Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".
My two cents.
Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.
Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.
Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.
Google fonts: sono evitabili localizzando sul server alcuni file. Eh, no, hanno attivato il servizio con chiamate continue, realizzando così una condivisione di dati per ogni apertura di pagina. Un tracciamento totale. Questo non è nè descritto nè evitabile dall'utente medio. :-(
Doubleclicknet: questo è un servizio di PROFILAZIONE a fini di MARKETING. Praticamente, si cerca di ottenere il massimo della monetizzazione dai dati dei visitatori, ancora senza dirlo e senza chiedere permesso. eccellente.
sw-themes è un fornitore di temi per wordpress e ecommerce. Solo che anzichè darti il layout e basta, chiede di condividere i dati dei visitatori ed ha i server in USA. Praticamente, condivisione dei dati dei visitatori non dichiarata, senza consenso, fuori UE. ottimo!
Poi ci sono i servizi di analytics e tagmanager che sono molto noti sistemi di acquisizione e condivisione dati ddei visitatori, non per questo leciti senza una adeguata informativa e senza il consenso degli utenti. Nulla di tutto ciò è fatto come chiede il GDPR. ottimo.
Arriviamo alle politiche di sicurezza delle chiamate esterne: SRI non attivo su una miriade di chiamate.
chat, pulsante chiamaci, font, tagmanager, analytics, ecc.
Cookies. Per fortuna sono pochi, ma quello di analytics dura DUE ANNI, ben oltre un tempo ragionevole e consigliato dalle autorità garanti (massimo 6 mesi).
Header html relativi alla sicurezza... ce ne sono alcuni, un po pochini, e il rating del sito ne risente.
Se sei arrivato fino a qui a leggere significa che l'argomento ti interessa. Bene, ora arriva la parte succulenta: l'informativa privacy.
Qui si da il meglio (o il peggio, a seconda dei punti di vista)...
La pagina ove è pubblicata l'informativa è piena dei tracker sopra descritti, significa che non puoi leggerla senza PRIMA subire i trattamenti descritti.
Nell'informativa manca tutto il contenuto obbligatorio. (dire che non c'è nulla pare brutto e sembra poco costruttivo)
Nei tipi di dati trattati si fa riferimento unicamente ai dati inviati volontariamente con i form di richiesta. Non è così e ci sono ben altri trattamenti. Nulla è detto dei dati babbati in automatico dal sito, della profilazione e della monetizzazione del traffico.
Il titolare è Multicast srl.
Solo che appena dopo è scritto che anche il responsabile del trattamento è Multicast srl.
Non funziona così!
E' pò come dire che io sono il padrone di casa mia, ma sono anche l'affittuario ed in cambio faccio le pulizie per conto del proprietario!
Basta, purtroppo non si dice altro.
Trattamenti effettuati, finalità, durata dei trattamenti e tempi di conservazione dei dati, basi di legittimazione, i diritti degli interessati, modalità di esercizio dei diritti, DPO. Nulla. Silenzio assoluto.
Sui cookie si dice che sono usati solo cookie di terzi.
Per la cronaca, questo è PEGGIO rispetto ad usare cookie propri. Che siano di terzi non significa che ci penseranno altri. Il titolare del sito HA DECISO DI METTERLI, pertanto ne è titolare. Vanno gestiti, oppure tolti.
Segue un testo per il quale potrebbero aprirsi scenari interessanti: è stato copiato.
Di base è inutile poichè non specifico, non rilevante per gli adempimenti di legge e il rispetto del GDRP.
Peraltro, è copiato dai materiali informativi pubblicati sul sito del Garante.
Nel merito, sono descritti i cookie tecnici, i cookie analitici. Nulla è detto dei cookie di profilazione per fini di marketing.
Per questi è necessaria una adeguata informativa preventiva ed un valido consenso, anch'esso preventivo. Nulla di tutto ciò esiste sul sito.
Spiace!
Il cookie banner, suona un pò come chiedere:
"ti avviso che ho preso in prestito la tua automobile e l'ho data al mio vicino di casa. Per sapere quanto la terrà cerca informazioni nei baci perugina, intanto puoi dirmi che sei d'accordo con quell oche ho fatto."
La cosa più bella sono i consigli su come disattivare i tracciamenti e i cookies.
E' bello questo atteggiamento possibilista: dovrebbero, potrebbero, se impostato, non tutti lo fanno, discrezionale.
MA SERIAMENTE? STIAMO PARLANDO DEL VOSTRO SITO O LO STATE SUBENDO?
Mi fermo qui, senza pretese, con l'intento di dare una mano.
il mio consiglio, come sempre, è di nominare un buon DPO e consultarlo.
Costa?
Certamente... ma non avete idea di quanto costi non averlo!
Prosit.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Ho trovato un’altra puttanata nel piracy shield.
Le recenti modifiche (denuncia di sospetto uso illecito per vpn ecc) prevede, in aggiunta alla sanzione penale, l’applicazione dell’art 24bis della legge 231.
Peccato che…
…che l’articolo 24bis abbia al suo interno tre commi, tre fattispecie differenti con sanzioni differenti. Quindi non è possibile applicare la 231 per indeterminatezza del richiamo.
Inoltre…
Inoltre la norma sul piracy shield non può richiamare l’applicazione della
231 così. Sarebbe stato necessario un atto di modifica del testo della
231 e dell’art 24bis in modo da includere lì la violazione dell’obbligo di segnalazione come reato presupposto.
Ciò che sta succedendo all’FSE deve essere visto alla luce di modifiche al codice privacy apportate dal decreto “capienze” che ha lasciato mano libera allaPA sui dati.
L’ entusiasmo dovuto alla disponibilità di dati personali ha portato la p.a. su un terreno minato
Eccoti uno dei primi effetti del trattamento illecito in ambito sanitario conseguente alle finalità non sanitarie dell’uso dei dati, favorito, anzi, incoraggiato dal decreto capienze:
Eccolo li, il weekend che evapora.
l'@EU_EDPB (il Garante dei Garanti) ha appena appena pubblicato i risultati del lavoro della #TASKFORCE su @ChatGPTapp
Cose c'è scritto? Cosa ha deciso?
Beh, parecchia roba di cui discutere.
... alcune prime note:
SCRAPING (aver sgrafignato ogni cosa esistente sul web):
il rapporto riconosce che OpenAI si basa su un interesse legittimo per raccogliere ed elaborare i dati personali per addestrare ChatGPT
BOOM!
Lo scraping per addestrare ChatGPT sotto l'interesse legittimo potrebbe essere possibile se vengono utilizzate misure tecniche per mitigare il rischio.
Purtroppo mancano all'appello le misure di TRASPARENZA e quelle a tutela dei singoli INTERESSATI
@mmattana @signorina37H @sonoclaudio Sì l’ho spiegato più volte anche in modo abbastanza diffuso. Se cerchi nei tweet precedenti lo trovi di sicuro
Comunque in sintesi: …
@mmattana @signorina37H @sonoclaudio 1) L’informativa privacy proposta non risponde ai requisiti previsti dal GDP R non associa correttamente e chiaramente finalità basi di legittimazione e tempo di trattamento
@mmattana @signorina37H @sonoclaudio 2) per accedere all’informativa è necessario sorbirsi dei Tracker, la pagina dovrebbe essere priva di tecnologie per le quali è necessario un consenso
l’informativa dovrebbe essere resa in modo preventivo rispetto al trattamento
Ogni anno torna, Sanremo. Personalmente mi coinvolge quasi quanto il campionato di calcio, vale a dire meno di niente, però torna anche @FantaSanremo e questo mi interessa poichè mille mila persone lo usano e condividono dati personali.
🧵🧵🧵lungo
L’anno scorso ho cercato di dare una mano segnalando una serie di stupidaggini
Mi sarei immaginato una gestione scintillante e perfettamente compliant.
sono stato troppo ottimista.
Con alma e dall'inizio:
COOKIE BANNER
Entriamo nel sito e troviamo un bel cookie banner.
Male
Questo banner è un cookiebot, un servizio esterno. Significa che, per gestire i pochi cookie di questo sito, il gestore ha deciso di appoggiarsi ad un partner con il quale i dati sono condivisi e scambiati. Ma perchè?
Oggi provo a dare una mano al comune di #Bormio che pare avere un #QualifiedDPO. Magari sta sciando ma io lo disturberei al telefono... tano per evitare figuracce e violazioni di legge.
Parliamo di #PRIVACY, #GDPR, #Cartelli, #QRCode e #videosorveglianza urbana.
🧵 1/
Partiamo dai cartelli in giro per il paese. Utili, magari un po' "burocratesi" ma capisco che questo sia il linguaggio dei burocrati.
Però, c'è un problema: il QRCode !
Sembra una cosa bella e utile ma è fatto male, molto male.
Il QR punta ad un servizio esterno...
2/
punta ad un provider che fa ANALYTICS del traffico.
Forse vi è sfuggito ma questo trattamento richiede:
1 informativa preventiva (che non c'è)
2 consenso (che non chiedete)
3 una alternativa (che manco vi sognate)
Grandioso, peggio di così solo un calcio nelle balle.