4_GDPR non ti temo – Fornitori: verifica adeguatezza dei collaboratori e servizi

Caratteristiche di sicurezza dei fornitori

 

In un mercato competitivo che opera in regime di libera concorrenza devono essere istituiti dei parametri di controllo tra fornitore e cliente che garantiscano a quest’ultimo la corretta erogazione/fruizione del servizio.
Se è evidente (e obbligatorio) in ambito Privacy che si debba preservare e tutelare il dato, il livello di servizio degli strumenti con cui questa garanzia deve essere data è spesso sottovalutato.

Esistono quindi dei “livelli minimi di servizio”, più comunemente identificati con gli SLA, che devono essere concordati con i fornitori dei servizi per poter a nostra volta garantire all’utente la corretta gestione del dato personale che ci concede in uso.

Gli accordi sui livelli di servizio (SLA) sono diventati quindi uno strumento comune per misurare efficacemente i servizi. Gli SLA definiscono le metriche (es. qualità di servizio) che devono essere rispettate dal fornitore e una volta stipulato il contratto, assumono il significato di obblighi contrattuali e può comportare il pagamento di penalità in caso di mancato raggiungimento di tali livelli o, in casi gravi, la co-responsabilità del fornitore.

Sono un esempio i progetti software che devono rispettare il criterio di privacy by design, in cui lo SLA deve essere definito quantomeno nell’osservanza di tale criterio.

Ma la definizione dello SLA è “soggettiva”, ed è basata sulla determinazione da parte del cliente, in qualità di Titolare e quindi di unico agente di determinazione, del livello di servizio ideale a garanzia delle tutele verso i dati. Sta al fornitore impegnarsi a raggiungere, e conservare, i livelli richiesti, onde non incorrere nelle penalità concordate.

Un processo di definizione e monitoraggio degli SLA si articola secondo le fasi di:

  • definizione degli indicatori di riferimento e degli algoritmi di calcolo;
  • realizzazione del sistema di produzione e di reportistica degli indicatori;
  • condivisione dei valori soglia (target) degli SLA;
  • monitoraggio degli indicatori rilevati ed eventuale rinegoziazione periodica dei valori soglia.

Uno dei primi requisiti di sicurezza per un sito è quindi relativo ai cookies, ovvero quegli elementi che registrano le informazioni personali degli utenti quando visitano il nostro sito.

 

Partiamo dalla definizione di cookie:

sono piccole stringhe di testo di piccole dimensioni che i siti Web visitati inviano ai dispositivi, dove vengono memorizzati e inoltrati quando l’utente visita nuovamente il sito Web. I cookie possono svolgere diverse funzioni e hanno caratteristiche diverse, possono essere utilizzati dal Titolare del trattamento o da terze parti.

La normativa già da prima del GDPR è in vigore, è entrata in atto a metà 2015, con il D.lgs. 196.2003 e successive delibere e chiarificazioni del Garante.

 

Vediamo quali sono le richieste minime che dobbiamo fare:

ANALISI E DICHIARAZIONE COOKIE

Essendo il cookie un oggetto in cui si integra pienamente il concetto di “identificabilità” possiamo affermare che se gestiamo i cookie ricadiamo all’interno del GDPR, in quanto si potrebbe rendere identificabile un individuo, anche tramite la raccolta di dati anonimi quali l’indirizzo IP.
Per gestire quindi correttamente l’informativa sui cookie bisogna capire se il sito li usa e quale è la loro invasività.

L’attività di verifica dell’esistenza dei cookie si esegue cliccando con il tasto destro del mouse su un sito internet (nella finestra del browser), e usando il comando di “ispezione” che farà aprire sulla destra una schermata che rende visibili alcune notizie tecniche.
Cliccando a destra sulla voce Application (la voce potrebbe cambiare a seconda del browser utilizzato) iniziamo a scendere nel dettaglio tecnico e di configurazione per concentrarci, appunto, sulla voce relativa alla gestione dei cookie.

 

Vediamo che il sistema, cliccando sui singoli cookie, ci offre una lista di quelli utilizzati ed è in base a questi che occorre decidere come scrivere l’informativa e il testo da esporre attraverso il banner che viene visualizzato visitando il sito Internet.

 

INFORMATIVA
L’informativa è da ritenersi l’atto più importante all’interno della gestione della privacy per tutte quelle realtà che hanno al loro interno un sito internet, a prescindere dal fatto che questo sia solo una vetrina o si spinga nelle attività di profilazione, fino ad arrivare al classico e più conosciuto sito di e-commerce.

Qualunque sia il metodo utilizzato per “intercettare” i cookie bisogna capire cosa fanno rispetto alle regole imposte dal GDPR e dal Garante Privacy.

È sufficiente effettuare una ricerca su Internet utilizzando il nome del cookie come parola chiave. Nel nostro esempio, cercando con un qualsiasi motore di ricerca il cookie trovato scopriremo che la stringa server id 6897 significa:

  • Nome del cookie: SERVERID68971
  • Scopo: Cookie di memorizzazione dati in cache per una navigazione più veloce e performante.
  • Scadenza: Quando termina la sessione di navigazione
  • Terza parte: No

Solo dopo aver preso queste informazioni è possibile scrivere un’informativa cookie corretta, perché solo in questo momento siamo capaci di dire cosa fa e come lo fa il nostro sito. Solo adesso possiamo decidere anche come costruire il banner informativo del sito.

 

Il testo visualizzato al suo interno potrebbe essere ad esempio questo:

“Informativa privacy

Questo sito o gli strumenti di terze parti in esso integrati trattano dati personali (es. dati di navigazione, indirizzi IP) e fanno uso di cookie o altri identificatori necessari per il funzionamento e per il raggiungimento delle finalità descritte nella cookie policy.

Dichiari di accettare l’utilizzo di cookie o altri identificatori chiudendo o nascondendo questa informativa, proseguendo la navigazione di questa pagina, cliccando un link o un pulsante o continuando a navigare in altro modo.”

Da quanto visto finora si comprende che è necessaria una buona conoscenza delle tecniche precise.

 

DISABILITAZIONE
È utile anche impostare una privacy policy che deve riportare sezioni che spiegano come disabilitare i cookie, indicando la procedura da seguire a seconda del browser utilizzato dagli utenti per visitare il sito Internet.

Ad esempio, potrebbe essere opportuno pubblicare una tabella nella quale vengono indicati i link alle pagine informative dei browser in cui vengono mostrate le modalità di archiviazione dei cookie:

Oltre agli standard di qualità del sito, in caso questo sia una “applicazione”, cioè si basi su operazioni programmate per interagire con l’utente, si dovranno fare richieste delle relative caratteristiche di sicurezza e rihiedere al fornitore adeguati livelli di SLA.

Nel prossimo articolo vedremo, in linea generale, come scegliere i parametri per definire e discutere le SLA con i diversi fornitori di servizi.