Website Evidence Collector: il tool gratuito del Garante Europeo per la Protezione dei dati personali

Il Garante Europeo per la protezione dei dati personali European Data Protection Supervisor, “EDPS” o anche “GEPD” è l’ente che controlla il trattamento dei dati personali da parte dell'amministrazione dell'UE e delle istituzioni comunitarie allo scopo di assicurare il rispetto del diritto alla protezione dei dati personali dei cittadini dell’Unione. Oltre ad essere membro del Comitato Europeo per la protezione dei dati personali cfr. articolo 68, comma 3 del Regolamento 679/2016 , il GEPD presta consulenza alle istituzioni e agli organi dell’UE su tutti gli aspetti del trattamento dei dati personali e delle relative politiche e legislazione, gestisce i relativi reclami, conduce indagini, collabora con le amministrazioni nazionali dei paesi dell'UE per assicurare la coerenza nell'ambito della protezione dei dati, controlla le nuove tecnologie che possono influire sulla protezione dei dati.

Il Regolamento UE 2018/1725 ne definisce i doveri e i poteri nonché l'indipendenza istituzionale in qualità di autorità di controllo . Chiariti ruoli e funzioni, appare di particolare interesse – tra le recenti attività che hanno visto protagonista il GEPD non estraneo spesso a sovrapposizioni con ruoli e competenze con Autorità data protection nazionali – il focus significativo dedicato nel 2019 la relazione Annuale 2019 sulle attività dell’EDPS è disponibile qui allo sviluppo e alla condivisione di tools e competenze tecnologiche tra le altre iniziative, il GEPD ha lanciato TechDispatch, una pubblicazione online periodica che fornisce informazioni sulle nuove tecnologie e sul loro impatto sulla protezione dei dati. Ma, soprattutto, il Garante Europeo per la protezione dei dati personali ha sviluppato e lanciato un importante strumento il Website Evidence Collector WEC , un tool che esamina in automatico i siti web e ne determina la conformità alle norme sulla protezione dei dati. Website Evidence Collector WEC è un tool basato su un software open source ciò che consente agli esperti di modificarne la programmazione, adattando il tool alle proprie specifiche esigenze aziendali , rilasciato sotto la European Union Public License EUPL-1.2 disponibile per il download a questo link e sulla piattaforma collaborativa di sviluppo software GitHub www.github.com . Il tool opera su un sito web raccogliendo evidenze di trattamenti di dati personali ivi svolti es operatività di cookies o richieste di raccolta dei dati inviate da terze parti, ma non solo . I parametri di raccolta dei dati sono configurati e configurabili in anticipo rispetto alla ispezione automatica on line del sito e forniscono risultati trattamenti svolti e conformità strutturati in linguaggio umano e in formato machine-readable YAML e HTML . In tale prospettiva, i Titolari del trattamento, i DPO e gli utilizzatori finali del sito hanno dunque la possibilità di meglio comprendere quali informazioni e dati personali sono oggetto di trattamento e sono conservati e/o trasmessi senza consenso o al di là di procedure di logging che rende consapevole la conservazione o il trasferimento durante una sessione di visita ad un sito web. Ma come funziona nello specifico il Website Evidence Collector WEC ? Intanto il tool è compatibile con Windows, MacOS, Linux e con tutte le piattaforme che supportano NodeJS e Chromium va evidenziato tuttavia che EDPS ha sviluppato Website Evidence Collector solo per essere lanciato su Linux e MacOS . Per utilizzare Website Evidence Collector WEC come prima cosa è necessario installare Node.js e in particolare il Node.js package manager NPM . il Titolare del trattamento che voglia utilizzare il tool ha poi due opzioni a scaricare qui il pacchetto, estrarre l’archivio e seguire le istruzioni del file README.md, oppure b installare il pacchetto direttamente seguendo le istruzioni indicate nella pagina dedicata di GitHub, che contiene anche un video tutorial. La fase di installazione può apparire alquanto complicata, ma dopo l’utilizzo del tool è fluido e facile. Il tool avvia Chromium, cioè la versione open source del browser Chrome, che riproduce esattamente il comportamento di quello che sarebbe un reale visitatore del sito web sottoposto a scansione automatica attraverso il già citato Chromium, il tool visita tutte le pagine del sito web da ispezionare registrando tutte le risorse e i trattamenti che incontra, catalogandoli in varie categorie di files cosiddetti “raccoglitori di prove di trattamento” che andranno poi a comporre un report da cui estrarre la “fotografia” della situazione dettagliata dei trattamenti che avvengono sul quel determinato sito web. Scendendo un po' più nel tecnico, vengono raccolti – tra gli altri – i seguenti dati 1. screenshot delle pagine web del sito web ispezionato 2. la lista con i links HTTP dalla pagina web di entry, categorizzati in a. link interni allo stesso sito web , b. link esterni c. link a social networks 3. lista di pagine web visitate 4. informazioni HTML 5 archiviate in locale inclusa la pagina web di riferimento e i componenti a cui ascrivere il trattamento 5. tutti i cookies operativi nel profilo del browser inclusa la pagina web di generazione e i componenti a cui ascrivere il trattamento 6. il traffico HTTP tra il browser il file HAR di Internet, in particolare a. la lista di richieste di tracking identificate dal filtro EasyPrivacy b. la lista di richieste di host di prima parte e di host di terze parti 7. tutti I messaggi scambiati via Web Sockets un metodo di trasmissione alternativo alle richieste HTTP . A valle dell’ispezione, totalmente automatica, Website Evidence Collector crea una cartella chiamata Output e al suo interno memorizza tutti i tipi di informazioni come una panoramica di ispezione completa e strutturata, singoli file con cookie, dati persistenti, beacon, schermate, file html con un rapporto contenente tutte le informazioni più importanti in una utile panoramica. Pur essendo Website Evidence Collector WEC un tool relativamente nuovo siamo solo alla versione 0.4 , esso fornisce comunque molte utili funzioni e consente di estrarre – automaticamente - molte informazioni rilevanti la versione da ultimo rilasciata consente anche di creare templates di rapporti che traducono informazioni tecniche dalla cartella Output in report sui trattamenti che avvengono sul sito web aziendale ispezionato in linguaggio comprensibile per il management aziendale non tecnico . Come sopra evidenziato, l’utilità risiede nel fatto che non solo vengono evidenziati nell’output di ispezione automatica i cookies, ma anche ciò che è immagazzinato in locale web storage e i cc.dd. tracking pixels che sono web beacons , tecnologie che sono egualmente soggetto al consenso dell’interessato come base di legittimità del trattamento ma che non molto spesso per non dire sempre non prese in considerazione come trattamenti che pure avvengono on line. Dunque, Website Evidence Collector WEC ve ben oltre le funzionalità di un mero cookie tracker tool largamente disponibile su Internet . Il tool consente a persone anche addetti privi di esperienza di ottenere utili output circa trattamenti di dati personali on line mediante un metodo rapido, riproducibile, affidabile e privacy-friendly non sono coinvolti servizi cloud di terze parti per raccogliere le evidenze sul trattamento . Website Evidence Collector WEC può essere inoltre applicato e utilizzato nelle intranet aziendali senza collegamento a Internet.