Troppo rumore sul databreach della regione Lazio!
Ho bisogno di pensieri nuovi e, per questo, mi sono dedicato alla lettura del provvedimento del Garante Privacy verso DELIVEROO pubblicato ieri: tre ore di meditazione, svago e spensieratezza.
M O N U M E N T A L E 1/n
Nel provvedimento c'è molto di più di che una sanzione da 2,5 M€
Ci sono indicazioni utili su come il Garante intende gestire casi analoghi. Per carità, ogni caso è diverso e molto dipende dai dettagli, tuttavia è giurisprudenza viva, utile. Non tenerne conto sarebbe folle.
Le violazioni riscontrate non sono strane, esoteriche, cervellotiche o fisimatiche. Sono banalissime omissioni, errori e sciatterie degne della peggiore tradizione del copia-incolla.
Vediamole:
...
- Registro dei trattamenti fatiscente
- Informative ai rider fatiscente
- Informative stratificate incongruenti
- Mancata (ritardata) notifica del DPO al Garante
- DPIA assente... perchè l'azienda "non ha ritenuto" di doverla fare
- Acquisizione indiscriminata di ogni dato e conservazione sine die e senza un criterio
- Condivisione dei dati senza motivi tra tutte le aziende del gruppo
- Assenza di misure di sicurezza adeguate
- Dati dei rider trattati in modo opaco, non documentato e non dichiarato, nemmeno al GP
- Conservazione di ogni comunicazione (messaggi, chat, sms, registrazione delle telefonate) per un anno
- Applicazione di trattamenti automatizzati, non dichiarati, non trasparenti, non contestabili dai rider
- Rifiuto di considerare il trattamento come potenzialmente pericoloso o anche solo lesivo dei diritti dei lavoratori
- Rifiuto di considerare "continuativa" la rilevazione della posizione dei rider ogni 12 secondi. Qui veramente allibisco e mi si stringe il cuore pensando al collega che ha dovuto sostenere questa tesi per dovere d'ufficio
- Assenza delle necessarie autorizzazioni previste dallo statuto dei lavoratori (a.d. 1970) per il controllo a distanza. (Peraltro, nessuno si era accorto in azienda che ci fosse una disciplina specifica per i Rider con riferimento e agli strumenti telematici in uso)
- Sfregio del principio di necessità del trattamento
- Sfregio del principio di Minimizzazione
- Sfregio del principio di Limitazione della conservazione
- Assenza del benchè minimo governo dei trattamenti e di quello che l'azienda fa con i dati personali.
- Violazione del principio cardine Privacy by Design e by Default (che, stringi stringi, riassume bene tutto ciò che non è stato fatto o che è stato fatto in violazione del GDPR). Art 25 GDPR, per chi ama i numeri.
Trovo illuminante l'approccio del GP sul tema TITOLARE del trattamento e CONTROLLANTE di gruppo.
Morale: prendere ordini dalla casamadre non è un'esimente.
Questo punto dovrà far riflettere molti DPO e molti C?O.
A tratti il Garante ci catapulta in una commedia brillante quando, ad esempio, per confutare la posizione di terzietà rispetto alle scelte imposte dalla casamadre, si limita a leggere l'oggetto sociale nella visura camerale che riporta esattamente tali prerogative!
Sempre dal fronte estero, è molto interessante che il GP citi espressamente posizioni e decisioni di altre autorità (es. Spagna) rilevanti ed applicabili al caso nostrano, così come richiama d'abitudine il WP29 e l'EDPB
Tutto questo con esclusivo riferimento ai dati dei RIDER... cioè dei lavoratori.
Non oso pensare a cosa potrebbe succedere se al Garante venisse voglia di indagare i trattamenti effettuati sugli utenti e a ciò che succede ai clienti sull'app o sul sito.
Pare che, oltre al DPO di gruppo, siano stati coinvolti illustri colleghi e consulenti... che forse non hanno potuto fare altro che indorare la pillola, ma la realtà resta questa: il GDPR, qui, non sanno nemmeno cosa sia!
O meglio, non lo si conosce per applicarlo ai dati degli altri. Però l'azienda ha formulato alcune richieste di confidenzialità e riservatezza delle informazioni fornite nel corso del procedimento. Ironico
... e indovina un po'...immancabilmente è in corso un titanico progetto di adeguamento al GDPR per tutto il gruppo!
Posso solo pensare che, quindi, sarà facile terminare tutti i cambiamenti imposti dal Garante entri i 60 giorni previsti.
Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".
My two cents.
Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.
Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.
Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.
Google fonts: sono evitabili localizzando sul server alcuni file. Eh, no, hanno attivato il servizio con chiamate continue, realizzando così una condivisione di dati per ogni apertura di pagina. Un tracciamento totale. Questo non è nè descritto nè evitabile dall'utente medio. :-(
Tanti fotografano il foglio con i dati del vaccino, il qr code, data 2° dose
Condividetelo pure se volete, sappiate che potete permettervelo perche c'è una protezione forte che impedisce che quella foto venga utilizzata LIBERAMENTE
Da chi?
Dal produttore del telefono
Il fornitore sella linea
Il gestore del wifi
Lo sviluppatore delle tante app che possono leggere il rullino
Il provider dei servizi cloud sincronizzazione e backup
...e da chiunque voglia acquistare questi dati da chi vi può accedere.
Cosa lo impedisce?
Un assurdo intoppo burocratico, una fisima.
Io, la app per la gestione del Cash Back, ha alcuni tracker di cui si può parlare.
- Google Firebase Analytics
- Instabug
- MixPanel
Fanno due cose: 1) PROFILAZIONE UTENTI E ANALISI DELL'USO DELLA APP 2) ACQUISIZIONE DEI DATI E LOG DI CRASH
Vediamo meglio...
1- La profilazione e l'analisi del comportamento degli utenti sull'app è molto invasivo.
Digiti veloce, inverti le lettere, clicchi in un un certo modo, ecc
Può essere utile per scoprire se sei dislessico, se sei daltonico, se sei un maschio o una femmina... quanti anni hai, ecc
Sono dati anonimi? Manco per idea.
Il provider del servizio ha TUTTI I DATI IN CHIARO, PER CIASCUN UTENTE, e li rilascia al titolare della app solo in forma aggregata.
E' buffo che il titolare abbia la pia illusione che questo corrisponda ad un trattamento di dati anonimi!
Per chi si occupa di privacy, questa iniziativa è devastante.
Devastante per il diritto
Devastante per l'esempio che da a chi le leggi le rispetta
Devastante per i dati di chi partecipa
Devastante per la fiducia di chi partecipa
Il Diritto ne esce male per le tante (e sono tante) violazioni di norme a tutela di diritti fondamentali. Non è il divieto di sosta. E' il GDPR!
L'informativa non menziona la DIFFUSIONE di dati particolari (sensibili).
Se lo facesse un noto oncologo, cosa accadrebbe?
Non si può
Vengono violati l'art. 9, l'art 13 del GDPR e Art. 167- bis del Codice Privacy. Brutto affare, le sanzioni in questo caso sono molto elevate e si rischia un procedimento penale.
Il server è in USA... altro problema. Viola la sentenza Schrems II (ma questa è roba da sofisti)
@sonoclaudio Si scelgono servizi che funzionano, semplici, accessibili.
Se ci fosse trasparenza, se gli utenti potessero vedere le trappole senza dover fare ricerche di mercato, se il GDPR fosse applicato con rigore, allora servizi come questo sarebbero in fondo alla lista, non nella topten.
@sonoclaudio Qui vedo un numero impressionante di cookies, molti di terze parti, molti con scadenza ad 1 o 2 anni.
Violato il GDPR e la e-Privacy: cookie banner scandaloso. nessun consenso, nessun opt-out.
@sonoclaudio Vedo 68 richieste di terze parti. Significa che ci sono (almeno) 68 aziende (e tu non sai chi siano e cosa vogliano da te) che vedono tutto ciò che fai sul sito e con le quali i dati sono condivisi
Non ti sei registrato? Non importa, sei tracciato ugualmente per via dei 29 cookie
Per il prossimo anno scolastico devo acquistare 3 iPad, ultimo modello, con più memoria del mio computer. Per le elementari.🤔
Saranno dotati di controllo remoto da parte dei insegnanti e gestori IT🤔
Sto riflettendo se dire pacatamente NO o fare ricorso al garante.
Una cosa è certa: quei 3 iPad NON ENTRERANNO MAI IN CASA MIA, come non entrano Alexa, Siri, Ehi Google, Cortana e compagnia cantante.
Non ci penso proprio a mettermi in salotto una webcam è un microfono, attivabili a piacimento ed in modo invisibile da una pletora di estranei
Vedo così tanti problemi da non riuscire a metterli in ordine di priorità:
Privacy
Rischi posturali e salute dei bambini
Assuefazione
Lock-in tecnologico
Zero scelta
Zero trasparenza
Costo
Didattica inadatta
Zero formazione ai docenti
Zero valutazioni sull'impatto