In radio ho sentito una pubblicità agghiacciante per un DPO. Quanti ci cascheranno? Quanti danni farà questa cosa?

Ovviamente, riguarda il GREEN PASS: verifica il GP dei lavoratori in cloud. Ammiccante!

Prima forse è meglio capire bene di cosa si tratta: 1/n
Il produttore non si presenta bene. Sito ingolfato di tracker (4), dei peggiori, cookie di terze parti, addirittura un keylogger (Yandex) e, ovviamente, nessun avviso e nessun consenso chiesto al visitatore. Decisamente in violazione del GDPR.
Con il cookie banner c'è una chicca: se non accetti i cookies, ti butta fuori e ti manda su google. Ovviamente è una formalità perchè i cookies sono attivi ben prima della comparsa del banner
Aprendo l'informativa campeggia una frase che spiega tutto. Vi credo, è sicuramente così
Il resto dell'informativa è fatiscente, non dice nulla di ciò che dovrebbe e quel poco che dice continente grossolani errori.

Non partiamo bene. Io non darei il mio GP ad un'azienda che si presenta violando il GDPR... e non darei nemmeno quello dei miei lavoratori.

Comunque..
VENIAMO AL PRODOTTO... Nessun header di sicurezza nel codice HTML.
Cookie di terze parti ma, almeno, è più pulito del sito principale. Il cookie banner non funziona perchè non disabilità l'analytics... transeat, non è a norma ma non è grave.
L'AZIENDA deve creare l'anagrafica dei lavoratori (con una miriade di dati non necessari (alla faccia del principio di minimizzazione) che, a loro volta, devono caricare il proprio QRCode.

CARICARE IL QRCODE? Trasalisco.
"Può farlo solo il lavoratore" e vorrei ben vedere!
Ottimo, quindi significa che IL TITOLARE HA GENERATO UN ARCHIVIO DEI QRCODE. E' vietato dalla legge sul controllo dei GP e dal GDPR oltre che ribadito dal Garante.

Non è tutto. C'è lo storico delle verifiche! Qui mi taccio per non diventare scurrile ma è una follia per un DPO
Poi si trova un'altra chicca: "Per garantire la compliance con le direttive del garante, l’immagine viene distrutta automaticamente contestualmente alla registrazione dell’esito della verifica."

Garantire la compliance con le direttive del garante???
Il lavoratore, come minimo, dovrebbe poter dire NO GRAZIE (opposizione) all'uso di questo sistema e richiedere una verifica ordinaria, ma dubito che verrebbe interpellato.
Mi incuriosisce l'idea di QUALE BASE DI LEGITTIMAZIONE potrà mai indicare l'azienda.
Nota tecnica: le spiegazioni date dal produttore per ammantare di legalità questo tool sono risibili.
C'è un database contenente i QRCode, voluto dal Titolare, viola il GDPR in troppi modi per stare in un tweet.
Se non fosse chiaro: LA RESPONSABILITA' DELLE VIOLAZIONI IN MATERIA DI PRIVACY E' DELL'AZIENDA CHE USA QUESTO SISTEMA!

Piuttosto, io preferirei mille volte non fare alcun controllo sul G.P. e prendermi una (eventuale) sanzione amministrativa. Non c'è paragone.
Consiglio per il produttore: contattate un DPO e in fretta, ce ne sono molti a spasso.

Consiglio per le aziende: lo avete acquistato? Buona fortuna! (ditelo al DPO)

Consiglio per i lavoratori: se vi chiedono di caricare il vostro QRCode o GP da qualche parte, non fatelo. MAI.
...Però il logo è bello.
Per la serie “la risposta ad una domanda che nessuno ha mai posto”:
Perché dovrei verificare centralmente il Green pass di lavoratori che non entrano nei luoghi di lavoro? La legge non chiede questo. E se ho più sedi, non è più semplice delegare al controllo altri lavoratori?
Avevo la sensazione di aver dimenticato qualcosa...
eh, si.

L'esempio di caricamento illustra un green pass completo, non un QRCode.
Questo è molto molto brutto poichè, oltre al QRCodce, che è l'unica cosa che serve per la verifica, si trattano TUTTI i dati sanitari.
forse, tutto ciò, è un grande equivoco: forse è solo UN SITO HCE VUOLE FARE DELLE COSE e altra gente, non so bene chi, ne poi ne farà altre.
E io dovrei acconsentire? Ma certo, perchè no.

Non è noto, oltre alla grammatica, che la base di legittimazione sia il Contratto?
Ribadisco il consiglio per gli sviluppatori: contattate un DPO.

Dopo i tweet, qualche cambiamento c'è stato, tuttavia non va nella direzione giusta:

L'informativa privacy NON SI ACCETTA. Ma proprio no! Non chiedetelo.
Il titolare deve dare l'informativa, l'utente la riceve.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Christian Bernieri - DPO

Christian Bernieri - DPO Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @prevenzione

14 Oct
Portuali GDPR Green pass. una combinazione esplosiva.

con i controlli massivi del GP, previsti dal DPCM ultimo, i lavoratori in protesta hanno meno opzioni che in passato.

Se, anziché scioperare, decidessero di presentarsi senza GP, i vaccinati non potrebbero farlo.
1/m
Chi è vaccinato risulterà possessore di Green pass e la visibilità di questo dato prescinde dalla presentazione fisica del QRCode.

Non hanno scelta.
Neanche volendo potrebbero supportare i colleghi nella protesta,anzi, rischierebbero il posto di lavoro.
Cosa c’entra il GDPR?
È tutto lì:
Il lavoratore non può esercitare alcuno dei diritti previsti dal GDPR e non si può opporre a questo trattamento.

la base di legittimazione di questa verifica non permette una tale compressione di diritti.
Read 4 tweets
14 Oct
I portuali mi piacciono. Ho lavorato con loro a Marghera: è l'unico posto dove puoi scegliere se vuoi lo spritz con aperol (per le femmine) o con campari (normale). Non puoi non prenderlo. Certo, l'alcol è vietato, ma li funziona così.

Oggi ci insegnano qualcosa: ...
Se esiste una discriminazione (o un privilegio) tutti lottano per rimuoverla, anche se coinvolge poche persone.

Attenzione: la discriminazione di pochi non può essere tollerata perchè oggi sono loro, domani sono altri e poi arriva a tutti.

Il motivo della stessa è irrilevante.
Si può non essere d'accordo con loro e per questo è legittimo non aderire alla loro iniziativa e protesta, ma non li si può criticare.

Anzi, vanno ringraziati perchè ci mostrano come vanno difesi i diritti... non i propri (troppo facile), quelli di chi se li vede calpestati.
Read 4 tweets
13 Oct
Spizzicando il DPCM E2

Pesca a strascico vietata ma solo in teoria.
Le modalità di verifica massiva prevedono la verificabilità SOLAMENTE del personale presente. Non si può verificare il GP di lavoratori in ferie, in trasferta, diciamo non soggetti al controllo.

ma... Image
ma non trovo misure tecniche che blocchino la possibilità di farlo.
Tutto è demandato all'operatore delegato che dovrebbe procurarsi le timbrature, estrarre i CF e controllare solo quelli presenti...
Forse sono pessimista ma temo che sia irrealistico aspettarsi questo zelo
In pratica, il delegato può inserire i CF di tutti i colleghi e controllarli. Ovviamente può essere fatto per errore o per abuso. SI, viene tracciato e sarà punibile ma non basta. è altamente probabile che avvenga e non ci sono misure per prevenirlo.

Inaccettabile per un DPO.
Read 4 tweets
3 Aug
Troppo rumore sul databreach della regione Lazio!
Ho bisogno di pensieri nuovi e, per questo, mi sono dedicato alla lettura del provvedimento del Garante Privacy verso DELIVEROO pubblicato ieri: tre ore di meditazione, svago e spensieratezza.
M O N U M E N T A L E
1/n
Nel provvedimento c'è molto di più di che una sanzione da 2,5 M€
Ci sono indicazioni utili su come il Garante intende gestire casi analoghi. Per carità, ogni caso è diverso e molto dipende dai dettagli, tuttavia è giurisprudenza viva, utile. Non tenerne conto sarebbe folle.
Le violazioni riscontrate non sono strane, esoteriche, cervellotiche o fisimatiche. Sono banalissime omissioni, errori e sciatterie degne della peggiore tradizione del copia-incolla.
Vediamole:
...
Read 19 tweets
16 Jun
Ed anche oggi proviamo a dare una mano.
Un partito ha scelto la nuova piattaforma per il voto elettronico. Non commento la scelta non mi riguarda. Provo a suggerire spunti di riflessione, tanto per evitare di dover dire in futuro "sono stati gli hacker".

My two cents.
Skyvote. Partiamo dal sito e partiamo maluccio.
Quasi nulla è documentato.

Il sito ha una serie di chiamate esterne (23) decisamente rilevante, molte delle quali evitabili e non necessarie.

Spero di poter vedere la piattaforma e spero che questa sia fatta in modo differente.
Google fonts: sono evitabili localizzando sul server alcuni file. Eh, no, hanno attivato il servizio con chiamate continue, realizzando così una condivisione di dati per ogni apertura di pagina. Un tracciamento totale. Questo non è nè descritto nè evitabile dall'utente medio. :-(
Read 20 tweets
14 Jun
Riflessioni in attesa post inoculazione:

Tanti fotografano il foglio con i dati del vaccino, il qr code, data 2° dose

Condividetelo pure se volete, sappiate che potete permettervelo perche c'è una protezione forte che impedisce che quella foto venga utilizzata LIBERAMENTE
Da chi?

Dal produttore del telefono
Il fornitore sella linea
Il gestore del wifi
Lo sviluppatore delle tante app che possono leggere il rullino
Il provider dei servizi cloud sincronizzazione e backup

...e da chiunque voglia acquistare questi dati da chi vi può accedere.
Cosa lo impedisce?
Un assurdo intoppo burocratico, una fisima.

Noi talebani lo chiamiamo GDPR.
Read 6 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(