Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
View Regular
Christian Bernieri - DPO Profile picture
Christian Bernieri - DPO
@prevenzione
“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E - la privacy “È roba che va fatta fare a chi ne sa.” Il Blog è qui: https://t.co/iVsCzmsZtr

Jun 16, 2021, 20 tweets

Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".

My two cents.

Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.

Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.

Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.

Google fonts: sono evitabili localizzando sul server alcuni file. Eh, no, hanno attivato il servizio con chiamate continue, realizzando così una condivisione di dati per ogni apertura di pagina. Un tracciamento totale. Questo non è nè descritto nè evitabile dall'utente medio. :-(

Doubleclicknet: questo è un servizio di PROFILAZIONE a fini di MARKETING. Praticamente, si cerca di ottenere il massimo della monetizzazione dai dati dei visitatori, ancora senza dirlo e senza chiedere permesso. eccellente.

sw-themes è un fornitore di temi per wordpress e ecommerce. Solo che anzichè darti il layout e basta, chiede di condividere i dati dei visitatori ed ha i server in USA. Praticamente, condivisione dei dati dei visitatori non dichiarata, senza consenso, fuori UE. ottimo!

Poi ci sono i servizi di analytics e tagmanager che sono molto noti sistemi di acquisizione e condivisione dati ddei visitatori, non per questo leciti senza una adeguata informativa e senza il consenso degli utenti. Nulla di tutto ciò è fatto come chiede il GDPR. ottimo.

Arriviamo alle politiche di sicurezza delle chiamate esterne: SRI non attivo su una miriade di chiamate.
chat, pulsante chiamaci, font, tagmanager, analytics, ecc.

Cookies. Per fortuna sono pochi, ma quello di analytics dura DUE ANNI, ben oltre un tempo ragionevole e consigliato dalle autorità garanti (massimo 6 mesi).

Header html relativi alla sicurezza... ce ne sono alcuni, un po pochini, e il rating del sito ne risente.

Se sei arrivato fino a qui a leggere significa che l'argomento ti interessa. Bene, ora arriva la parte succulenta: l'informativa privacy.

Qui si da il meglio (o il peggio, a seconda dei punti di vista)...

La pagina ove è pubblicata l'informativa è piena dei tracker sopra descritti, significa che non puoi leggerla senza PRIMA subire i trattamenti descritti.

Nell'informativa manca tutto il contenuto obbligatorio. (dire che non c'è nulla pare brutto e sembra poco costruttivo)

Nei tipi di dati trattati si fa riferimento unicamente ai dati inviati volontariamente con i form di richiesta. Non è così e ci sono ben altri trattamenti. Nulla è detto dei dati babbati in automatico dal sito, della profilazione e della monetizzazione del traffico.

Il titolare è Multicast srl.
Solo che appena dopo è scritto che anche il responsabile del trattamento è Multicast srl.
Non funziona così!

E' pò come dire che io sono il padrone di casa mia, ma sono anche l'affittuario ed in cambio faccio le pulizie per conto del proprietario!

Basta, purtroppo non si dice altro.
Trattamenti effettuati, finalità, durata dei trattamenti e tempi di conservazione dei dati, basi di legittimazione, i diritti degli interessati, modalità di esercizio dei diritti, DPO. Nulla. Silenzio assoluto.

Sui cookie si dice che sono usati solo cookie di terzi.
Per la cronaca, questo è PEGGIO rispetto ad usare cookie propri. Che siano di terzi non significa che ci penseranno altri. Il titolare del sito HA DECISO DI METTERLI, pertanto ne è titolare. Vanno gestiti, oppure tolti.

Segue un testo per il quale potrebbero aprirsi scenari interessanti: è stato copiato.
Di base è inutile poichè non specifico, non rilevante per gli adempimenti di legge e il rispetto del GDRP.

Peraltro, è copiato dai materiali informativi pubblicati sul sito del Garante.

Nel merito, sono descritti i cookie tecnici, i cookie analitici. Nulla è detto dei cookie di profilazione per fini di marketing.
Per questi è necessaria una adeguata informativa preventiva ed un valido consenso, anch'esso preventivo. Nulla di tutto ciò esiste sul sito.
Spiace!

Il cookie banner, suona un pò come chiedere:

"ti avviso che ho preso in prestito la tua automobile e l'ho data al mio vicino di casa. Per sapere quanto la terrà cerca informazioni nei baci perugina, intanto puoi dirmi che sei d'accordo con quell oche ho fatto."

La cosa più bella sono i consigli su come disattivare i tracciamenti e i cookies.

E' bello questo atteggiamento possibilista: dovrebbero, potrebbero, se impostato, non tutti lo fanno, discrezionale.

MA SERIAMENTE? STIAMO PARLANDO DEL VOSTRO SITO O LO STATE SUBENDO?

Mi fermo qui, senza pretese, con l'intento di dare una mano.

il mio consiglio, come sempre, è di nominare un buon DPO e consultarlo.
Costa?
Certamente... ma non avete idea di quanto costi non averlo!

Prosit.

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling