti o richieste sgradite. Non si può bannare gli utenti piantagrane, non si può rispondere “è gratis, di cosa ti lamenti”, non si può buttare giù tutto e scomparire se le cose vanno male. Stacca Stacca Stacca… in questo caso non funziona.

Se vuoi questa bicicletta, poi, devi pedalare! Devi sapere quello che fai e non puoi esimerti dai doveri e non puoi dimenticarti delle responsabilità che assumi. Anche perchè loro, le responsabilità, non si dimenticheranno di te.

È noto che, nel recentissimo passato, importanti istanze (non farò nomi: mastodon.uno) abbiano criminalizzato gli utenti colpevoli di aver ipotizzato che vi fossero dei problemi nella conservazione degli allegati e chiesto informazioni a riguardo. Drammatico! Utenti competenti e consapevoli, attenti alla propria riservatezza, che hanno solo fatto domande lecite, sono stati bannati ed estromessi. Una epurazione, in pratica.

Questo caso mi ha colpito perché dimostra un dilettantismo fuori scala, una approssimazione pericolosa per sé e per gli altri.

Se trattano così un utente fastidioso, con quale garbo tratteranno i dati personali di migliaia di utenti, così divertenti da sbirciare, così succulenti da monetizzare, così facili da carpire.

Anche senza voler considerare gli evidenti inadempimenti al gdpr, anche il solo fatto di aver liquidato in questo modo una DSAR* configura una pesante responsabilità e, come una valanga, può allargarsi su un fronte immenso, ingestibile per una cricca di nerd che hanno messo su un simpatico giochino.

*(Data Subject Access Request)


Anche volendo ammettere che il caso citato rappresenti un'anomalia e che gli amministratori siano tutti ben disposti a ricevere segnalazioni, consigli e critiche costruttive, restano i limiti tecnici che rendono impossibile accogliere integralmente le DSAR, le richieste di accesso ai dati personali, se corredate dalla richiesta di cancellazione.

La gestione degli allegati è, infatti, piuttosto complessa e scorporata dalla gestione del testo dei messaggi o dai metadati gestiti dal server. Spesso si appoggia a provider esterni che, ovviamente, rientrano nella filiera del trattamento del dato in veste di responsabile del trattamento.

Accogliere una richiesta di cancellazione diventa impossibile nell’immediato, difficile nel medio termine e concretamente impossibile in molti casi. 

Non è tutto qui ma direi che questo è già sufficiente per capire che tutto ciò  non si fa in due minuti e non si fa con il copia-incolla da un file trovato su internet cambiando XXXXX con il nome della propria istanza.


A questo scenario, focalizzato sul GDPR, si deve aggiungere ciò che prevede il codice penale e che, salvo sorprese, si applica anche a questo specifico caso:

l’amministratore, come anche a suo tempo il sysop, può tutto e può certamente vedere i messaggi, inclusi quelli privati. Vede i messaggi dei suoi amici, ai quali ha “graduidamente” fornito credenziali di accesso individuali e un account personale, ma vede anche i messaggi e i dati personali di ogni loro contatto o utente del fediverso con il quale gli amici abbiano intrattenuto amene e “riservate” conversazioni. Che una conversazione sia tecnicamente accessibile non significa sia lecito sbirciarla.

Resisterà il nostro eroe a cotanta tentazione? Non resisterebbe nemmeno Ulisse legato all’albero della sua nave.


In questo caso si rischia l’applicazione dell’articolo 616 del codice penale che punisce la violazione, la sottrazione e la soppressione di corrispondenza. Se la guardi, sei un criminale. Se la tocchi, sei un criminale, se spegni il server perchè la bolletta ti devasta e la corrispondenza non viene più recapitata, sei un criminale. (per dettagli, si veda qui https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-v/art616.htm)


Magari a nessuno verrebbe in mente di aprire la casella di posta del vicino e curiosare gli estratti conto della banca aprendo le lettere che ha ricevuto. Purtroppo sembra molto meno compromettente curiosare sul serverino su cui gira una nostra istanza, specialmente quando si possono cancellare le proprie impronte… ma questa è solo una pia illusione.


Dopodiché vale la pena di ricordare l’esistenza dell’articolo 615 ter: accesso abusivo ad un sistema informatico o telematico che prevede una responsabilità specifica per l’abuso del ruolo di operatore di sistema. 

“Ma come, vostro onore… ma il computer era il mio!”

Mi immagino già le risate in aula. Purtroppo questo dettaglio sarà irrilevante poichè viene punita la condotta del soggetto che, anche se abilitato ad accedere al sistema, lo faccia per raccogliere dati protetti per fini diversi dalle ragioni per cui possiede le chiavi di accesso. Questo configura un uso del sistema sistema per finalità diverse da quelle consentite.

… qui tutti i dettagli

https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-iv/art615ter.html 


Sarà molto interessante leggere i Term&Conditions delle varie istanze, con matita rossa e blu, alla ricerca di tutti i punti problematici, sia sotto il profilo penale, sia sotto il profilo civilistico, con il pensiero ai risarcimenti che gli utenti potranno chiedere ai nerd gestori di istanze compromesse, buggate, spente, crashate, ecc.

Una sola parola a riguardo: clausole vessatorie. Quanto ci rimarrà male l’admin sentendosi dire che la metà dei T&C, ovviamente scopiazzati dall’istanza blasonata, sono inutili perché non sono state gestite correttamente le clausole vessatorie?


Chi diventerà utente di una istanza piccina picciò, del proprio amico, condomino, collega, compagno di merende che sia…

Le implicazioni appena descritte sono chiaramente più gestibili ma aumenta a dismisura un rischio: il fatto che i dati siano per significativi ed interessanti per l’admin. I dati che gireranno sul serverino saranno tutti riferiti a persone ben note all’Admin, conosciute, per le quali può si può sviluppare probabilmente una normalissima e sana curiosità. E l’occasione fa l’uomo ladro.

La vicina di casa carina, il compagno di calcetto che rimorchia un sacco, il compagno di banco che ha sempre roba buona, quella schifezza umana del mio vicino che mi rompe le scatole se sento la mia musica, ecc.

Provengo da un paesino e ho sperimentato che nei paesini tutti sanno tutto di tutti. Vivo in una grande città e quando la cameriera mi inizia a chiamare per nome, cambio bar e torno ad essere invisibile.

In ogni piccolo mondo la riservatezza è inversamente proporzionale al rumore di fondo, alla confusione, alle dimensioni del mucchio.



Pensando ad una istanza elefantiaca con migliaia di utenti…

Le implicazioni diventano più serie, gli adempimenti più rigorosi e complessi e cresce il rischio di venire coinvolto in vicende scomode ed antipatiche per colpa di altri. Se nell’istanza si spacciano figurine dei Pokemon, potresti essere torchiato dalla STASI per spaccio di figurine, ma certamente tutto si risolverà bene e potrai uscire con le tue gambe dalla stanza degli interrogatori. Forse. 

Per fortuna ci sono però dei risvolti positivi: si offusca l’interesse e la significatività del dato del singolo. Probabilmente per l’admin sarà più facile avere il giusto distacco dai dati che circolano sul serverino… a meno che non si identifichino persone interessanti, per le quali si finirà per sviluppare fissazioni e, di nuovo, invasione della vita privata. 

Certo, se l’admin non è un bravo ragazzo, con molti utenti potrebbe anche divertirsi un sacco… ma sono certo che questa sia una ipotesi irrealistica. Siamo tutti brave persone e chi pensa male è un lestofante.

Intanto… auguri.



Tutto questo, il GDPR, il codice penale, la responsabilità civile, sembra incongruo e incomprensibile se si pensa che il serverino gira spinto dalla passione, per hobby, che nessuno ci guadagna e che lo si fa quasi per gioco.

Tuttavia un giovane nerd, prima di montare la sua istanza, dovrebbe familiarizzare con un concetto: l’affidamento!


MAI CREARE L’AFFIDAMENTO.  

Se qualcuno, chiamiamolo euGenio, è stato portato a pensare che sul tuo serverino sia possibile mandare messaggi diretti ad una sola persona e tu lo ospiti come utente, poco importa se euGenio non sia un genio dell’informatica, poco importa che nessuno ti paghi per un servizio e che lo fai per diletto. Poco importa che tutti sappiano che euGenio sta sbagliando!

Quando euGenio si sveglierà dal suo torpore, magari perchè, in seguito un uso malandrino dei messaggi visibili all'admin, il suo capo lo licenzierà, la fidanzata lo pianterà, il condomino lo prenderà a cazzotti perchè euGenio parla male di lui...  tutto ti sarà chiaro e ti pentirai di aver acceso quel maledetto Raspberry e di averlo collegato al fediverso.