Buongiorno Maurizio e Giacomo, mi permetto di integrare quanto detto da Giacomo, non sono espertissimo di GDPR, quindi prendete tutto questo cum granu salis; se qualcuno con più esperienza specifica trovasse cose non corrette per favore mi corregga!
Giacomo Tesio <giac...@tesio.it> writes: [...] > tutto dipende, ovviamente da quali analisi del traffico ti servono, > quanto spesso e per farci cosa [0]. cioè: certe pratiche di marketing aggressivo sono /molto/ impegnative e onerose da gestire nel rispetto del GDPR (ma non credo sia quello di cui necessiti tu, Maurizio) > In moltissimi contesti, AWStats [1] e GoAccess [2] sono ancora più che > sufficienti dal punto di vista delle funzionalità _necessarie_ e > nettamente più "privacy friendly" e GDPR compliat delle alternative: non ho capito ancora bene cosa significa "GDPR compliant", ma se quei due software (egregi!) fossero installati su server USA, magari assieme ai log "di default" del web server, /credo/ che i metadati raccolti sarebbero sufficienti a "guastare" la compliance, a meno di non scartare in partenza dai log i dati traccianti (IP, altro?) o usare sistematicamente strumenti di anonimizzazione dell'IP (https://github.com/DigitaleGesellschaft/Anonip#motivation) > si basano infatti sull'analisi dei log delle richieste degli utenti > registrati dal webserver: ovvero dati che puoi scartare, ma non puoi > evitare di ricevere. Niente cookie, javascript o altri traccianti. AFAIU il trattamento dei dati anche attraverso cookie, javascript o altre tecniche traccianti (utili al browser fingerprinting) è del tutto lecito per il GDPR, posto che si gestiscano in modo corretto gli adempimenti burocratici; il GDPR non ammette segretezza (et al.) ma non esclude nessun mezzo per raccogliere i dati personali (e il web è la /rete da pesca a strascico/ perfetta per raccoglierli). i soli e unici dati che permettono di evitare di predisporre tutta la /burokratia/ per la compliance GDPR sono quelli strettamente necessari all'esecuzione del contratto... quindi, sempre AFAIU, anche solo le analytics sui log /non anonimizzati/ implicano "attività da GDPR" sicuramente possiamo dire che un criterio necessario e sufficiente per invalidare la "GDPR compliance" è che i dati vengano trasferiti in paesi che non adottano misure di protezione equipollenti al quelle EU, a meno di FARSI CARICO IN PROPRIO di valutare le misure tecniche, ecc. ecc.... è ormai giuridicamente noto che gli USA non sono tra quei paesi e /non ci sono/ misure tecniche adeguate per dimostrare di essere "GDPR compliant" [...] > Questa proposta farà forse sorridere qualcuno, ma personalmente ritengo > questo tipo di strumenti analitici basati su log (un tempo ce ne erano > di più) molto più etici di quelli contemporanei: analizzano solo ciò > che l'utente necessita/vuole mandarti (assumendo un browser fedele). anche solo memorizzare l'IP è tracciamento di un dato personale, anche secondo gli autori di questo: https://github.com/DigitaleGesellschaft/Anonip#motivation [...] > Una sola cosa è però veramente importante: qualunque software tu scelga, > eseguilo SUL TUO HARDWARE o su hardware di persone di cui ti fidi. se fattibile, questa sarebbe la soluzione più semplice ed economica, ma /se/ e /solo se/ si utilizza software già pacchettizzato per la distrubuzione GNU/Linux utilizzata sul tuo web server, altrimenti dal punto di vista sistemistico potrebbe diventare un incubo... anche (soprattutto?) usando Docker. un vecchio amico ripeteva spesso: «per me, se non è pacchettizzato in Debian... non esiste» :-D > Installare un software di analytics libero su un cloud USA è prendere > in giro i tuoi utenti, tradirne la fiducia. ...e NON è "GDPR compliant"... a meno di far arrivare a quel software solo log anonimizzati? > MAI usare questi servizi "as a Service"! beh no dai, "su hardware di persone di cui ti fidi" significa "as a Service" il problema col GDPR è che nel caso ci si affidi a terzi l'onere di verificare che i mezzi tecnici implementati (dai terzi) siano "GDPR compliant" ricade sul titolare del trattamento dei dati personali: /io/ piuttosto che gestire un sistema di valutazione del genere valuterei MOLTO seriamente l'opportunità di avere quei servizi "on premises" > Perché poi capita che ti affidi ad "una bella storia di azienda > europea, bootstrapped, open source" [7]... ma finisci per cedere > comunque i dati dei tuoi visitatori ad aziende USA come Amazon, > Digital Ocean e Cloudflare, come nel caso di Plausible [8] > > https://mxtoolbox.com/SuperTool.aspx?action=a%3aplausible.io&run=toolpage ecco appunto, questo è un rapidissimo test che dimostra che i mezzi tecnici adottati dal fornitore NON sono adeguati alla protezione dei dati personali secondo quanto stabilito dal GDPR [...] > [7] https://server-nexa.polito.it/pipermail/nexa/2022-January/023008.html > Mi perdonerà Stefano per la citazione, ma mi ha molto colpito > l'ingenuità di "azienda francese + opensource = GDPR compliant" > E' sempre GDPR compliant solo se lo gestisci sui TUOI server. no Giacomo, se raccogli dati personali (i log dei web server di default raccolgono l'IP) per essere GDPR compliant devi comunque gestire tutti gli aspetti burocratici, anche se ti gestisci da solo i tuoi server (un server dedicato in un datacentre USA è tecnicamente "tuo" no [0]?)... a meno di anonimizzare i log ...stai a vedere che l'unico modo per proteggere i dati personali sul web è poter "navigare" anonimamente! :-O [...] Saluti, 380° [0] come può esserlo un server moderno (con Intel Maganement Engine per esempio) il cui accesso fisico (e il sistema operativo /virtualizzato/ che gira sopra a Minix3) non è sotto il tuo controllo P.S.: più il tempo passa più si dimostra che il GDPR serve SOLO a rompere le scatole alle brave persone mentre quelli che /catturano/ immense quantità di dati personali per profilare il mondo intero, Pubblica Amministrazione italiana compresa, continuano imperterriti nella loro opera di tracciamento.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
