Gitbaritalian
developer
podcast
5

GDPR, appunti sparsi di uno sviluppatore web sul trattamento dei dati personali

Serie 1
Episodio 5
Durata 21 minuti

Contattami a: @brainrepo su twitter o via mail a info@gitbar.it

In questo episodia parliamo di GDPR, General Data Protection Regulation. Una sorta di riflessioni in ordine sparso su ottenimento del consenso informato, gestione del consenso ecc...

Alcuni link utili

https://www.youtube.com/watch?v=RTZXgxYGOWA https://www.youtube.com/watch?v=bVap-DYWKjg https://www.youtube.com/watch?v=FTcBa-2-I2c https://www.youtube.com/watch?v=i7cnFS2rFxQ https://www.youtube.com/watch?v=nG9RJLhDTXc https://www.youtube.com/watch?v=ht3isi42BS4 https://www.youtube.com/watch?v=NxgZ57BTkFQ https://designmodo.com/ux-gdpr/ https://link.medium.com/X6rni0qTs3

Le sigle sono state prodotte da MondoComputazionale Le musiche da Blan Kytt - RSPN

Trascrizione

Trascrizione automatica realizzata con servizi Amazon AWS Transcribe

benvenuti su Bar, il podcast dedicato al mondo dei developer.
In mezzo artigiani in mezzo artisti che ogni giorno infilavano le mani nel fango per creare nel modo più efficace possibile quei prodotti digitali che quotidianamente utilizziamo.
In questa puntata voglio portarvi un argomento abbastanza ostico, abbastanza difficile, uno di quegli argomenti che ha stravolto da qualche tempo a questa parte la vita dei flussi deve specialmente degli startupper che vogliono portare promuovere una certa applicazione l'argomento di cui voglio parlarvi è infatti il trattamento dei dati personali prima di parlarvi di G D, per quindi della regolamentazione europea per il trattamento dei dati personali.
Va fatta però, dal punto di vista una sorta di premessa su cos'e' un dato personale per dato personale si intende quella che puo' ricondurre in qualche modo a quella persona specifica.
Quindi per dato personale intendiamo nome, cognome e intendiamo nome, cognome associato, all'indirizzo, il numero di telefono o le email.
Tutti questi sono dati personali.
Sono però dati personali anche quei dati che possono ricondurre alla persona, in modo indiretto uno di questi dati e appunto ciò che viene da una sequenza di acquisti online.
Se io che abito in un palazzo dove sono l'unico appassionato di motociclette.
A quel punto, qualora dovesse esserci un riferimento a una serie di ordinazioni di motociclette in quel palazzo, se sarà tutto riconducibile a me e quindi potendo essere riconosciuto come una persona unica, ecco che il dato dell' ordine delle motociclette in quel dannato palazzo è un dato di tipo personale.
Esiste anche un'altra, categoria di dati personali chiamata dati sensibili per questa categoria.
Il GDPR proibisce la raccolta a patto che non ci sia una esplicita e consapevole autorizzazione da parte del titolare dei dati.
Questi dati sono per esempio le caratteristiche sulle preferenze religiose, oppure lei, il la natura etnica della persona stessa.
Sono tutti quei dati la cui diffusione potrebbe in qualche modo arrecare un certo danno all'utente.
Immaginiamo per esempio le preferenze sessuali.
Anche queste sono una di queste informazioni da tutelare.
Bene.
Con questo tipo di dati bisogna prestare particolare attenzione.
Il cd per entra nel processo dei dati e costringe tutte le le società o le startup adottare delle delle nei modi di porsi un pochino più consapevoli per il trattamento di questi dati.
Per farlo agisce su quelli che sono i momenti dell'uso dei dati, quindi la cattura quando noi prendiamo i dati da parte dell'utente noi entità, noi aziende startup, quando gestiamo i dati e quando rilasciamo i dati sono tre fasi importanti.
Sono tre frasi che in qualche modo sono state regolamentate dal Gdpr GDPR, che evidenzia il principio della stabiliti.
Cioè non esiste un ente che controlla su l'adozione o meno di un del Gdpr da parte di una società o di una entità, ma qualora ci fossero delle segnalazioni, esiste un'autorità garante presenti in ogni Stato che fa si' appunto che venga in qualche modo punita la società che non risponde a questa normativa.
Questo principio di accountability è molto interessante perché in realtà il principio fondante del GDPR è quello di sviluppare una certa sensibilità all'argomento quindi quello di educare al trattamento dei dati personali.
E tra l'altro siamo i primi al mondo che hanno fatto un percorso articolato, così completo per il trattamento di dati personali.
Solo in California si sta sviluppando una forma di normativa al trattamento dei dati personali.
Bene, la prima fase, che è quella più interessante, nella quale ci concentreremo un po' di più è senza dubbio la raccolta del consenso raccolta del consenso è quel momento in cui entriamo realmente in contatto col nostro utente del momento in cui iniziamo a mettere il primo mattoncino che il mattoncino del rapporto di fiducia che faremo tra noi e' nostro utente.
La raccolta del consenso è normata dalla appunto dal per e prevede vediamo un po' se trovo la dicitura completa che il consenso debba essere libero, specifico, informato e palese, quindi non ambiguo.
Quindi vuol dire che il nostro utente dovrà dare in modo libero l'autorizzazione al nostro dato dovrà specificare quindi l'autorizzazione dovrà essere specifica per ogni singola informazione che va a condividere informata.
Cioè il cliente deve essere consapevole di cosa andra' incontro nel dare a disposizione la sua informazione e dovrà essere un'autorizzazione non ambigua.
Tra l'altro piccola nota a margine dovremo indicare anche tutte in tutte le entità che tratteranno poi i nostri dati personali.
Bene, questa dicitura ci costringe necessariamente a porci in un qualche modo ben preciso nell'istante di cattura dei dati e queste indicazioni.
Infatti, stravolgono completamente l'approccio che si dava nel mondo del digital marketing dove il dato da raccogliere era, diciamo, il grano da mietere senza prestare attenzione su cosa ci stavano il nel campo.
Io faccio sempre questo esempio, i dati personali sono come i soldi che si vanno a depositare in banca? No, la persona porta i propri soldi in banca, la banca li custodisce e poi gli restituira' bene.
I dati personali affidati a una certa startup, una certa azienda, sono la stessa cosa.
Il cliente deposita in te company o startup, i suoi dati tu li dovrei custodire seguendo tutti i crismi per poi restituirli nel momento in cui il cliente non vuole più proseguire il suo rapporto.
Il consenso, come dicevamo, deve essere informato per fare un consenso informato.
Dobbiamo essere chiari esplicitare tutte le informazioni, cosa che invece, come dicevo prima, nel mondo del marketing non veniva mai fatta perché più vago era il consenso, più possibilità avevamo di utilizzare in questi dati a questi, agli scopi che meglio preferivamo.
Questo però ha innescato anche questo è da riconoscere una certa sfiducia nel mondo del marketing e del digital marketing.
Se guardate in modo sempre negativo alle pubblicità per invertire questa tendenza belgi di Pierre è un ottimo punto di partenza.
E come possiamo farlo? Possiamo farlo? Come vi dicevo già nella fase di raccolta delle informazioni più espliciti siamo più chiari siamo nello spiegare come verrà dato il come verrà utilizzato.
Il dato è da chi quindi, anche da società terze, da provider di servizi terzi più il nostro cliente sara' consapevole, ma spiegando solo il come verra' trattata il dato.
Non necessariamente raggiungeremo un livello di sufficienza per andare a costruire questa fiducia e anche per diventare gdpr compliance.
Dovremmo infatti andare a spiegare il perché.
E per farlo abbiamo dei casi studio.
Per esempio, da anni è riuscito a creare una pagina della Privacy Policy molto ben fatta, spiegando il perché dobbiamo in qualche modo raccontare al nostro utente che è il fatto che noi trattiamo il suo dato può essere utile a lui per farlo.
Adesso qua entriamo proprio nel pratico.
Esistono diversi modi.
Senza dubbio il consenso deve essere esplicito.
Quindi il novanta percento dei siti che ho visto possiedono delle checkbox per l'autorizzazione occhio che l'autorizzazione al trattamento dei dati personali deve essere separata dai termini e condizioni e le condizioni del servizio.
Questo è proprio esplicitato dalla normativa.
Però esistono dei casi molto particolari che hanno catturato la mia attenzione e uno di questi, appunto della Lega della protezione degli uccelli inglese.
Se non sbaglio che ha ammesso nel proprio sito l'autorizzazione al trattamento dei dati personali con due flagship si' No no, il doppio flick e quindi un radio alla fine è molto interessante perché in realtà rispetto al box che do il consenso o non mi esprimo a livello proprio implicito la mancanza di cechi e la mancanza di informazione, il box dice sì, oppure dicembre.
O forse non lo so.
Invece il radio dice se ne metti due espliciti sia l's i che il no.
Per cui se dal mio punto di vista l'utilizzo di un radio è più efficiente a livello concettuale rispetto all'utilizzo del genere e poi un'altra, cosa importante nella raccolta del consenso è senza dubbio la granularità di questo.
Un esempio è sempre il sito dei Guardian, dove nell'iscrizione nella mailing list è possibile pagare da una parte le categorie di contenuti veicolati nella invece è possibile pagare i canali di trasmissione e anche questo ci rende completi rigidi.
Per perché? Perché in realtà un consenso granulare dove gran uno dei requisiti richiesti appunto dalla normativa, ci permette di avere un controllo completo sul trattamento dei nostri dati.
Altra cosa importante nella raccolta delle informazioni e dei dati personali quando noi richiediamo una serie di dati personali, questi dati devono essere in qualche modo dimensionati e coerenti con quello che il nostro processo di lavorazione.
Faccio un esempio se io ho un sito di informazioni, non posso mettere come requisito fondamentale la raccolta del dato del numero delle scarpe.
Questo dato può essere di interesse se volessimo stipulare un accordo pubblicitario con una casa che produce scarpe, ma non è legato al servizio.
Quindi diciamo che in qualche modo una forzatura un'idea di consenso che veramente mi affascina è quello del consenso ricorrente, cioè ricordare e chiedere il consenso ai dati personali verso l'utente.
Nel momento in cui stiamo richiedendo quel dato, spesso i siti ti dicono mettimi tu di questi dati e poi autorizzati al trattamento.
Bene, poi, durante la fase di lavorazione, magari ti vengono chiesti altri dati dati previsti da al trattamento dei dati personali che tu hai già autorizzato prima, ma per i quali poi non ti viene detto guarda che il trattamento di questi dati è conforme a quello che hai già autorizzato.
No, invece, dal mio punto di vista, il modo migliore per raccogliere un trattamento è quello di Ti chiedo nome e cognome indirizzo Bene sotto dovrei darmi l'autorizzazione al trattamento dei dati personali per queste informazioni.
Naturalmente una bella idea sarebbe quella di mettere magari un punto interrogativo a fianco e passandoci sopra a spiegarti il motivo e come e per cosa e da chi verranno trattati nome, cognome, indirizzo.
Poi nella pagina dove io ti chiede invece che ne so di caricare l'avatar piuttosto che dirmi il sesso, la data di nascita.
A quel punto ti chiederò l'autorizzazione al dato personale per questi tipi di processo oppure sto avviando un nuovo processo nel sito? Ok, immaginiamo un unico io ti ho chiesto i dati personali per iscriverti nel sito.
Ti chiedo solo quelli faccio l'ordine che mi mettono il carrello gli elementi che mi interessano.
Quando vado a finalizzare il l'acquisto io ti chiedo sei consapevole di darmi i dati personali per questo acquisto per a finalità di spedizione b mi raccomando, separate finalità di promozione e marketing, perché tutto ciò che riguarda il marketing deve avere uno spazio a parte, deve essere indicato in modo esplicito.
Questo dal mio punto di vista e' senza dubbio una soluzione migliore, naturalmente.
Naturalmente.
Poi ce la seconda fase del trattamento dei dati personali la fase del management del dato.
Per fare questo io suggerisco ed è quello che sto implementando in questo momento l'utilizzo di una dashboard privacy dove è possibile vedere i dati che sono archiviati nel nostro sistema, dove è possibile revocare il trattamento per i dati e dove è possibile scaricare i dati.
Per esempio un'altra cosa importante la portabilità dei dati nel Pd per noi dobbiamo essere in grado di estrapolare in un formato comune che per esempio, nel mio caso e' o il Gesù di i dati contenuti all'interno della piattaforma.
In un mondo ideale ci possiamo immaginare un Amazon nel quale noi scarichiamo tutti i nostri ordini e possiamo importarli in un qualunque altro sistema.
Quindi il Pd per importante senza dubbio un'opportunita'.
Esistono dei modi per essere più trasparente possibili.
È però importante anche la tutela dei dati una volta che ce l'abbiamo incarico per tutelare i dati.
Una volta che ce l'abbiamo incarico esistono diverse modalità.
La prima è quella di criptare i dati che andiamo a salvare nel database.
Naturalmente dobbiamo adottare delle misure di sicurezza per la tutela della nostra chiave, quindi un accesso, un elemento accede ai dati.
Un elemento ha una sua chiave.
Questa è una cosa molto importante anche per monitorare gli accessi al dato, cioè registrare chi vede quel dato e quando.
Per questo, per esempio, possiamo utilizzare la tecnica delle Singh e quindi andare a salvare ogni azione che si fa su quel dato, sia essa di lettura che di scrittura.
Questa cosa e' molto interessante.
Magari una di queste puntate vi parlerò, vedremo un po'.
Cosa ne viene fuori? Un'altra cosa molto, molto interessante.
Quando però noi abbiamo il dato, abbiamo una serie di limiti limiti nell'accesso.
Vi faccio un esempio.
Io ho scritto i dati di nome, cognome, indirizzo e numero di telefono, le email del mio cliente.
Poi quando vado a fare autenticazione, come faccio una ieri per autenticare l'utente per email.
Se quelli mele criptata dovrei decriptare tutto il database, fare una verifica, di riportarla a questo punto.
Veramente abbiamo qualche problema nella gestione delle utenze.
È vero, eh, Vero è però che esistono dei database pronti per Enterprise.
Uno di questi, per esempio la versione interprete di mais e quelle che prevede il criptaggio di tutto il database.
Ci sono diverse soluzioni in realtà, il per alcune di queste ci sono dei componenti delle band per sinfonia di moduli per la pelle.
Sono soluzioni molto interessanti che auto off the box ci permettono di applicare delle buone pratiche per il GDPR, ma questi strumenti non sono sufficienti.
La cosa più importante negli DPR e riprendere in mano il proprio processo di raccolta dati o se si sta sviluppando un nuovo prodotto, di partire con il concetto di privacy, cioè al trattamento dei dati personali come un elemento fondante del processo di del processo che la nostra prova ad applicare.
Faccio un esempio molto semplice se io oggi volesse aprire un'azienda per il trasporto di acidi, la prima cosa che mi viene in mente è quali tutele sto adottando per il trasporto di questi bidoni d'acido? I miei dipendenti avranno i guanti, avranno delle tutte particolari delle scarpe di un certo tipo.
Bene, dovrei fare la stessa cosa quei dati, anche se ho un blog come proteggo i miei utenti da Fabrice perdita di dati come tu te lo il bene piu' prezioso dei miei utenti che sono i dati personali.
Ma la mia risposta è con un po' d'impegno consapevolezza e adottando tutte quelle misure che ci rendono alla nuova normativa europea Gdpr, che è indispensabile che tutti complimentiamo cosa ancora e ancora credo, ha un trenta per cento e anche per oggi credo che il nostro tempo a disposizione sia finito.
Io spero di essere stato abbastanza esaustivo.
Spero di avervi dato qualche stimolo, qualche il punto di riflessione.
Vi ricordo che nelle note dell'episodio legherò sto allegando tutti i link che dicevo mi hanno aiutato a scrivere, a produrre la puntata di oggi.
Ne approfitto per ricordarvi che il bar vuole essere un bar, un circolo per il full stack developer e', quindi il vostro contributo è importante.
Come potete contribuire? Potete contribuire o scrivendo mi via mail a Tokyo sulla barca un tweet oppure contattando un altro modo molto importante.
Senza dubbio il significativo per noi è quello di consigliare questo podcast e i vostri amici e i vostri colleghi più persone salgono aborto più riuscita a diventare la comunità che ci auspichiamo.
Detto questo, noi ci sentiamo la prossima settimana.
Non ho ancora definito l'argomento della persona settimana, ma sarà senza dubbio interessante.
Se vi fa piacere, contattatemi pure, anzi, mi piacerebbe sapere chi mi ascolta e cosa ne pensa.
E se avete dei consigli su un modifiche da fare a questo format.
Oh, argomenti da affrontare bene.
Io sono qui a vostra disposizione.
Un saluto dalla Ci sentiamo la prossima settimana il e bar, il circolo dei fusti Da bello per una volta a settimana ci troviamo davanti a due birre e compra il repo.
Parliamo linguaggi e tecniche di sviluppo web, di metodologie e di strumenti immancabili nella cassetta degli attrezzi di Fury.
Ho bisogno di una mano. Aiutami a rendere più conosciuto il nostro podcast. Parlane con gli amici o con i colleghi e iscriviti usando Apple Podast o Google Podcast. Questa tua azione ci aiuterà a salire nella classifica dei podcast di tecnologia ed essere utili anche a qualcun’altro. Se non ti va, amici come prima😄