{{feedLink}}

L'Uccello Padulo volteggia attorno al sito del Garante

Garante Privacy Christian Bernieri - Tempo di lettura: 6 min.
(Aggiornato il )
Uccello padulo in picchiata sul Garante AI generated

L'uccello padulo è tornato a solcare i cieli di Roma e, ancora una volta, vola rasoterra in direzione del sito web del Garante.

Riavvolgendo il nastro si scopre che un giorno nacque la newsletter del Garante. Bisogna tornare indietro di più di venti anni, un'epoca ormai dimenticata, di cui effettivamente resta ben poco, forse solo un ricordo sbiadito e qualche email, grazie ai generosi tempi di conservazione della posta elettronica consentiti dalla gestione sgarzullina del Garante.

In quel periodo, l'iscrizione avveniva tramite un link simile a questo: mailto:urp@gpdp.it?subject=richiesta%20di%20iscrizione  Cliccando sul link si apriva il client di posta elettronica e l'utente si trovava di fronte una e-mail precompilata con destinatario, oggetto e, in alcuni casi, anche un breve testo.

Semplice, veloce, sicuro e a norma.

Poi arrivarono altri Garanti, dallo spirito tecnoentusiasta, di quelli che, cito, "non ci trovo nulla di scandaloso nella mail di primo contatto a fini commerciali". No, non sto scherzando, l'ho sentito con le mie orecchie. In ogni caso, con il loro avvento, arrivarono anche i sistemi di iscrizione automatica. 

Non so bene quando, ma a un certo punto si deve essere rotto qualcosa, ed è lecito pensare che ciò sia accaduto non solo nel sistema di iscrizione alle newsletter, ma più in generale nell'Autorità stessa.  Di fatto, come già accaduto in passato, anche il Garante ha incontrato l'uccello padulo

 

Oggi, quasi per caso, su segnalazione di un cinguettante uccellino (non padulo), ho visitato la pagina di iscrizione alla newsletter del Garante e ho trovato una sorpresa: un magnifico e modernissimo modulo di iscrizione.

Fico!

Peccato che abbia un piccolo difetto: permette a chiunque di verificare se un determinato indirizzo è iscritto o meno alla newsletter.

#facepalmcollettivo

 

 

Chiunque abbia un minimo di competenza informatica sa che il feedback di un'azione permette di capire cosa accade all'interno del sistema. Una conferma, un errore, una segnalazione o un avviso, un esito positivo o negativo sono situazioni diverse e, per ciascuna di esse, è necessario progettare un feedback specifico in base a ciò che si vuole ottenere, ma anche a ciò che si deve evitare.

Un'autorità Garante, per esempio, dovrebbe voler evitare una data breach: il fatto che chiunque possa verificare se un certo indirizzo è iscritto o meno a quella lista di distribuzione delle newsletter.

Non vorrei essere a capo di quell'azienda (l'uccello padulo) che ha realizzato un ciofeca simile, osando peraltro metterla sul sito del Garante Privacy... proprio in questo momento di generale imbarazzo per l'Autorità. 

 

 

Non si tratta di una cosa da poco: in passato, infatti, il Garante ha sanzionato diverse aziende che utilizzavano sistemi con lo stesso difetto, identici nella meccanica e nella violazione del GDPR.

...eccoli, a tempo di record. Odo i soliti quattro vassalli sfoderare compiacenza e servilismo e strillare: "Sono cose del tutto differenti. Essere iscritti a questo servizio non rappresenta un'informazione personale sensibile. Non ci sono rischi reali, quindi è irrilevante". Ma certo, di questi tempi "il diritto conta ma fino ad un certo punto" (cit), e parrebbe che alcuni si pongano al di fuori delle stesse regole che dovrebbero presidiare. Viviamo tempi fantastici!

Per dare fastidio ai soliti nauseabondi leccaculo, ecco un esempio pratico di quanto possa essere rischiosa questa violazione. Mi spiace, ma non riesco a definirlo un semplice "bug". È e resta una violazione del GDPR.

Immaginiamo che il Garante apra un'istruttoria su un'azienda per un fatto qualsiasi, per esempio, per aver diffuso un nuovo audio inedito in cui Raoul Bova parla di "occhi abbacinanti". Scandalo, brivido, terrore, raccapriccio, e soprattutto violazione della privacy da sanzionare. Ma l'azienda potrebbe accampare scuse:

  • "Non lo sapevamo"
  • "Non potevamo immaginarlo"
  • "Non siamo a conoscenza di alcun precedente"
  • "Abbiamo imparato la lezione"
  • "È la prima volta"
  • "Non succederà mai più"

...le solite cose che si dicono in circostanze simili.

Peccato che molti degli indirizzi email dell'azienda malandrina risultino iscritti nell'elenco dei lettori della newsletter del Garante, la stessa newsletter che ha ripetutamente fracassato i cabbasisi perorando le ragioni del povero e vituperato Bova. L'attore potrebbe facilmente verificare queste iscrizioni e segnalare la bizzarra circostanza al Garante, chiedendo di applicare un rigore esemplare. Direi che per il Garante sarebbe difficile applicare una sanzione particolarmente mite, alla luce della falsa dichiarazione, che costituisce un illecito autonomamente rilevante, e del fatto che la violazione sia volontaria, consapevole e deliberata.

Brutta faccenda.



Ora sappiamo cosa rispondere quando il Garante contesterà l'uso di un sistema di registrazione con feedback esplicito atto a rivelare i dati personali di terzi.

 



Cosa ci può essere di meglio di una ciliegina sulla torta? Una chicca per palati raffinati.

La prossima volta che il Garante contesterà l'illecito trattamento per aver inviato a troppe persone un'e-mail con i destinatari visibili a tutti, fate presente che anche i migliori sbagliano.

La Newsletter 333 del 10/01/2010, inviata via e-mail a tutti gli iscritti alla newsletter, conteneva un file denominato "newsletter 344.pdf" (bizzarro, ma lasciamo perdere) e la notizia del divieto di utilizzo delle foto di George Clooney, del no alle raccolte indiscriminate sull’Hiv negli studi medici, dello stop allo sfruttamento illecito dell’immagine. Tutto normale. Purtroppo, però, quella stessa email inviata dal Garante conteneva anche 460 indirizzi email di altrettanti destinatari, tutti visibili nel campo CC. Sì, c'era anche il mio indirizzo e questo mi ha dato molto fastidio. Ogni iscritto ha potuto vedere l'indirizzo email di tutti gli altri iscritti alla newsletter. Un precedente importante, specialmente in considerazione del fatto che questa violazione non ha avuto alcuna conseguenza sanzionatoria, non è stata intrapresa alcuna azione di mitigazione del rischio e nessuno si è preso la briga di avvisare gli interessati coinvolti, non dico per scusarsi, ma nemmeno per illustrare i rischi. Sull'accaduto è calato il silenzio.

Ho trovato ironico che nel testo del messaggio fosse presente questa piccola e ottimistica informativa:

 

Un precedente importante, da tenere da parte e brandire nei momenti difficili, per illuminare il buio che opprime le menti, come fosse la luce di Elendil.

Prosit.

A proposito di newsletter... Interessa essere avvisati quando pubblico qualcosa di nuovo?  Flexo volentieri le mie modalità di iscrizione.

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...