.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

30 aprile 2024

FlashPost - MANIFESTAMENTE INCOMPETENTI



Nei giorni scorsi è stato pubblicato un articolo su il Manifesto riguardante i dati personali e lo stato di Israele. (QUI il link all’articolo)

Nonostante non sia io l’autore e non sia affatto coinvolto nella stesura, immediatamente ho ricevuto richieste di commento e spiegazione dei contenuti che, in effetti, hanno suscitato perplessità e paura.


Ragazzi de il Manifesto, datevi una svegliata oppure una calmata, a vostra scelta. Si potrebbe iniziare a parlare di temi tecnici con competenza, senza buttarla in caciara e senza asservirli a fini ideologici. In alternativa suggerisco di non parlarne affatto.


Non mi sconvolge leggere articoli che contengono errori, ma avete un certo seguito e, forse, anche una certa responsabilità nei contenuti che veicolate.


Vediamo di capire perchè questo articolo è una presa per i fondelli:


“Il paese viola tutti gli standard stabiliti dal Gdpr”

Falso.

Un giudizio che non ha alcun senso. Il GDPR è una norma europea e non stabilisce standard universali. Oltre a questo, Israele ha una propria normativa sulla protezione dei dati personali ed è compatibile con i principi del GDPR.


“Israele potrà trasferire nel suo paese i dati dei cittadini europei. Come se niente fosse, come non ci fosse un genocidio, come se fosse un paese sicuro dal punto di vista della privacy.”

FALSO

Mentite sapendo di mentire e questo è grave. Vediamo nel dettaglio perchè questa affermazione è una bugia:


Scenario 1: vigenza del GDPR

Il GDPR non autorizza uno stato a prelevare dati personali di cittadini europei. Se mai è il contrario, il GDPR autorizza gli stati membri e le imprese ad avvalersi di partner localizzati in paesi extra UE, purchè vi sia un giudizio di adeguatezza.

L’automatismo dell’accesso libero e arbitrario ai dati ve lo siete inventato di sana pianta.


Scenario 2: senza vigenza del GDPR, senza giudizio di adeguatezza

Questo si che sarebbe preoccupante e sembra la premessa ideale per attività illecite.

La violazione dei dati personali avviene in paesi ove non vigono regole e che non si sono impegnati a rispettare principi e accordi. Invalidare il giudizio di adeguatezza, considerare un ordinamento statale inefficace, di fatto, lascerebbe quello Stato libero di agire senza dover tenere in considerazione alcuna norma e favorirebbe l’acquisizione spregiudicata ed illecita di dati


“Come se sulla sorveglianza di massa non avesse costruito gli strumenti per le stragi a Gaza.”

FORVIANTE

Il GDPR non si applica ai trattamenti effettuati per fini di salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, Né in Europa né altrove. Le attività di intelligence, le attività militari, la sorveglianza rispetto a terrorismo, con buona pace dei benpensanti, non si svolgono secondo le stesse regole che disciplinano il trattamento dei dati personali ordinario.


“la Commissione di Bruxelles ha dato via libera alla possibilità del trasferimento dei dati da e verso Israele. ”

FALSO

Israele è un paese verso il quale i dati possono liberamente circolare in virtù di un giudizio di adeguatezza fin dal 2011.

I dati non circolano liberi come le rondini nel cielo. La libera circolazione è regolata dalle finalità e dalle basi di legittimazione del trattamento. In altre parole, i dati vanno in Israele solo se c’è qualcuno che ce li manda, che li invia ad un proprio partner commerciale, ad un proprio fornitore, ad un proprio cliente. Gli enti pubblici sono ancora più vincolanti e possono trasferire dati solo nell’esercizio di funzioni istituzionali.



“Dati dei cittadini del vecchio continente. Che ora potrebbero essere profilati, controllati, spiati da Tel Aviv.”

FALSO

Altra cazzata sesquipedale. Il trattamento dei dati soggetto al GDPR non prevede e non autorizza affatto profilazione, controllo e attività spia. Al contrario, le finalità di salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse autorizzano QUALSIASI stato a dotarsi di sistemi di monitoraggio.

Vi svelo un segreto, questo capita anche in tutta EUROPA, capita anche in USA, in UK, in GIAPPONE, in CANADA, in RUSSIA, in CINA, in INDIA, negli EMIRATI ARABI, in QUATAR, … in PALESTINA. 

Se solo potessi aspettarmi una risposta non ideologica, farei una domanda alla redazione: “perchè bisognerebbe scandalizzarsi e negare ad Israele ciò che ogni governo del pianeta deve fare, può fare e fa?”.



Soprassiedo sul sproloquio sulle filiali “autonome” e sulla ricostruzione delle sentenze Schrems perchè quasi ogni parola è errata. 


Più oltre si rasenta il delirio e l’articolo lascia spazio a qualunquismo e caciara pura, con frasi evocative, che suscitano sentimenti viscerali ma senza nessun significato e senza alcun collegamento con la realtà:

“Dove ora si sa che le stragi dell’esercito israeliano sono state compiute, guidate dall’intelligenza artificiale, istruita rubando i dati dei palestinesi. Controllando, sorvegliando qualsiasi cosa, dai telefonini, alle tv, alle mail. Un immenso database all’origine delle stragi.”

Ragazzi, io ci metterei anche la blockchain, datemi retta, fa figo e acchiappa un sacco.


La chiusa è memorabile, arriva sgarzullina scollegata da tutto il resto e, di nuovo, mischia tutto in un unico calderone di dissenso:  “I trasferimenti indiscriminati di dati personali da e verso i territori occupati sono stati determinanti per la costruzione dell’apparato di sorveglianza di massa, decisivi per la costruzione di database biometrici dei palestinesi e il loro utilizzo per liste di uccisioni generate dall’intelligenza artificiale a Gaza. Israele non può in alcun modo essere considerato un paradiso per la protezione dei dati.”


Posso capire che vogliate dire male di Israele, posso capire che ci siano delle idee e delle tesi da sostenere ma, vi prego, fatelo con gli strumenti giusti. Così vi fate male.


Ma visto che ci siamo… mi sono registrato al sito per accedere all’articolo. Non ho dato alcun consenso e, guarda caso, il giorno dopo mi è arrivata una fantastica mail di SPAM dalla redazione.


Siamo sicuri che il cattivo, quello che tratta i dati illecitamente, quello che andrebbe fermato sia proprio Israele?

Siamo sicuri che voi siete santi?

Io non credo, ho interagito con voi e in meno di 24 ore avete già trattato i miei dati in modo illecito.

Complimenti.


01 aprile 2024

Taxiiiii...?


Tratto da QUI (finchè resiste)Erano Tweet, sono diventati un articolo un pò strano.

Vorrei tanto dare una mano a @RobertoRedSox che stimo. Non potendo farlo, cerco di dare una mano alla cooperativa CO.TA.BO (non è su X) che, non avendo il senso della realtà, si sta mettendo nei guai giorno dopo giorno. vediamo cosa posso fare per voi, amici. 



Carissimi Coop COTABO , partiamo dalla APP. La "NOSTRA APP", come dichiarate ovunque. Bene, direi che non ci sono dubbi: siete i titolari del trattamento e questo comporta una serie di responsabilità.
Hai, mi sa che partiamo maluccio.


La privacy Policy della APP dice che il titolare del trattamento è un'altro. Brutta cosa l'incongruenza, non se ne esce bene.
Trovo citati articoli ABROGATI da più di 5 anni. Sempre meglio

Nell'informativa mancano informazioni obbligatorie come il tempo di conservazione



Forse non ve ne rendete conto ma queste sono violazioni al GDPR e ricadono sulle vostra pelle. I soci lo sanno?

Proseguiamo... i trattamenti dichiarati non dicono tutto e questo anche rispetto agli store Google e Apple: la app include dei TRACKER e PROFILA l'utente...

Non avete dichiarato che la APP PROFILA GLI UTENTI PER FINI DI MARKETING e questa è sia una violazione del GDPR che dei termini di uso sugli app-store. Rischiate di essere bannati, lo sapete? Mi sa di no.

Speriamo che nessuno lo segnali... sarebbe un guaio 😈




Direi che smetto di parlare dell'informativa della app, fa talmente schifo da non essere nemmeno aggiustabile: va cancellata e riscritta da zero. Vi conviene.

Ribadisco, se avete scelto questa app come provider, VOI siete il titolare del trattamento.


Passiamo al SITO.
Sapendo quanto siete attenti alla vostra immagine mi sarei aspettato il meglio.
Che delusione...

Chiunque acceda viene tracciato e profilato, così, tanto per gradire, senza potersi opporre ai tracker
Ma io volevo solo un taxi, perchè lo fate?


Nello specifico:

IUBENDA: e come ti sbagli? per dare una informativa avete introdotto un servizio mastodontico che amplifica la raccolta e la condivisione dei dati. Pessima scelta.

FACEBOOK: qui è come sparare sulla crocerossa. Manco lo commento, mi fa troppo ridere.

Bisognerà fare una telefonata a chi ha sviluppato il sito perchè mancano un po di header di sicurezza:
Strict-Transport-Security Content-Security-Policy X-Frame-Options X-Content-Type-Options Referrer-Policy Permissions-Policy
... e vi servono, ve lo garantisco.


Chi visita il sito viene profilato e i dati sono condivisi, come dicevamo, vediamolo meglio:

È necessario il consenso eppure voi lo fate anche senza e prima sia stato manifestato. L'utente non lo può evitare. Ma lo chiedete il consenso? Almeno lo avvisate l'utente?
hem NO



NO
Questo è il cookie-banner e fa veramente schifo.
Viola il GDPR, le linee guida del Garante, il buonsenso

"Se continui accetti" è una presa per il culo, lo sanno anche i sassi che non serve a niente. Dovete chiedere un OK, un CLICK un consenso facoltativo e valido


Inoltre non avvisate proprio di nulla perchè in questo trafiletto non dite ciò che fa il sito.. e lo fate prima ancora che l'utente se ne possa accorgere o possa proseguire (che nella vostra testa corrisponde ad un consenso)

in breve: mentite alla gente.
Che schifo.
Io non vorrei infierire, magari è colpa mia, ma non vedo proprio l'informativa privacy sul sito.

O meglio, vedo i tracker di Iubenda quindi avete certamente esternalizzato questo servizio, ma non vedo proprio un link all'informativa e non compare da nessuna parte

Questo è un problema perchè TUTTI dovrebbero potervi accedere. Se io, con il mio normalissimo browser che filtra i tracker, non posso accedere all'informativa, la colpa è vostra, non mia.

Filtrare i tracker è un diritto e lo devo fare perchè al mondo c'è gente come voi!

Quindi, in breve, il vostro sito non mostra l'informativa ad una cospicua percentuale di visitatori, e voi non fate nulla per rimediare.

In pratica date l'informativa solo a chi si lascia profilare... Anche questo viola il GDPR.

Ora telefono al vostro callcenter.
tuuuu tuuuu
"questi dati saranno utilizzati SOLO per svolgere il servizio richiesto
Questa chiamata potrebbe essere registrata"

ma siete impazziti? Così vi fate del male da soli.
è una contraddizione in termini ed è incoerente con il sito



Chiamavo per avere un taxi e, per questo, è necessario registrare la conversazione? Questa è una cazzata atomica.
Dove tenete la registrazione, chi la può ascoltare, per quali finalità, in quali casi... non dite nulla, non si sa.
Molto molto male.

Prendo in prestito le geniali parole di @zerocalcare

Saluto gli amici del Garante Privacy @GPDP_IT. @meobaldo : questo è il mio regalo di Natale alla Coop Catabo e all'Autorità Garante, a beneficio di ogni utente dei Taxi di Bologna.