.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

15 marzo 2024

Un piccolo uomo



Non so il tuo nome, non so nulla di te ma so che sei una giovane promessa, per molti un investimento, una speranza per altri.

So che lavori in un importante club di serie A che, per me, a prescindere dai colori, è poco più di una manica di imbecilli che corrono dietro ad una palla, circondati da una manica di imbecilli che li guardano correre. 

Ma questo è chiaramente un mio problema, so bene che sono fuori dal mondo, che c'è molto di più e che sono io a non conoscerlo. Non conosco il calcio, non lo pratico e non lo seguo, so che la AS Roma è una importante squadra, che muove molti soldi, che fa prosperare migliaia di famiglie, che i giocatori guadagnano tanto e fanno guadagnare tanto agli sponsor che, a loro volta, investono molto denaro e fanno girare il mondo. So anche che non conta nulla che un calciatore sia erudito, intelligente, sensibile, ironico o simpatico, basta che sappia fare tanti gol. In alcuni contesti bisogna anche essere del colore giusto per essere apprezzati come si merita.

Questo è tutto ciò che conosco del calcio e quindi, decisamente, non ti conosco come calciatore.

Ma, forse, conosco te da un altro punto di vista.

Tu sei solo un bambino e stai imparando a vivere nel modo più brutale di tutti: da solo, attorniato da cattivi maestri, con alle spalle una "famiglia" che ti protegge dalla maestra malvagia che ti vuole dare un brutto voto, con un amico di nome Lucignolo che ti fa godere al massimo, senza pensare ad altro.

Sei un bambino che, oggi, diventa un adulto e che scopre che le dolci parole che senti attorno a te sono bugie:

"tranquillo bambino, ci pensiamo noi"

"tranquillo bambino, va tutto bene"

"tranquillo bambino, non è successo niente"

"...non è colpa tua"

Perchè è questo che ti hanno sempre detto, ed è ciò che ti stanno dicendo anche adesso, ma attorno a te aleggia una sconosciuta sensazione di angoscia, che non hai mai provato, che non sai bene da dove venga e che tutte le rassicurazioni del mondo non riusiranno a mandare via.

Dai retta a un pirla, a uno che c'è già passato. Sai cosa vorrai fare fra poco? Vorrai rimbambirti di casino, di mille cose, di rumore, musica, botte e bordello. Correrai a perdifiato, e Dio solo sa quanto ne hai, ma quella strana sensazione ti seguirà ovunque, aspetterà paziente e ti raggiungerà sempre.

Poi cercherai di capire da dove diavolo viene e lo capirai solo guardando alle tue spalle, a chi sei, a chi sei stato il giorno in cui, con un telefono in mano, trovando un video di due persone che ben conosci che scopano, hai pensato solo "Me cojoni!" e hai toccato quella maledetta icona per condividerlo e mandarlo fuori da quel telefono.


"Quante storie per un solo invio" 

"Mica voleva fare tutto il bordello che è successo dopo"

"Sono gli altri che lo hanno condiviso infinite volte ma lui non centra"

"Perchè deve pagare lui quando lui è quello che lo ha condiviso meno di tutti"

"Sono loro gli zozzoni, se lo sono meritato"

"Non si lasciano queste cose sul cellulare, se la sono cercata"

...un florilegio di rassicuranti alibi. "Tranquillo, non è successo niente", appunto. Però ora è solo un brusio, un confuso rumore di fondo che viene presto sovfrastato da un acufene che ti trapana la testa e che non va via.

Continuano a trattarti da bambino, ma tu non riesci più ad ascoltare, non ti basta, inizi a capire che sono tutte stronzate, bugie, perché non sei più un bambino.


Benvenuto nel mondo dei grandi. Benvenuto nell'età della responsabilità.

Stai capendo che è colpa tua.

È colpa tua se due persone hanno perso il posto di lavoro.

È colpa tua se quelle due persone sono additate da tutti, se ora tutti le guardano in modo diverso, se la loro vita è diversa da prima, cambiata, peggiorata, e non sarà mai più la stessa.

La vita peggiorerà anche per tante altre persone, tu non lo sai ma salteranno delle teste, ci saranno dei processi, sentirai parlare di protezione dei dati, di codice penale, di diritti violati, di discriminazione, di tante strane cose che non capirai ma che, con il tempo, imparerai a riconoscere dentro di te.

Mi auguro che non accada ma, a volte, in questi casi, alcune vite si spengono del tutto.

È colpa tua se il tuo Club è in crisi nera e sta facendo la peggiore delle figure di merda, arrivando a negare l'evidenza per proteggerti.  Un tempo ne eri fiero, ti sentivi importante per questa falange armata attorno a te, ti sentivi invulnerabile ed era inebriante, ma ora è diverso. Ora sono tutte stronzate e non servono a cambiare le cose.

Il tribunale ti assolverà. Magari non quello di P.za Clodio ma sicuramente lo farà il tribunale della pubblica opinione... ti assolveranno tutti ma non ti basterà.

Che non si possa tornare indietro lo sapevi già, ma ora hai scoperto che non abbiamo nemmeno la possibilità di rimediare, che chiedere scusa non serve a nulla, che, qualunque cosa tu faccia, sarà sempre colpa tua.

Quando hai avuto in mano quel telefono hai visto tutto, marca, modello, ao gajardo, e via dicendo, ma non hai capito cosa fosse in realtà. Li dentro c'è la vita di una persona, anzi, di due persone. Di molte persone. Nel gesto di dartelo c'è tanta fiducia verso di te e tu l'hai tradita nel modo peggiore, ridendo.

È colpa tua non aver capito che quel telefono non è un pezzo di tecnologia ma un pezzo di vita privata, da rispettare, da proteggere.

È colpa tua se non ti sei fermato sulla soglia e l'hai varcata, se non hai provato vergogna ed imbarazzo nel trovarti, tuo malgrado, a condividere con quelle due persone qualcosa di così intimo e di così segreto. 

È tutta colpa tua.

È colpa tua se hai pensato di usare una debolezza umana, che ci accomuna, contro un tuo simile, senza renderti conto che tu non sei diverso, non sei immune, non sei un santo. Sei solo più fortunato e non hai ancora incontrato lungo il tuo cammino qualcuno che voglia divertirsi alle tue spalle ma, ti garantisco, ti capiterà. E allora capirai un altra cosa importante, di quelle che ti cambiano la vita... la capirai comunque, qualunque sia la tua erudizione, la tua sensibilità, per quanto possa essere spessa le tua scorza e alti i muri attorno a te. E da quel momento, ciò che capirai, non ti abbandonerà mai più. 

Purtroppo.



NOTA DISAMBIGUA: non so proprio niente di questa vicenda, non ho informazioni di prima mano e tutto può essere. Mi sono fatto un film nella testa che potrà serenamente essere smentito da ciò che emergerà. Ed emergerà.... perchè la merda galleggia.



04 marzo 2024

Fiat lux

 Fiat Lux


"Il buio che precede la genesi non è tanto oscuro quanto il mercimonio dei dati personali."

(CB)


Purtroppo questa tenebra fatta di CRM, database, call center, procacciatori d’affari, liste, broker, faccendieri e lestofanti non risparmia nessuno perché chiunque abbia dei dati personali, prima o poi, attira gli sciacalli. A causa di questa inevitabile e comune sorte, ogni azienda si deve confrontare con un eterno dilemma:

“Se il mio partner si avvale di un sottobosco di filibustieri ma io mi proteggo con 150 pagine di contratto e non vedo e non sento niente, posso trarre vantaggio dal fatto che sia lui a fare il lavoro sporco?”


Questa domanda non ha né una risposta univoca né una risposta netta. Viviamo tutti in un mondo di compromessi, di relazioni, di fraintendimenti, di fantasiose deduzioni e comode ingenuità.

A pensarci, appare molto lontano il concetto di “buon padre di famiglia”, tanto caro alla old school del diritto e, sovente, viene addirittura  frustrando il concetto di “buona fede” e di “trasparenza”.

Viviamo in questo mondo, un po trascinati per inerzia, un po ' invischiati come fossimo nella pece.

Ma "c'è una crepa in ogni cosa ed è da li che entra la luce".  (Leonard Cohen)


Tutto iniziò da una piccola cosa e, come accade con una palla di neve che rotola, si trasformò in una valanga.

C’era una volta una ridente cittadina che tutti chiamavano Soave. Nonostante il regno fosse afflitto dalla maledizione della strega COVIDia, due agenti di commercio, intenti a vendere i fiammiferi realizzati dalla piccola pENELope, passeggiavano incuranti dei divieti vigenti in quel periodo per sconfiggere il maleficio. Una zelante pattuglia di cavalieri del Re, sul loro cavallo grigio, fece un controllo e, insospettita dai tesserini di dubbia provenienza, volle approfondire la loro conoscenza. Si sa, in questi casi da cosa nasce cosa, fattostà che l’pENELope, ignara di tutto, finì per essere sanzionata per quasi 80.000.000 di Euro.


Sembra una fiaba ma, con una certa approssimazione dovuta alla sintesi, è accaduto veramente.


Con riferimento al PRIMO provvedimento di sanzione ad ENEL, nell’estate 2023 pubblicai un post su twitter per spiegare il buffo smascheramento operato dalla Guardia di Finanza durante il periodo pandemico che portò all'indagine del Garante e alla prima raffica di sanzioni per mercimonio di liste:

Arnia società cooperativa per 800.000€ 

Mas s.r.l.s. per 200.000€

Mas s.r.l. 500.000€

Sesta Impresa s.r.l. 300.000€

Si veda qui per maggiori dettagli:  https://twitter.com/prevenzione/status/1666111590691684353  



Di lì a poco, ENEL venne sanzionata per 26.500.000,00 di Euro. Questo provvedimento fu impugnato da ENEL e il tribunale ha annullato la sanzione per un difetto procedurale del Garante e il mancato rispetto dei tempi dell’istruttoria.

In effetti, il Tribunale non affronta il provvedimento nel merito e l’annullamento della sanzione, di fatto, non dice assolutamente nulla sulla condotta dell’ente che, allo stato attuale, è stata giudicata illecita dal Garante.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9735672)


Pochi giorni fa il Garante Privacy ha pubblicato un secondo provvedimento sanzionatorio verso ENEL.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9988710)


Si, di nuovo… ma per motivi differenti, o meglio, contestando violazioni differenti rispetto a quelle alla base del primo provvedimento.

Enel viene quindi raggiunta da una serie di nuove sanzioni così articolate:

  • Obbligo di comunicare ai 595 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito delle illecite acquisizioni da parte delle società partner, gli esiti del procedimento in base ad un testo da concordare con il Garante.
  • Obbligo di fornire adeguata documentazione al fine di attestare le avvenute implementazioni di misure di sicurezza che impediscano accessi contemporanei al sistema N.Eve
  • Obbligo di adottare ulteriori misure per garantire la tracciabilità e l’efficace monitoraggio delle operazioni svolte e degli eventi critici sul sistema N.Eve e per impedire l’accesso da indirizzi IP diversi
  • Obbligo di fare in modo che le agenzie stipulino con subagenti contratti del tutto conformi al contratto standard stipulato tra Enel Energia e le agenzie medesime e nei quali sia chiaramente esplicitata la distribuzione delle responsabilità nel trattamento dei dati
  • Obbligo di riferire entro 30 giorni sull’attuazione di questi obblighi
  • Dulcis in fundo, una sanzione pari a  € 79.107.101,00    (settantanovemilionicentosettemilacentouno)


Penso che la sanzione peggiore da digerire sia la letterina da mandare alle 595 persone coinvolte, anche perchè non potrà rimanere riservata e sarà interessante vederne i contenuti. Ricorda un po il cammino espiatorio della “Shame Walk”.

La somma da pagare probabilmente è già accantonata a bilancio e comporterà il taglio di qualche testa (metaforicamente parlando)

Le altre sanzioni sono complesse da attuare ma vanno considerate migliorie e investimenti quindi penso che non saranno un problema.



A questo provvedimento vorrei dedicare alcune osservazioni.

Innanzitutto la forma:

Il provvedimento è organizzato come un “botta e risposta” continuo dove il Garante elenca e riassume tutte le contestazioni che la difesa di Enel ha opposto in sede di istruttoria. Per ciascun elemento di difesa, alcuni certamente non peregrini, il Garante ha puntualizzato la propria posizione, a volte ricorrendo a precedenti provvedimenti, a volte in punto di diritto. In più d'una occasione, il Garante indulge in piccate repliche e argomentazioni emotive, abbastanza tautologiche seppur corrette che, probabilmente, saranno apprezzate da chi dovrà impugnare il provvedimento.  

Considerando la lunghezza del provvedimento, la complessità dell’istruttoria e la naturale tendenza a complicare le situazioni, la lettura è lunga e impegnativa. Non oso immaginare quanto difficile possa essere stata la redazione.

Ad ENEL vengono contestati alcuni comportamenti specifici, comuni a quelle aziende che beneficiano del lavoro sporco effettuato dai partner dei propri partner.

Il primo comportamento contestato dal Garante consiste nell’aver permesso l’utilizzo condiviso delle credenziali di autenticazione degli operatori. Questo è reso possibile proprio da un sistema di autenticazione che non esclude la possibilità di accessi multipli e contemporanei con le medesime credenziali ed è idoneo a consentire a più soggetti, anche esterni alla rete di vendita ufficiale di Enel Energia e, dunque, sottratti ai vincoli che la stessa impone contrattualmente anche in relazione al rispetto della normativa di data protection, di caricare proposte contrattuali sui sistemi in uso, i CRM (denominato N.Eve). 

Anche le misure di autenticazione evolute, introdotte da ENEL, si sono dimostrate concretamente inefficaci come per l’utilizzo della autenticazione a due fattori che, per come è stata implementata, non comporta l’impossibilità che più soggetti, anche non noti alla Società, condividano le medesime credenziali consegnate ad un agente. Infatti l’authenticator utilizzato consente di collegare ad un account più dispositivi di verifica, senza disconnettere i precedenti dispositivi.  Solo tardivamente ENEL ha modificato questa impostazione impedendo, ex ante, accessi multipli da parte di una medesima utenza terminando la sessione aperta qualora se ne istauri un’altra con le medesime credenziali o negando l’instaurazione della nuova sessione. 

Questo è, per il Garante, il peccato originale poichè costituisce la porta di ingresso delle molteplici attività illecite del cd. “sottobosco del telemarketing”.

Pur disponendo di diversi sistemi di verifica della compliance e pur raccogliendo i log degli accessi delle agenzie della propria rete di vendita, ENEL non ha mai utilizzato effettivamente gli strumenti a sua disposizione per verificare il corretto utilizzo dei sistemi e prevenire pratiche scorrette.


Uno dei punti analizzati dal Garante riguarda i LOG del CRM, grazie ai quali ENEL avrebbe dovuto accorgersi della presenza di operazioni sospette. Questi LOG registrano i METADATI delle operazioni di accesso al sistema, di caricamento dei contratti e assomigliano moltissimo ai metadati che recentemente sono diventati oggetto del provvedimento che ne stabilisce un termine breve di conservazione fissato ad un massimo di 7 giorni. Conservazioni ulteriori dovrebbero poter avvenire unicamente con una procedura autorizzativa. 

(Per maggiori dettagli si veda QUI   …”Chi vusa püsé la vaca l'è sua”)   


Una grande parte dell’istruttoria si basa proprio sull’analisi dei metadati dei LOG, raccolti e analizzati in un arco temporale decisamente lungo. ENEL li conserva ordinariamente per 18 mesi (72 settimane, 540 giorni) e le analisi hanno potuto contare su una mole di dati sufficiente per appurare i fatti e i comportamenti contestati.

Mi domando cosa sarebbe accaduto se ENEL avesse rigorosamente applicato sin dal 2007 i principi che il Garante ha vergato nelle sue linee guida di allora e che afferma più di recente nel Documento di Indirizzo relativo ai metadati nei log delle email.

Di sicuro non avrei scritto questo articolo e, forse, il Garante non avrebbe avuto elementi per contestare violazioni ad ENEL.


Il Garante affronta inoltre un tema apparentemente formale ma dagli importanti risvolti sostanziali: la nomina dei responsabili del trattamento e degli ulteriori sub-responsabili del trattamento.

Un corretto sistema di distribuzione delle responsabilità non può prescindere da un capillare controllo, previsto anche dal GDPR, che il titolare deve porre in essere nei confronti dei responsabili del trattamento, ed anche nei confronti dei sub-responsabili. Il Garante contesta la mancanza di un effettivo controllo e questo sarà difficile da confutare dal momento che ENEL ha accettato 9380 contratti in 8 anni caricati da un partner formalmente diffidato per uso illegittimo del marchio Enel.

ENEL da formalizzato contratti standard decisamente articolati e completi con i propri partner. Documenti di 150 pagine, scritti e verificati con attenzione che, tuttavia, presentano un difetto: con riferimento all’articolo 28 del GDPR, viene applicata solo la seconda parte dell’articolo, relativa al trasferimento di responsabilità dal titolare al responsabile in relazione all’operato del sub-responsabile, trasferimento che, da un’interpretazione sistematica dell’articolo, deve ritenersi operante solo in caso di esatta applicazione della prima parte.


La prima parte dell’articolo 28 non è presente nei contratti di ENEL e questo ha causato l’interruzione del meccanismo di propagazione degli obblighi contrattuali verso i sub-responsabili.

Il testo al quale non si fa riferimento prevede che “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento (SUB-RESPONSABILE ndr) per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento


In pratica, ENEL ha sottoscritto con i propri partner contratti gioiello da 150 pagine, superdettagliati e blindatissimi. 

I partner hanno trovato, a cascata, altre aziende a cui appoggiarsi, sub-fornitori, stipulando contratti farlocchi, riassumendo tutto in un paio di paginette e omettendo ogni elemento necessario per vincolarli a comportamenti rispettosi del GDPR.


Prosit



¸.•*´¨`*•.¸        ¸.•*´¨`*•.¸



Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.



👇 👇 Clicca qui 👇 👇