Firefox e Privacy by Design

Successivamente alla piena entrata in vigore del Regolamento, ricevo molte richieste sui cookies e le relative informative dei siti web.

Vorrei proporre, ai miei 4 occasionali visitatori, una nuova prospettiva dalla quale approcciare il problema.

Dapprima voglio ricordare come molti survey, effettuati da più parti, indicano come i visitatori dei siti web non si soffermano quasi mai a leggere l’informativa, neanche quella semplificata; è quindi errato il concetto alla base.

Propongo quindi di spostare il problema su di un diverso ambito; quello di dataprotection by design.

Coloro che visitano un sito web utilizzano un software definito web browser; si tratta quindi di un software che gli utenti possono liberamente configurare (anzi devono, se tengono alla propria privacy).

Purtroppo molti non conoscono bene le implicazioni conseguenti ad una errata o mancata configurazione; nello specifico vorrei focalizzare sulla gestione dei cookies di Firefox.

Prendiamo come browser di esempio Firefox in quanto molto conosciuto e da sempre paladino delle libertà in rete; nella sua configurazione di default, esso consente la creazione di tutti i cookies, anche di terze parti, e la conservazione sino alla loro scadenza (impostata dal codice del sito web che lo ha generato).

Questa non è una configurazione “privacy by design”; la configurazione privacy migliore sarebbe quella di non accettare nessun cookie.

Dato che spesso tale configurazione non consente il corretto funzionamento del sito (moltissimi siti utilizzano cookie tecnici per il loro funzionamento) la configurazione minimale e funzionante è quella che indico nella immagine soprastante: accetta solo cookie di prima parte e conservali sino alla chiusura del programma.

In questo modo, non verranno resi possibili cookies di terze parti, mentre quelli tecnici saranno rimossi alla chiusura del browser.

Proporrò ai creatori di Firefox di impostare, durante l’installazione del software, tali parametri come di default.

Molto più semplice e lineare che costringere milioni di siti ad arrampicarsi sugli specchi per rendere compliant i loro servizi, farciti di servizi di terze parti.

Ritengo che questo dovrà valere per ogni software, dispositivo o app che gli utenti possano installare.

Certo, occorrerà una nuova mentalità; spero che il GDPR, ma anche il prossimo Regolamento e-privacy, contribuiranno a tale mutamento.

Data Breach

Una delle novità più rilevanti introdotte dal nuovo regolamento UE 2019/679 è senza dubbio la norma riguardante il Data Breach (violazione di dati personali).

Per alcuni settori la normativa riguardante il Data Breach non è una novità; per tutti gli altri un complesso adempimento da adottare entro il prossimo 25 maggio.

Quasi tutti sanno cosa sia un Data Breach, e gli adempimenti da fare nella eventualità che accada (non si tratta di se ma di quando).

Pochi sanno come fare per rilevare il Data Breach nelle infrastrutture I.T. aziendali, che sono sempre più complesse e distribuite; occorrerà predisporre una architettura di controllo ed avviso, che potrà essere passiva oppure reattiva (meglio), centralizzata o distribuita sui vari assets da monitorare.

Abbiamo la competenza e l’esperienza di varie infrastrutture di monitoring/alerting dedicate alla rilevazione ma anche alla mitigazione di cyber attacchi, realizzate sia con componenti commerciali che software open-source; in questo ultimo caso il costo è abbastanza limitato.

Software GDPR

Mancano circa due mesi all’entrata in vigore del GDPR; stiamo assistendo ad una ricerca spasmodica di software che promettono di risolvere tutti i problemi delle aziende, in relazione agli adempimenti derivanti da nuovo regolamento generale sulla protezione dei dati personali.

La quasi totalità funziona come servizio SaaS, quindi il software (ed i dati da esso creati) risiedono in cloud oppure su sistemi I.T. di terza proprietà; spesso non viene chiarito dove saranno memorizzati i dati (in Italia, Europa, extra-UE), chi vi potrà avere accesso, quali siano le misure di protezione, ecc …

Inoltre, alcuni software “avanzati” promettono di effettuare una valutazione PIA; nutro molti dubbi sugli strumenti automatici , quando vengono usati per la valutazione di sistemi complessi, eterogenei e spesso distribuiti di trattamento dei dati personali.