POLITICA SULL'UTILIZZO DEI COOKIE - GIUFFRE' FRANCIS LEFEBVRE SPA

Questo sito utilizza cookie di profilazione di prima parte per offrirti un miglior servizio e per trasmetterti comunicazioni in linea con le attività svolte durante la navigazione. Puoi impedire l'utilizzo di tutti i Cookie del sito cliccando MAGGIORI INFORMAZIONI oppure puoi acconsentire all'archiviazione di tutti quelli previsti dal sito cliccando su ACCONSENTI.

Continuando la navigazione del sito l'utente acconsente in ogni caso all'archiviazione degli stessi.


> Maggiori informazioni

Acconsenti

Abbonamento scaduto
Abbonamento inattivo
Numero massimo utenti raggiunto
Utente non in CRM
Manutenzione
sabato 08 agosto 2020
Accedi   |   Contatti   |   Newsletter   |   Abbonamenti    Feed RSS
Notizie a cura di La Stampa.it |
PROFESSIONE

Privacy | 15 Aprile 2020

Website Evidence Collector: il tool gratuito del Garante Europeo per la Protezione dei dati personali

…per controllare ad ampio spettro la conformità dei trattamenti di dati personali online effettuati sul sito web aziendale

di Alessandro Del Ninno - Prof. Avvocato, Studio Legale Tonucci & Partners

Il Garante Europeo per la protezione dei dati personali (European Data Protection Supervisor, “EDPS” o anche “GEPD”) è l’ente che controlla il trattamento dei dati personali da parte dell'amministrazione dell'UE e delle istituzioni comunitarie allo scopo di assicurare il rispetto del diritto alla protezione dei dati personali dei cittadini dell’Unione. Oltre ad essere membro del Comitato Europeo per la protezione dei dati personali (cfr. art. 68, comma 3 del Regolamento 679/2016),  il GEPD presta consulenza alle istituzioni e agli organi dell’UE su tutti gli aspetti del trattamento dei dati personali e delle relative politiche e legislazione, gestisce i relativi reclami, conduce indagini, collabora con le amministrazioni nazionali dei paesi dell'UE per assicurare la coerenza nell'ambito della protezione dei dati, controlla le nuove tecnologie che possono influire sulla protezione dei dati.

Il Regolamento (UE) 2018/1725 ne definisce i doveri e i poteri (nonché l'indipendenza istituzionale in qualità di autorità di controllo).


Chiariti ruoli e funzioni, appare di particolare interesse – tra le recenti attività che hanno visto protagonista il GEPD (non estraneo spesso a sovrapposizioni con ruoli e competenze con Autorità data protection nazionali…) – il focus significativo dedicato nel 2019 (la relazione Annuale 2019 sulle attività dell’EDPS è disponibile qui) allo sviluppo e alla condivisione di tools e competenze tecnologiche: tra le altre iniziative, il GEPD ha lanciato TechDispatch, una pubblicazione online periodica che fornisce informazioni sulle nuove tecnologie e sul loro impatto sulla protezione dei dati. Ma, soprattutto, il Garante Europeo per la protezione dei dati personali ha sviluppato e lanciato un importante strumento: il Website Evidence Collector (WEC), un tool che esamina in automatico i siti web e ne determina la conformità alle norme sulla protezione dei dati.

 

Website Evidence Collector (WEC) è un tool basato su un software open source (ciò che consente agli esperti di modificarne la programmazione, adattando il tool alle proprie specifiche esigenze aziendali), rilasciato sotto la European Union Public License (EUPL-1.2) disponibile per il download a questo link e sulla piattaforma collaborativa di sviluppo software GitHub (www.github.com).

 

Il tool opera su un sito web raccogliendo evidenze di trattamenti di dati personali ivi svolti (es: operatività di cookies o richieste di raccolta dei dati inviate da terze parti, ma non solo). I parametri di raccolta dei dati sono configurati (e configurabili) in anticipo rispetto alla ispezione automatica on line del sito e forniscono risultati (trattamenti svolti e conformità) strutturati in linguaggio umano e in formato machine-readable (YAML e HTML). In tale prospettiva, i Titolari del trattamento, i DPO e gli utilizzatori finali del sito hanno dunque la possibilità di meglio comprendere quali informazioni e dati personali sono oggetto di trattamento e sono conservati e/o trasmessi (senza consenso o al di là di procedure di logging che rende consapevole la conservazione o il trasferimento) durante una sessione di visita ad un sito web.

 

Ma come funziona nello specifico il Website Evidence Collector (WEC)? Intanto il tool è compatibile con Windows, MacOS, Linux e con tutte le piattaforme che supportano NodeJS e Chromium (va evidenziato tuttavia che EDPS ha sviluppato Website Evidence Collector solo per essere lanciato su Linux e MacOS).

 

Per utilizzare Website Evidence Collector (WEC) come prima cosa è necessario installare Node.js e in particolare il Node.js package manager (NPM). il Titolare del trattamento che voglia utilizzare il tool ha poi due opzioni:

 

a) scaricare qui il pacchetto, estrarre l’archivio e seguire le istruzioni del file README.md, oppure

b) installare il pacchetto direttamente seguendo le istruzioni indicate nella pagina dedicata di GitHub, che contiene anche un video tutorial.

 

La fase di installazione può apparire alquanto complicata, ma dopo l’utilizzo del tool è fluido e facile.

 

Il tool avvia Chromium, cioè la versione open source del browser Chrome, che riproduce esattamente il comportamento di quello che sarebbe un reale visitatore del sito web sottoposto a scansione automatica: attraverso il già citato Chromium, il tool visita tutte le pagine del sito web da ispezionare registrando tutte le risorse e i trattamenti che incontra, catalogandoli in varie categorie di files (cosiddetti “raccoglitori di prove di trattamento”) che andranno poi a comporre un report da cui estrarre la “fotografia” della situazione dettagliata dei trattamenti che avvengono sul quel determinato sito web.

 

Scendendo un po' più nel tecnico, vengono raccolti – tra gli altri – i seguenti dati:
1. screenshot delle pagine web del sito web ispezionato;
2. la lista con i links HTTP dalla pagina web di entry, categorizzati in:
a. link interni (allo stesso sito web),
b. link esterni;
c. link a social networks;
3. lista di pagine web visitate
4. informazioni HTML 5 archiviate in locale (inclusa la pagina web di riferimento e i componenti a cui ascrivere il trattamento)
5. tutti i cookies operativi nel profilo del browser (inclusa la pagina web di generazione e i componenti a cui ascrivere il trattamento)
6. il traffico HTTP tra il browser il file HAR di Internet, in particolare:
a. la lista di richieste di tracking identificate dal filtro EasyPrivacy
b. la lista di richieste di host di prima parte e di host di terze parti;
7. tutti I messaggi scambiati via Web Sockets (un metodo di trasmissione alternativo alle richieste HTTP).

 

A valle dell’ispezione, totalmente automatica, Website Evidence Collector crea una cartella chiamata Output e al suo interno memorizza tutti i tipi di informazioni come una panoramica di ispezione completa e strutturata, singoli file con cookie, dati persistenti, beacon, schermate, file html con un rapporto contenente tutte le informazioni più importanti in una utile panoramica. Pur essendo Website Evidence Collector (WEC) un tool relativamente nuovo (siamo solo alla versione 0.4), esso fornisce comunque molte utili funzioni e consente di estrarre – automaticamente - molte informazioni rilevanti (la versione da ultimo rilasciata consente anche di creare templates di rapporti che traducono informazioni tecniche dalla cartella Output in report sui trattamenti che avvengono sul sito web aziendale ispezionato in linguaggio comprensibile per il management aziendale non tecnico). Come sopra evidenziato, l’utilità risiede nel fatto che non solo vengono evidenziati nell’output di ispezione automatica i cookies, ma anche ciò che è immagazzinato in locale (web storage) e i cc.dd. tracking pixels (che sono web beacons), tecnologie che sono egualmente soggetto al consenso dell’interessato come base di legittimità del trattamento ma che non molto spesso (per non dire sempre) non prese in considerazione come trattamenti che pure avvengono on line. Dunque, Website Evidence Collector (WEC) ve ben oltre le funzionalità di un mero cookie tracker (tool largamente disponibile su Internet).

 

Il tool consente a persone (anche addetti privi di esperienza) di ottenere utili output circa trattamenti di dati personali on line mediante un metodo rapido, riproducibile, affidabile e privacy-friendly (non sono coinvolti servizi cloud di terze parti per raccogliere le evidenze sul trattamento). Website Evidence Collector (WEC) può essere inoltre applicato e utilizzato nelle intranet aziendali senza collegamento a Internet.