Andrea Trentini <andrea.trent...@unimi.it> writes: molto CDT questo thread! :-)
> Incontro su Twitter questo: > https://twitter.com/prevenzione/status/1597186274603192320 questo l'ottimo articolo di Christian Bernieri in merito alla tracciabilità via WiFi (e Bluetooth), la privacy, l'anonimizzazione, l'incrocio dei dati... perdonatemi ma non riesco a tagliare ulteriormente il testo che riporto sotto senza togliere valore. https://bernieri.blogspot.com/2022/11/andiamo-divertirci-un-po.html [1] (anche su wayback machine) «Andiamo a divertirci un po'.» --8<---------------cut here---------------start------------->8--- Ieri, in occasione del Milan Games Week, come decine di migliaia di altre persone (ragazzi, bambini, famiglie) sono andato in FIERA. Si tratta di una INFORMATIVA PRIVACY, non di un semplice caretello, e ci avvisa della presenza di un sistema di acquisizione dei segnali wifi presenti nell'area. Un sistema invisibile, posizionato ovunque, capace di ascoltare i segnali wifi e registrare le informazioni che riesce a captare. [...] Torniamo all'informativa. Bella, fantastica, che gioia, peccato che sia troppo sintetica e che non dia abbastanza informazioni. Alla fine si fa riferimento al sito web dove [...]. Non c'è nulla relativo al sistema di monitoraggio e acquisizione segnali wifi presente in fiera. Certamente è una svista, il solito stagista distratto che ha cancellato il link. Sono certo che comparirà molto rapidamente nei prossimi giorni. Direi che QUESTO E' UN PROBLEMA. Il primo dei problemi. L'informativa è una cosa obbligatoria. [...] dovrebbe essere completa e, in questo caso, non lo è decisamente. Senza poter accedere all'informativa completa, vedere questo cartello può essere considerato solo uno sforzo apprezzabile ma non sufficiente per adempiere a ciò che il GDPR prescrive. [...] pare che i dati siano trattati in forma anonima e aggregata. Questo però non è vero e forse varrebbe la pena di essere più trasparenti. I dispositivi sono visti e tracciati in modo univoco. Magari poi sono aggregati, ma va spiegato meglio. Acquisite l'identificativo del dispositivo significa già trattare un dato personale. Se poi lo si anonimizza (sempre che questo avvenga realmente) significa comunque aver trattato un dato personale. Non lo si può fare senza una valida base di legittimazione e, in questo caso, mi spiace dirlo e mi sbilancio, può essere solo il consenso. Mi sbaglio? Parliamone... ho le mie ragioni. Una parolina sul concetto di anonimizzazione: è molto molto difficile dire che un dato è stato anonimizzato. [...] La ragione, magari un po' sofisticata, sta nel fatto che, con un pizzico di buona volontà, posso incrociare i dati e associare le immagini agli spostamenti del segnale wifi anonimizzato riuscendo a trovare la persona che aveva in tasca quel dispositivo. Taaac. Anonimizzare è una cosa seria e si può dire di averlo fatto solo se non ci sono mezzi o possibilità di reidentificare il soggetto. Attenzione: che il titolare non intenda farlo, non gli serva farlo, non voglia farlo o non sappia farlo è del tutto irrilevante. Bisogna fare riferimento a un ipotetico soggetto che voglia farlo, sappia farlo e abbia voglia di farlo. Per dira in altri termini: non tutti sono bravi ragazzi. Fieramilano, in questo caso, non ha alcun interesse a scoprire il nome o il volto di chi era davanti ad un certo stand o che ha fatto un certo percorso... ma questo non eslcude che vi siano soggetti che abbiano interesse a farlo e che sappiano come farlo con i dati a disposizione. Per questo "dato anonimo" è un concetto complicato. Bene, dunque, cosa accade ai dati? Perchè è stato messo in piedi un sistema così complesso e costoso per avere solo un dato aggregato? Non bastava un tornello? Anzi, non basta la timbratura dei biglietti all'ingresso? A mio parere, e lo dico per mancanza di informazioni (come detto, l'informativa è carente) con quei dati si fa dell'altro. Di fatto, i sistemi di monitoraggio dell'affollamento con wifi permettono di mappare i movimenti dei singoli individui. Che bello poter avere una mappatura dei flussi dei visitatori, sapere come si muovono, da dove arrivano e dove vanno, quanto si soffermano in un determinato luogo ecc. Se fossi un ente fieristico non oserei desiderare nulla di meglio per poter rendicontare e tariffare i servizi, stabilire il costo degli stand, offrire prodotti evoluti e poterne misurare il rendimento. sarebbe fantastico... Siamo sicuri che non sia uno scopo non dichiarato? Chiedo. Nel recente passato Google è stata sanzionata per aver trattato i dati del wifi e in modo molto meno invasivo: la sanzione ha riguardato un semplice trattamento di acquisizione (lettura e memorizzazione) dei banalissimi nomi delle reti wifi visibili dalla strada, gli ssid. Questo trattamento è stato aggiunto durante i giretti delle google-car fatti per la mappatura fotografica street view. Siamo sicuri che Fieramilano non corra lo stesso rischio? La mia domanda è questa: la lettura dei wifi è proprio necessaria? Non si può fare la stessa cosa con altri sistemi meno invasivi, che non comportino tutte le fastidiose complicazioni di questo monitoraggio dei wifi? Se ci serve veramente solo il dato statistico dell'affollamento, che senso ha mappare i cellulari e il loro wifi? [...] Non vorrei sembrare tedioso ma ci sarebbe anche un'altra questione di cui parlare e, come DPO, non la giudico nemmeno troppo marginale. Domanda: ma perchè devo essere io a disattivare il wifi per evitare di essere tracciato? Non sareste voi, ente fiera, a dover chiedere il mio permesso prima di iniziare a fare una cosa simile? Non sareste voi a dovermi garantire che il mio cellulare non sarà tracciato se io non lo desidero? Ne faccio una questione di libertà, ovviamente, e mi pongo questa domanda nell'ottica di chi non ha voglia o non può semplicemente rinunciare ad avere uno smartphone in tasca. Cosa succede se sono un soggetto debole? Cosa succede se mi dimentico di disattivare il wifi? Cosa succede e se non so come fare e lo disattivo solo in modo temporaneo? Cosa succede se devo usarlo per rispettare degli obblighi di reperibilità o anche solo perchè voglio scambiare foto con un amico? Ci sono tante, troppe cose sbagliate in questa bella idea di mappare il wifi, a partire dal fatto di considerare liberamente disponibile e di usare un dato personale per il solo fatto che sia accessibile. Tutto questo non mi piace. In particolare non è bello dover rimuginare e accettare situazioni simili di Domenica, a spasso con le proprie figlie, in contesti rilassati. Non ho viglia di imbracciare le armi e l'armatura del DPO ogni momento. Vorrei potermi rilassare ma, purtroppo, ogni volta che ci rilassiamo, arriva qualcuno più furbo degli altri e zak... il danno è fatto. Non mi piace. Le mie figlie sono avvisare e nemmeno a loro piace. Per la cronaca... tutto questo parte da un cartello visto in fiera ma i sistemi di tracciamento dei dispositivi con wifi o BT attivo sono ubiquitari. Attenzione dunque [...] [...] ove si prevede che arriveranno frotte di persone di cui può essere interessante capire e studiare il comportamento, i movimenti e, in ultima analisi, di cui vogliamo sapere cose senza doverle chiedere. ADDENDA. In molti mi hanno scritto manifestando perplessità sul fatto che le tracce del wifi di un cellulare possano essere considerati dati personali. Molti ritengono che l'indirizzo MAC ADDRESS (un indentificativo univoco che consente ai dispositivi di riconoscersi ed indirizzare correttamente i pacchetti di dati) non possa essere un dato personale anche perchè i sistemi operativi recenti permettono di cambiarlo. In alcuni casi sono generati periodicamente nuovi mac address random per lo stesso dispositivo. Tutto bello, tutto vero, tutto inutile. Il dato non è personale in modo assoluto. Un dato è personale solo se esiste la possibilità di identificare il soggetto al quale esso si riferisce. E non importa chi sia in grado di farlo, non deve essere necessariamente il titolare del trattamento, può anche essere un altro soggetto, magari più attrezzato, magari in possesso di elenchi, liste, log o altri dati che permettano di identificare la persona alla quale il nostro dato appartiene. Un esempio: "il 56% dei maschi residenti a Milano sono biondi". Questa informazione non è personale e non lo sarà mai. Un altro esempio: la scarpetta di cenerentola. Calza bene solo a Cenerentola? Beh, allora quella delicata scarpetta è un dato personale. Strano, non assomigliava nemmeno ad un dato, eppure... Questo conta, la possibilità (magari solo teorica) di identificazione, di associare il dato ad una persona. Questo trasforma un dato in un dato personale. Se un dato è un dato NON personale, possiamo farci ciò che vogliamo, possiamo prenderlo, archiviarlo, maltrattarlo, qualsiasi cosa. Non abbiamo compiti, adempimenti, non abbiamo bisogno di autorizzazioni nè di consensi. Non ci sono documenti da preparare o informative da scrivere. di sicuro non dobbiamo appendere cartelli per avvertire il mondo che stiamo trattando un dato che non è associabile ad alcuna persona. Nel nostro caso abbiamo certamente un dato personale, l'ente fiera tratta un dato personale e lo sa benissimo. Come facciamo a saperlo con certezza? Beh, sarò banale ma non posso fare a meno di puntualizzare l'ovvio: è Fiera Milano stessa che ce lo dice con il cartello che ha affisso. Se venissero trattati dati non personali, non ci sarebbe affatto bisogno di mettere un cartello. Più tecnicamente dovrei dire che non c'è bisogno di rendere una informativa agli interessati. E' Fiera stessa che ci dice che "...tratta i dati così acquisiti...", ci dice che li anonimizza e li aggrega ma questo lo fa, appunto, partendo da dati che riconosce essere dati personali. SINE QUA NON Se non fossero dati personali, niente cartello, niente informativa, niente di niente. Lo farebbe e basta. Perchè dovrebbe avvertire? Approfondiamo: se venisse messo un addetto alla porta con il contapersone, una macchinetta che conta +1 ogni volta che viene premuto un pulsante, non ci sarebbe nessun cartello. Contare le persone che passano non genera un dato personale ma un dato aggregato. In sostanza, il segnale wifi monitorato da fiera milano è un dato personale, per questo viene data una informativa. Non ci sono dubbi. Prosit --8<---------------cut here---------------end--------------->8--- Prosit! Saluti, 380° [1] il blog è pubblicato sotto licenza Creative Commons CC BY, per cui ne pprofitto :-) -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
