A tutta videochat - Avvocato Antonella Oliva
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
A tutta videochat L’emergenza sanitaria non è arrivata in modo del tutto improvviso, l’abbiamo sentita sussurrare, poi parlare lontano, poi ha iniziato ad avvicinarsi a falcate ampie ma silenziose; e così quando la sua voce ha iniziato a suonare a meno di un metro da noi, molta parte del Paese è rimasta stupita. E ci siamo trovati impreparati su molti aspetti e fronti. Abbiamo iniziato a tenerci lontani ma stiamo scoprendo che è importante supplire alle distanze fisiche con i vari strumenti offerti della tecnologia. Le Videochiamate e le video chat sono uno strumento estremamente prezioso per tenere riunioni rimanendo a distanza ma al tempo stesso consentendo di incontrarsi e discutere insieme delle scelte e decisioni da prendere. Insomma il bello è che si può continuare a lavorare. Questo momento che stiamo vivendo ci può far cogliere l’occasione di adottare finalmente in modo professionale strumenti di cui abbiamo consapevolezza da molti anni (e del resto sono nella nostra quotidianità da decenni) e che sinora erano stati solo facoltativi o per alcuni di noi sconosciuti. Ma attenzione, questa occasione è buona per impadronirci degli strumenti, non per sceglierli passivamente! Li dobbiamo scegliere nella consapevolezza di quali opportunità ci offrono e quali sono le cautele che dovremo adottare e quali i rischi da evitare: sta a noi usare e scegliere la tecnologia adatta alle nostre esigenze, tenendo conto della protezione che dobbiamo a noi stessi e agli altri.1 Nelle righe che seguono, cercheremo di illustrare: 1) come funziona un programma per effettuare video chiamate (o videochat), 2) quali sono gli aspetti da tenere in considerazione per sceglierlo, ed infine verrà offerta una breve valutazione sulle informative collegate a questi programmi. 1Agli albori dell’informatica e per molti anni abbiamo chiamato “virus” le minacce informatiche perché queste si propagavano sfruttando anche utenti inconsapevoli (anzi, spesso corretti e generosi) che volevano condividere informazioni e file. Questo ci invita appunto a comportamenti attenti e consapevoli, perché gli imprevisti e le conseguenze indesiderate sono una conseguenza inevitabile dell’agire, non essendo proponibile l’inazione, dobbiamo acquisire consapevolezza e tenere comportamenti accorti.
Indice
Videochat e videochiamata come scegliere il programma adatto? ................................................. 3
Sicurezza .......................................................................................................................................... 3
Procedura di registrazione ................................................................................................................ 3
Tracciabilità dei dati ......................................................................................................................... 4
Videochiamata: trattamento dei dati personali, ruoli e attori del trattamento ............................. 4
Le informative: come si legge una informativa................................................................................. 4
Il titolare del trattamento .................................................................................................................. 5
Chiarezza .......................................................................................................................................... 5
Terminologia ............................................................................................................................... 5
Leggibilità ................................................................................................................................... 6
Completezza ..................................................................................................................................... 6
Aspetti trattati.............................................................................................................................. 6
Diritti illustrati ............................................................................................................................ 6
Verificabilità..................................................................................................................................... 6
Coerenza interna ......................................................................................................................... 6
Riferimenti normativi corretti ..................................................................................................... 6
Riscontro su azioni delle Autorità indipendenti .......................................................................... 7
Specificità ......................................................................................................................................... 7
Due programmi consigliabili e due informative decenti ........... Errore. Il segnalibro non è definito.
Pagina 2 di 8Videochat e videochiamata2 come scegliere il programma adatto?
Valutando il programma da scegliere per lavorare con colleghi e clienti a distanza in chiamate
video, dovremo fare una valutazione complessa che tiene conto di molti elementi variabili; per
questo motivo non esiste sempre il programma perfetto ed è possibile che, situazione per situazione,
potremo usarne di differenti, perché, appunto, differenti situazioni consigliano differenti
programmi.
I criteri di scelta del programma adatto scendo noi devono basarsi su:
• sicurezza del trattamento e dei dati utilizzati;
• facilità di registrazione e sicurezza della procedura di registrazione;
• tracciabilità dei dati utilizzati;
• qualità dell’informativa per il trattamento dei dati.
Tratteremo di seguito i primi tre aspetti mentre dedicheremo un paragrafo più approfondito al tema
dell’informativa: infatti mentre siamo utenti informati dell’informatica con competenze giuridiche,
siamo professionisti specializzati proprio sulle norme del trattamento dei dati e quindi è proprio
questa la chiave caratteristica che suggeriamo per la valutazione dei programmi.
Sicurezza
Ovviamente un programma che viaggia sulla rete e che interconnette più dispositivi deve essere
sicuro, sappiamo benissimo che la parola indica un aspetto relativo e non assoluto: programma
sicuro non vuol dire al riparo da rischi, non vuol dire che le minacce sono tutte inefficaci,
esattamente come una vettura sicura non è una vettura che non avrà mai incidenti.
Dobbiamo pretendere che il programma che scegliamo preveda una cifratura della comunicazione
end-to-end, ma dobbiamo anche ricordare che se questo protegge dall’intercettazione la
comunicazione, non ci protegge dall’ipotesi che il dispositivo (sorgente o destinatario) sia
intercettato!
Dobbiamo controllare anche quale sia il sistema di cifratura prescelto e controllare che sia
considerato sufficientemente robusto, dobbiamo verificare che tipo di protezione è assicurata ai
metadati che non possono essere cifrati (le identità di chi effettua la videochiamata, la loro
localizzazione et cetera).
Procedura di registrazione
Per potere usare un programma dobbiamo registrarci. La procedura di registrazione deve essere
semplice e snella, ma al tempo stesso deve essere sicura.
Non possiamo accettare la macchinosità che viene richiesta dai certificatori per rilasciare una firma
digitale, ma al tempo stesso non possiamo tollerare che l’invio delle credenziali avvenga su moduli
non in SSL o che chi ci offre l’account sia a conoscenza della nostra parola chiave.
Sarebbe anche bene controllare come possiamo recuperare le credenziali e come possiamo, nel
tempo, cambiarle.
2I due termini saranno indicati come sinonimi pur esistendo, in teoria, delle sottili distinzioni: in un caso è
una chiamata accostata alla possibilità di chattare e nell’altro è semplicemente la possibilità di chiamare, oggi
quasi sempre tramite il protocollo VoIP e quindi tramite il web.
Pagina 3 di 8Tracciabilità dei dati
Dobbiamo proteggere noi stessi e i nostri contatti dalla pervasività di certi fornitori. In modo
amabile e dolce, alcuni fornitori vogliono sapere tutto di noi e tutto dei nostri contatti, vogliono (o
pretendono di farlo) condividere la nostra rubrica indirizzi in modo da archiviare informazioni utili.3
In altri casi se il servizio che ci viene offerto è collegato ad altri, dobbiamo accettare che il fornitore
compili su di noi un profilo assai dettagliato e questo ci espone a concedere spazio al nostro
fornitore.4
Videochiamata: trattamento dei dati personali, ruoli e attori del trattamento
Dal momento in cui due persone effettuano una videochiamata tramite il web siamo in presenza di
una operazione di trattamento di dati personali, che coinvolge più attori secondo ruoli differenti.
Abbiamo almeno5 due interessati che sono gli utenti della chiamata, e poi abbiamo una messe di
responsabili del trattamento che offrono connettività: con due utenti ci sono almeno due ISP che
rendono possibile la chiamata ma che non sono quelli che la operano. Ad operare la chiamata c’è
un’altro soggetto (o più soggetti in concerto tra loro) che ha creato e sviluppato il programma in uso
tra i due soggetti.
Questi soggetti sono, per moltissimi aspetti, contitolari o titolari del trattamento, 6 perché hanno
configurato il sistema e hanno la responsabilità di mantenerlo in buon funzionamento, questo però
non esclude che, in alcuni casi, in una videochiamata effettuata per lavoro, uno dei due utenti, debba
fornire una informativa al proprio utente, cliente, paziente: è il caso in cui liberi professionisti
raccolgano informazioni dal cliente per svolgere il servizio incaricato, ad esempio.
In quel caso l’informativa normale dovrà essere integrata degli elementi relativi a questo ambito di
comunicazione differente e si dovranno menzionare i responsabili e i terzi titolari.
Le informative: come si legge una informativa
Uno dei quattro criteri che secondo noi devono guidare nella scelta (già lo abbiamo detto sopra) è
quello di verificare la qualità dell’informativa offerta.
Raramente le informative vengono lette, e purtroppo raramente vengono scritte per essere lette,
sebbene nella nostra vita professionale abbiamo fatto di tutto per rendere semplici, accattivanti e
pieni di informazioni veloci ed utili, i testi delle nostre informative, temiamo che raramente siano
state lette.
Alcuni di questi testi fanno bella mostra di sé in luoghi aperti al pubblico e distrattamente sono stati
visti e letti da migliaia e migliaia di persone, ma, temo, ben di rado sono stati letti veramente.
3 Controllate il vostro numero di telefono in questo DB: sync.me e chiedetevi come sia stato possibile (se ci
siete) finirvi dentro. Non è improbabile che uno dei vostri contatti vi abbia venduto (inconsapevolmente) in
cambio di un servizio gratuito. Ma il servizio non era gratuito! Semplicemente il suo prezzo non era espresso
in denaro!
4 Bisogna sempre ricordare che siamo nella condizione dialettica con i nostri fornitori che Hegel descrive nel
rapporto servo-padrone. Più informazioni e più spazio concediamo al nostro fornitore e più si ridurrà la nostra
autonomia contrattuale e più rischia di ridursi il nostro potere negoziale.
5 Ormai è abbastanza normale che i software consentano videochiamate tra più persone: quello che anni fa
era esclusiva di Skype Premium (a pagamento) e iChat per gli utenti Mac, è oggi disponibile tra più e
differenti piattaforme, grazie a più di un software.
6 Il titolare del trattamento è l’ente che effettua la raccolta dei dati e sovrintende alle operazioni di
trattamento anche curando gli aspetti di sicurezza con l’ausilio di propri addetti e di uno o più responsabili.
Pagina 4 di 8Eppure, l’informativa è la croce e la delizia della consulenza nell’ambito della protezione dei dati
personali; è la stella che brilla (o che dovrebbe brillare) su ogni operazione di trattamento ed è la
spia che dovrebbe farci decidere se procedere alle operazioni di trattamento.
È la stella polare che definisce gli obblighi di trasparenza ed è quell’obbligo che tutti, anche i più
disinvolti ignoranti delle norme, conosce. Tutti sanno che “l’informativa” serve, quasi tutti la
vogliono, e quasi tutti pretendono da un consulente che ne produca una così come Harry Houdini
farebbe sbucare dal nulla una bianca colomba.
Molti non comprendono mai veramente appieno che l’informativa non è un documento universale
valido per ogni occasione, ma che ogni informativa che viene scritta viene scritta partendo da… Un
foglio bianco.
Nelle righe che seguono cerchiamo di indicare cosa si deve controllare e leggere di una informativa
che riguardi un programma di videochat.
Il titolare del trattamento
In tutte le informative dovrebbe essere un punto cruciale e fondamentale, chi scrive ha sempre
pensato che debba essere il primo punto da evidenziare e così ha fatto anche quando il vecchio testo
dell’art. 13 del d.lg.196/2003 non metteva il titolare del trattamento al primo posto.
Del resto, quando scarichiamo un programma e ci apprestiamo ad usarlo, il titolare del trattamento è
anche il nostro contraente: non è corretto stipulare un contratto e sottoscrivere una licenza per l’uso
di un programma informatico senza sapere chi è il nostro licenziante!
Stabilito chi è il titolare è opportuno anche riflettere su come deve essere il titolare ideale e cosa non
vogliamo che sia un titolare del trattamento a cui con fiducia consegnamo un trattamento così
delicato come una conversazione professionale con un cliente.
Non vogliamo che sia una società con sede in un Paese dove non esistono tutele per la protezione
dei dati personali, sotto questo punto di vista vanno bene moltissimi Paesi ma non è augurabile che
il titolare del trattamento abbia sede in Cina.7
Chiarezza
Una informativa deve essere chiara! Non deve essere un documento leggibile solo da iniziati, e il
linguaggio giuridico, per quanto necessario in alcuni casi, deve essere usato senza a ricorrere a
perifrasi che creano la distanza tra il redattore e il lettore che molto è amata nei testi normativi più
enfatici (e vetusti).
Terminologia
I termini - come precisato sopra - però devono essere tecnicamente inappuntabili: non si può usare
l’espressione informazioni personali al posto di dati personali, gli uni non sono gli altri nell’uso
tecnico.8
7 La Cina oltre a non avere alcuna norma a protezione dei dati personali (come potrebbe mai) ha inserito di
recente una clausola nella propria legislazione, che obbliga le società che forniscono servizi informatici, a
concedere pieno accesso ai dati trattati al governo che potrà agire a tutela degli interessi nazionali.
8 I dati personali sono le informazioni riferibili ad un interessato individuabile, mentre le informazioni
personali sono quelle informazioni che, seppure riferibili astrattamente ad un interessato, non consentono
più alcuna individuazione.
Pagina 5 di 8Leggibilità
Non può essere un testo troppo prolisso. Se una informativa è più lunga di una pagina dattiloscritta
non c’è stato lo sforzo di scriverla bene, o, peggio, è stata scritta per perdere tempo e nascondere
informazioni cruciali.
Completezza
L’art. 13 del RGPD (o GPDR se amata la versione anglofona del Regolamento) dice chiaramente
cosa si deve dire e cosa non si può non dire (sono, in lina di massima, dodici cose che devono essere
dette).
Non è ammissibile censurare uno di questi temi.
Aspetti trattati
Oltre che indicare il titolare (o il suo rappresentante nell’UE) si devono indicare i dati personali
trattati, le finalità di trattamento, le modalità, qualora il titolare procederà ad operazioni per
legittimo interesse, quale è la base giuridica del trattamento, devono essere indicati eventuali
trasferimenti fuori dall’UE (cosa molto frequente nel caso di specie), e per quanto tempo i dati
saranno conservati o indicando un termine o una logica che comporta la conservazione degli stessi.9
Diritti illustrati
Dovranno poi essere anche indicati i diritti: come esercitare il diritto alla portabilità, come esercitare
eventualmente il diritto all’accesso ai propri dati personali e quali diritti tra il diritto di oblio e
opposizione possono essere esercitati.
Verificabilità
Il testo è vero? Il testo è correttamente scritto?
Come possiamo controllarlo? Per quanto dipendiamo largamente dalla fiducia che accordiamo al
nostro fornitore (ma non è un male, qualsiasi contratto o rapporto contrattuale prevede una dose di
fiducia accordata all’altro contraente), possiamo anche fare alcune verifiche.
Coerenza interna
In una buona informativa tutto dovrebbe tornare: se si parla di un titolare che ha sede fuori dell’UE
dovremo trovare anche l’indicazione di quale rappresentante è stato nominato nell’UE, o, nel caso
di aziende con sede negli USA, del fatto che la società ha sottoscritto l’accordo Privacy Shield.
Se la finalità di trattamento è solo quella di fornire il servizio, non devono essere raccolti dati non
pertinenti che al servizio (è un errore che fanno molti perché nascondono di avere fini differenti…).
Riferimenti normativi corretti
Il RGPD non deve essere richiamato letteralmente, tuttavia, se i riferimenti normativi vengono fatti,
che siano corretti: non si deve citare che l’art. 13 del RGPD per l’informativa. E non si deve citare
una norma non cogente per i cittadini dell’UE (ma è molto comune citare la legge sulla protezione
dei dati personali vigente in California).
9Ed è tautologicamente inaccettabile dire che i dati saranno conservati sino a quando la loro conservazione è
necessaria per il trattamento, tuttavia una simile indicazione che non dice niente, è abbastanza adottata nel
caso di fornitori di programmi per video chiamate.
Pagina 6 di 8Riscontro su azioni delle Autorità indipendenti
Quanto è buona la fama del titolare che ci offre il servizio presso le Autorità Indipendenti
d’Europa? Questo è un buon parametro esterno per valutare l’opportunità di affidarsi al servizio.
Whatsapp, ad esempio, è stata sanzionata da più autorità indipendenti e, insieme al suo proprietario
(Facebook) ha mostrato una notevole indifferenza al rispetto dei diritti degli interessati e dei doveri
creati dalle norme.
Specificità
Se sto scegliendo quel programma, per quanto uniformi siano i suoi servizi non è accettabile che
l’informativa copra tutti i servizi che potenzialmente la società offre.
Le informative di Twitter (che non offre servizi di Videochat) sono un esempio negativo
paradigmatico: così generali da rendere impossibile la comprensione del testo, alla luce del servizio
richiesto.
Due programmi consigliabili e due informative decenti.
Per ogni programma indicato saranno menzionate note relative agli aspetti che sopra abbiamo preso
in esame.
Skype
Da molti anni (maggio 2011) Skype è una società completamente parte del gruppo che la controlla e
sviluppa: Microsoft Corporation.
Sicurezza
Skype sin dagli albori è stato ritenuto un programma estremamente sicuro, al punto che le procure
italiane che, in alcuni anni hanno effettuato tentativi di intercettazione delle conversazioni, si sono
ridotte a dovere installare programmi che intercettassero non la comunicazione ma il dispositivo
chiamante (o ricevente).
Ad oggi il livello di sicurezza viene ritenuto molto elevato anche se non è mai stato esaminato da
soggetti terzi e anche se è fondato sulla sicurezza dei server impiegati.
Skype è inoltre disponibile per molte piattaforme e anche per differenti e molteplici dispositivi,
rendendo così facile il suo utilizzo anche per quegli utenti
Registrazione
Il procedimento di registrazione, è semplice anche per chi non abbia già un account Skype.
Si basa semplicemente sulla creazione di un nome utente e di una password passando attraverso una
verifica via posta elettronica o, numero di telefono.
Dopo alcuni anni l’aggiornamento della password è consentito e avviene con efficienza.
Come si vede la registrazione avviene all’interno dei servizi Microsoft, infatti l’indirizzo utilizzato è
un sottodominio di live.com che è dominio di proprietà diretta di Microsoft.
Tracciabilità
Anche leggendo l’informativa, il nome utente e i servizi sono totalmente collegati a Microsoft, se
questo può essere un limite vi è anche il vantaggio che Microsoft non ha interesse a monetizzare le
informazioni che raccoglie sui propri clienti.
Pagina 7 di 8Informativa
Se dovessimo valutare l’informativa di Microsoft per Skype rispetto ai termini normativi e alla sua
ideale capacità di informare gli interessati, il nostro giudizio sarebbe non positivo.
Tuttavia avendo visto una copiosa galleria di orrori sull’argomento, conserviamo il rigore per i testi
che produciamo personalmente per i clienti, e valutiamo con molta elasticità quelli di terzi.
Almeno l’informativa indica Microsoft come responsabile (sorvoliamo sulla mancanza assoluta di
indicazioni del ruolo di Skype che è pure società esistente) e almeno cita una norma: il California
Consumer Privacy Act.
Avv. Antonella Oliva
Pagina 8 di 8Puoi anche leggere
