Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".

My two cents.
Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.

Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.

Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.
Google fonts: sono evitabili localizzando sul server alcuni file. Eh, no, hanno attivato il servizio con chiamate continue, realizzando così una condivisione di dati per ogni apertura di pagina. Un tracciamento totale. Questo non è nè descritto nè evitabile dall'utente medio. :-(
Doubleclicknet: questo è un servizio di PROFILAZIONE a fini di MARKETING. Praticamente, si cerca di ottenere il massimo della monetizzazione dai dati dei visitatori, ancora senza dirlo e senza chiedere permesso. eccellente.
sw-themes è un fornitore di temi per wordpress e ecommerce. Solo che anzichè darti il layout e basta, chiede di condividere i dati dei visitatori ed ha i server in USA. Praticamente, condivisione dei dati dei visitatori non dichiarata, senza consenso, fuori UE. ottimo!
Poi ci sono i servizi di analytics e tagmanager che sono molto noti sistemi di acquisizione e condivisione dati ddei visitatori, non per questo leciti senza una adeguata informativa e senza il consenso degli utenti. Nulla di tutto ciò è fatto come chiede il GDPR. ottimo.
Arriviamo alle politiche di sicurezza delle chiamate esterne: SRI non attivo su una miriade di chiamate.
chat, pulsante chiamaci, font, tagmanager, analytics, ecc.
Cookies. Per fortuna sono pochi, ma quello di analytics dura DUE ANNI, ben oltre un tempo ragionevole e consigliato dalle autorità garanti (massimo 6 mesi).
Header html relativi alla sicurezza... ce ne sono alcuni, un po pochini, e il rating del sito ne risente.
Se sei arrivato fino a qui a leggere significa che l'argomento ti interessa. Bene, ora arriva la parte succulenta: l'informativa privacy.

Qui si da il meglio (o il peggio, a seconda dei punti di vista)...
La pagina ove è pubblicata l'informativa è piena dei tracker sopra descritti, significa che non puoi leggerla senza PRIMA subire i trattamenti descritti.

Nell'informativa manca tutto il contenuto obbligatorio. (dire che non c'è nulla pare brutto e sembra poco costruttivo)
Nei tipi di dati trattati si fa riferimento unicamente ai dati inviati volontariamente con i form di richiesta. Non è così e ci sono ben altri trattamenti. Nulla è detto dei dati babbati in automatico dal sito, della profilazione e della monetizzazione del traffico.
Il titolare è Multicast srl.
Solo che appena dopo è scritto che anche il responsabile del trattamento è Multicast srl.
Non funziona così!

E' pò come dire che io sono il padrone di casa mia, ma sono anche l'affittuario ed in cambio faccio le pulizie per conto del proprietario!
Basta, purtroppo non si dice altro.
Trattamenti effettuati, finalità, durata dei trattamenti e tempi di conservazione dei dati, basi di legittimazione, i diritti degli interessati, modalità di esercizio dei diritti, DPO. Nulla. Silenzio assoluto.
Sui cookie si dice che sono usati solo cookie di terzi.
Per la cronaca, questo è PEGGIO rispetto ad usare cookie propri. Che siano di terzi non significa che ci penseranno altri. Il titolare del sito HA DECISO DI METTERLI, pertanto ne è titolare. Vanno gestiti, oppure tolti.
Segue un testo per il quale potrebbero aprirsi scenari interessanti: è stato copiato.
Di base è inutile poichè non specifico, non rilevante per gli adempimenti di legge e il rispetto del GDRP.

Peraltro, è copiato dai materiali informativi pubblicati sul sito del Garante.
Nel merito, sono descritti i cookie tecnici, i cookie analitici. Nulla è detto dei cookie di profilazione per fini di marketing.
Per questi è necessaria una adeguata informativa preventiva ed un valido consenso, anch'esso preventivo. Nulla di tutto ciò esiste sul sito.
Spiace!
Il cookie banner, suona un pò come chiedere:

"ti avviso che ho preso in prestito la tua automobile e l'ho data al mio vicino di casa. Per sapere quanto la terrà cerca informazioni nei baci perugina, intanto puoi dirmi che sei d'accordo con quell oche ho fatto."
La cosa più bella sono i consigli su come disattivare i tracciamenti e i cookies.

E' bello questo atteggiamento possibilista: dovrebbero, potrebbero, se impostato, non tutti lo fanno, discrezionale.

MA SERIAMENTE? STIAMO PARLANDO DEL VOSTRO SITO O LO STATE SUBENDO?
Mi fermo qui, senza pretese, con l'intento di dare una mano.

il mio consiglio, come sempre, è di nominare un buon DPO e consultarlo.
Costa?
Certamente... ma non avete idea di quanto costi non averlo!

Prosit.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Christian Bernieri - DPO

Christian Bernieri - DPO Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @prevenzione

14 Jun
Riflessioni in attesa post inoculazione:

Tanti fotografano il foglio con i dati del vaccino, il qr code, data 2° dose

Condividetelo pure se volete, sappiate che potete permettervelo perche c'è una protezione forte che impedisce che quella foto venga utilizzata LIBERAMENTE
Da chi?

Dal produttore del telefono
Il fornitore sella linea
Il gestore del wifi
Lo sviluppatore delle tante app che possono leggere il rullino
Il provider dei servizi cloud sincronizzazione e backup

...e da chiunque voglia acquistare questi dati da chi vi può accedere.
Cosa lo impedisce?
Un assurdo intoppo burocratico, una fisima.

Noi talebani lo chiamiamo GDPR.
Read 6 tweets
9 Dec 20
Io, la app per la gestione del Cash Back, ha alcuni tracker di cui si può parlare.

- Google Firebase Analytics
- Instabug
- MixPanel

Fanno due cose:
1) PROFILAZIONE UTENTI E ANALISI DELL'USO DELLA APP
2) ACQUISIZIONE DEI DATI E LOG DI CRASH

Vediamo meglio... ImageImage
1- La profilazione e l'analisi del comportamento degli utenti sull'app è molto invasivo.
Digiti veloce, inverti le lettere, clicchi in un un certo modo, ecc

Può essere utile per scoprire se sei dislessico, se sei daltonico, se sei un maschio o una femmina... quanti anni hai, ecc
Sono dati anonimi? Manco per idea.
Il provider del servizio ha TUTTI I DATI IN CHIARO, PER CIASCUN UTENTE, e li rilascia al titolare della app solo in forma aggregata.
E' buffo che il titolare abbia la pia illusione che questo corrisponda ad un trattamento di dati anonimi!
Read 6 tweets
28 Sep 20
@sonoclaudio grazie per la segnalazione.

Per chi si occupa di privacy, questa iniziativa è devastante.

Devastante per il diritto
Devastante per l'esempio che da a chi le leggi le rispetta
Devastante per i dati di chi partecipa
Devastante per la fiducia di chi partecipa
Il Diritto ne esce male per le tante (e sono tante) violazioni di norme a tutela di diritti fondamentali. Non è il divieto di sosta. E' il GDPR!

L'informativa non menziona la DIFFUSIONE di dati particolari (sensibili).
Se lo facesse un noto oncologo, cosa accadrebbe?
Non si può
Vengono violati l'art. 9, l'art 13 del GDPR e Art. 167- bis del Codice Privacy. Brutto affare, le sanzioni in questo caso sono molto elevate e si rischia un procedimento penale.

Il server è in USA... altro problema. Viola la sentenza Schrems II (ma questa è roba da sofisti)
Read 10 tweets
23 Sep 20
@sonoclaudio Si scelgono servizi che funzionano, semplici, accessibili.

Se ci fosse trasparenza, se gli utenti potessero vedere le trappole senza dover fare ricerche di mercato, se il GDPR fosse applicato con rigore, allora servizi come questo sarebbero in fondo alla lista, non nella topten.
@sonoclaudio Qui vedo un numero impressionante di cookies, molti di terze parti, molti con scadenza ad 1 o 2 anni.

Violato il GDPR e la e-Privacy: cookie banner scandaloso. nessun consenso, nessun opt-out. Image
@sonoclaudio Vedo 68 richieste di terze parti. Significa che ci sono (almeno) 68 aziende (e tu non sai chi siano e cosa vogliano da te) che vedono tutto ciò che fai sul sito e con le quali i dati sono condivisi
Non ti sei registrato? Non importa, sei tracciato ugualmente per via dei 29 cookie Image
Read 6 tweets
23 Jul 20
Per il prossimo anno scolastico devo acquistare 3 iPad, ultimo modello, con più memoria del mio computer. Per le elementari.🤔

Saranno dotati di controllo remoto da parte dei insegnanti e gestori IT🤔

Sto riflettendo se dire pacatamente NO o fare ricorso al garante. Image
Una cosa è certa: quei 3 iPad NON ENTRERANNO MAI IN CASA MIA, come non entrano Alexa, Siri, Ehi Google, Cortana e compagnia cantante.

Non ci penso proprio a mettermi in salotto una webcam è un microfono, attivabili a piacimento ed in modo invisibile da una pletora di estranei
Vedo così tanti problemi da non riuscire a metterli in ordine di priorità:

Privacy
Rischi posturali e salute dei bambini
Assuefazione
Lock-in tecnologico
Zero scelta
Zero trasparenza
Costo
Didattica inadatta
Zero formazione ai docenti
Zero valutazioni sull'impatto
Read 4 tweets
30 Jun 20
#Covid
lavoratori
#privacy
#GDPR
salute
tutele
obblighi
statuto
buone intenzioni
...ed errori marchiani!

Visto oggi: azienda che *OBBLIGA* tutti i propri LAVORATORI e FORNITORI a sottoporsi al test immunologico, ripetuto periodicamente
Quanti errori!

@vitalbaa @meobaldo Image
errori su errori, su tanti fronti: quante cose non vanno in questo testo!

Violato lo statuto dei lavoratori
Violate le libertà fondamentali degli individui
Violato il diritto al lavoro
Violato il GDPR
Violata la normativa regionale
Violati gli accordi condivisi
Leggo questo con occhi di DPO e mi viene da piangere.
Mi auguro sinceramente che il DPO, in questo caso, non sia stato consultato o informato.
Io mi sarei incatenato ai cancelli per impedire una iniziativa realizzata in questo modo... o mi sarei dimesso !
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(