.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

28 novembre 2022

Andiamo a divertirci un po'.

 Andiamo a divertirci... e vediamo cosa succede.




Ieri, in occasione del Milan Games Week, come decine di migliaia di altre persone (ragazzi, bambini, famiglie) sono andato in FIERA. Sempre bello vedere le architetture di Renzo Piano.


Entrando in fiera, ho detto alle mie figlie:

"Ragazze, spegnete wifi e bluetooth. Però spegnetelo del tutto, non in modo temporaneo. Andate nelle impostazioni e disattivatelo da li così non si riattiva fra 10 minuti"

Sono abituate alle mie stranezze e, come ogni volta, si sono anche un po' seccate nel sentirsi raccontare come fare una cosa che sanno fare. Si, perchè spippolare con il cellulare lo sanno fare veramente bene.

Ma sono piccole, sanno"come" fare una cosa ma non sanno "cosa" stanno in realtà facendo. 

Fatto sta che le ho incuriosite e in coro mi hanno chiesto: 

"Perchè?"

Non faccio a tempo a iniziare lo spiegone che, dopo pochi passi, vediamo questo cartello:



Come ti sbagli?   E meno male che lo abbiamo visto, in bella evidenza, all'ingresso della lunga passeggiata che porta ai padiglioni.

Si tratta di una INFORMATIVA PRIVACY, non di un semplice caretello, e ci avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Un sistema invisibile, posizionato ovunque, capace di ascoltare i segnali wifi e registrare le informazioni che riesce a captare.
Ogni cellulare, se il wifi è acceso, cerca in continuazione altre reti wifi e segnala la propria presenza lampeggiando come un faro, e come un faro ha un lampeggio tipico, dice che è lui, proprio lui, non un altro cellulare qualsiasi. Lampeggia dicendo il proprio nome / codice univoco / identificativo. 
L'utente non si accorge di nulla ma è così che i dispositivi si trovano tra di loro e grazie a questo ci possiamo collegare alle reti wifi, scambiare file, accedere al tethering ecc.
Ma tutto questo non si vede.
Inoltre i cellulari sono fatti in modo da favorire l'attivazione del wifi e del BT. Infatti, per chi ha un Iphone, sarà capitato di disattivare queste funzioni e ritrovarle nuovamente attive poco dopo... appunto!

Torniamo all'informativa. Bella, fantastica, che gioia, peccato che sia troppo sintetica e che non dia abbastanza informazioni.
Alla fine si fa riferimento al sito web dove trovare quella integrale.
Ovviamente sono andato a vedere e sul sito non c'è nulla. O meglio, ho trovato l'informativa per i visitatori del sito, i cookies ecc. Non c'è nulla relativo al sistema di monitoraggio e acquisizione segnali wifi presente in fiera.
Certamente è una svista, il solito stagista distratto che ha cancellato il link. Sono certo che comparirà molto rapidamente nei prossimi giorni.

Direi che QUESTO E' UN PROBLEMA. Il primo dei problemi.
L'informativa è una cosa obbligatoria. Da li si parte per capire cosa sta succedendo. Tra le altre cose dovrebbe essere completa e, in questo caso, non lo è decisamente.
Senza poter accedere all'informativa completa, vedere questo cartello può essere considerato solo uno sforzo apprezzabile ma non sufficiente per adempiere a ciò che il GDPR prescrive.

Basiamoci su quello che abbiamo, dunque.
Diamolo per buono: pare che i dati siano trattati in forma anonima e aggregata
Questo però non è vero e forse varrebbe la pena di essere più trasparenti.
I dispositivi sono visti e tracciati in modo univoco. Magari poi sono aggregati, ma va spiegato meglio.
Acquisite l'identificativo del dispositivo significa già trattare un dato personale. Se poi lo si anonimizza (sempre che questo avvenga realmente) significa comunque aver trattato un dato personale. Non lo si può fare senza una valida base di legittimazione e, in questo caso, mi spiace dirlo e mi sbilancio, può essere solo il consenso.
Mi sbaglio? Parliamone... ho le mie ragioni.

Una parolina sul concetto di anonimizzazione: è molto molto difficile dire che un dato è stato anonimizzato.
Se, per esempio seguo un segnale wifi di un dispositivo, posso addirittura cancellare ogni riferimento, conservando solo i suoi spostamenti nel tempo e nello spazio. Se nella stessa area ci sono videocamere, anche se ho provato ad anonimizzare il dato, non l'ho fatto. La ragione, magari un po' sofisticata, sta nel fatto che, con un pizzico di buona volontà, posso incrociare i dati e associare le immagini agli spostamenti del segnale wifi anonimizzato riuscendo a trovare la persona che aveva in tasca quel dispositivo. Taaac. 
Anonimizzare è una cosa seria e si può dire di averlo fatto solo se non ci sono mezzi o possibilità di reidentificare il soggetto. Attenzione: che il titolare non intenda farlo, non gli serva farlo, non voglia farlo o non sappia farlo è del tutto irrilevante. Bisogna fare riferimento a un ipotetico soggetto che voglia farlo, sappia farlo e abbia voglia di farlo.

Per dira in altri termini: non tutti sono bravi ragazzi. Fieramilano, in questo caso, non ha alcun interesse a scoprire il nome o il volto di chi era davanti ad un certo stand o che ha fatto un certo percorso... ma questo non eslcude che vi siano soggetti che abbiano interesse a farlo e che sappiano come farlo con i dati a disposizione. Per questo "dato anonimo" è un concetto complicato.


Bene, dunque, cosa accade ai dati?
Perchè è stato messo in piedi un sistema così complesso e costoso per avere solo un dato aggregato? 
Non bastava un tornello?
Anzi, non basta la timbratura dei biglietti all'ingresso?

A mio parere, e lo dico per mancanza di informazioni (come detto, l'informativa è carente) con quei dati si fa dell'altro.
Di fatto, i sistemi di monitoraggio dell'affollamento con wifi permettono di mappare i movimenti dei singoli individui. Che bello poter avere una mappatura dei flussi dei visitatori, sapere come si muovono, da dove arrivano e dove vanno, quanto si soffermano in un determinato luogo ecc. Se fossi un ente fieristico non oserei desiderare nulla di meglio per poter rendicontare e tariffare i servizi, stabilire il costo degli stand, offrire prodotti evoluti e poterne misurare il rendimento. sarebbe fantastico...
Siamo sicuri che non sia uno scopo non dichiarato? Chiedo.

Nel recente passato Google è stata sanzionata per aver trattato i dati del wifi e in modo molto meno invasivo: la sanzione ha riguardato un semplice trattamento di acquisizione (lettura e memorizzazione) dei banalissimi nomi delle reti wifi visibili dalla strada, gli ssid. Questo trattamento è stato aggiunto durante i giretti delle google-car fatti per la mappatura fotografica street view.

Siamo sicuri che Fieramilano non corra lo stesso rischio?
La mia domanda è questa: la lettura dei wifi è proprio necessaria?
Non si può fare la stessa cosa con altri sistemi meno invasivi, che non comportino tutte le fastidiose complicazioni di questo monitoraggio dei wifi?

Se ci serve veramente solo il dato statistico dell'affollamento, che senso ha mappare i cellulari e il loro wifi? 
Mi spiago meglio, oltre che di una soluzione tecnologicamente complessa e costosa, difficile da realizzare a norma di legge e nel rispetto del GDPR, si tratta anche di una pessima idea sotto il profilo del risultato. Alcune persone hanno due cellulari in tasca, alcune non ce l'hanno affatto! Chi lo speghe o disattiva il wifi non verrebbe rendicontato. Perchè usare un sistema così fallace ed impreciso?

Basta una breve ricerca sul web per scoprire che ci sono sistemi analoghi con tecnologia ottica  (tipicamente con termocamere ad alta risoluzione) molto più accurati e economici con i quali è possibile stimare con estrema precisione l'affollamento di grandi aree senza dover "frugare in tasca alle persone" e senza acquisire dati personali, di fatto, inutili, per  i quali sarà poi necessario attrezzarsi per rispettare il GDPR.


Non vorrei sembrare tedioso ma ci sarebbe anche un'altra questione di cui parlare e, come DPO, non la giudico nemmeno troppo marginale.
Domanda: ma perchè devo essere io a disattivare il wifi per evitare di essere tracciato? Non sareste voi, ente fiera, a dover chiedere il mio permesso prima di iniziare a fare una cosa simile? Non sareste voi a dovermi garantire che il mio cellulare non sarà tracciato se io non lo desidero?

ne faccio una questione di libertà, ovviamente, e mi pongo questa domanda nell'ottica di chi non ha voglia o non può semplicemente rinunciare ad avere uno smartphone in tasca.
Cosa succede se sono un soggetto debole?
Cosa succede se mi dimentico di disattivare il wifi?
Cosa succede e se non so come fare e lo disattivo solo in modo temporaneo?
Cosa succede se devo usarlo per rispettare degli obblighi di reperibilità o anche solo perchè voglio scambiare foto con un amico?

Ci sono tante, troppe cose sbagliate in questa bella idea di mappare il wifi, a partire dal fatto di considerare liberamente disponibile e di usare  un dato personale per il solo fatto che sia accessibile.


Tutto questo non mi piace. In particolare non è bello dover rimuginare e accettare situazioni simili di Domenica, a spasso con le proprie figlie, in contesti rilassati. non ho viglia di imbracciare le armi e l'armatura del DPO ogni momento. Vorrei potermi rilassare ma, purtroppo, ogni volta che ci rilassiamo, arriva qualcuno più furbo degli altri e zak... il danno è fatto.

Non mi piace.
Le mie figlie sono avvisare e nemmeno a loro piace.

 
Per la cronaca... tutto questo parte da un cartello visto in fiera ma i sistemi di tracciamento dei dispositivi con wifi o BT attivo sono ubiquitari. Attenzione dunque

al centro commerciale, 
allo stadio,
in aeroporto, 
in stazione,
nelle zone commerciali urbane,
per le vie del centro,
nei mercatini di Natale,
visitando una cattedrale
andando ad un concerto,
in università,
in azienda
e in ogni altra fiera o evento collettivo ove si prevede che arriveranno frotte di persone di cui può essere interessante capire e studiare il comportamento, i movimenti e, in ultima analisi, di cui vogliamo sapere cose senza doverle chiedere.


ADDENDA.
In molti mi hanno scritto manifestando perplessità sul fatto che le tracce del wifi di un cellulare possano essere considerati dati personali. Molti ritengono che l'indirizzo MAC ADDRESS (un indentificativo univoco che consente ai dispositivi di riconoscersi ed indirizzare correttamente i pacchetti di dati) non possa essere un dato personale anche perchè i sistemi operativi recenti permettono di cambiarlo. In alcuni casi sono generati periodicamente nuovi mac address random per lo stesso dispositivo.

Tutto bello, tutto vero, tutto inutile.

Il dato non è personale in modo assoluto. Un dato è personale solo se esiste la possibilità di identificare il soggetto al quale esso si riferisce. E non importa chi sia in grado di farlo, non deve essere necessariamente il titolare del trattamento, può anche essere un altro soggetto, magari più attrezzato, magari in possesso di elenchi, liste, log o altri dati che permettano di identificare la persona alla quale il nostro dato appartiene.

Un esempio: "il 56% dei maschi residenti a Milano sono biondi". Questa informazione non è personale e non lo sarà mai.

Un altro esempio: la scarpetta di cenerentola. Calza bene solo a Cenerentola? Beh, allora quella delicata scarpetta è un dato personale. Strano, non assomigliava nemmeno ad un dato, eppure...

Questo conta, la possibilità (magari solo teorica) di identificazione, di associare il dato ad una persona.
Questo trasforma un dato in un dato personale.

Se un dato è un dato NON personale, possiamo farci ciò che vogliamo, possiamo prenderlo, archiviarlo, maltrattarlo, qualsiasi cosa. Non abbiamo compiti, adempimenti, non abbiamo bisogno di autorizzazioni nè di consensi. Non ci sono documenti da preparare o informative da scrivere. di sicuro non dobbiamo appendere cartelli per avvertire il mondo che stiamo trattando un dato che non è associabile ad alcuna persona. 
 

Nel nostro caso abbiamo certamente un dato personale, l'ente fiera tratta un dato personale e lo sa benissimo.

Come facciamo a saperlo con certezza? 
Beh, sarò banale ma non posso fare a meno di puntualizzare l'ovvio: è Fiera Milano stessa che ce lo dice con il cartello che ha affisso. 
Se venissero trattati dati non personali, non ci sarebbe affatto bisogno di mettere un cartello.
Più tecnicamente dovrei dire che non c'è bisogno di rendere una informativa agli interessati.

E' Fiera stessa che ci dice che "...tratta i dati così acquisiti...", ci dice che li anonimizza e li aggrega ma questo lo fa, appunto, partendo da dati che riconosce essere dati personali.
SINE QUA NON
Se non fossero dati personali, niente cartello, niente informativa, niente di niente. Lo farebbe e basta. Perchè dovrebbe avvertire?




Approfondiamo: se venisse messo un addetto alla porta con il contapersone, una macchinetta che conta +1 ogni volta che viene premuto un pulsante, non ci sarebbe nessun cartello. Contare le persone che passano non genera un dato personale  ma un dato aggregato. 

In sostanza, il segnale wifi monitorato da fiera milano è un dato personale, per questo viene data una informativa. Non ci sono dubbi.

Prosit

Nessun commento:

Posta un commento

Si pensa meglio in due... se vuoi unirti al Pensatoio, sei il benvenuto. Ragioniamo, confrontiamoci, scorniamoci... in ogni caso sarà un'occasione per progredire.