L’emergenza sanitaria non è arrivata in modo del tutto improvviso, l’abbiamo sentita sussurrare, poi parlare lontano, poi ha iniziato ad avvicinarsi a falcate ampie seppur silenziose; quando la sua voce ha cominciato a suonare a meno di un metro da noi, molta parte del Paese è rimasta stupita. E ci siamo trovati impreparati su molti aspetti e fronti.
Abbiamo dovuto scegliere di tenerci lontani con i corpi, ma stiamo di consequenza scoprendo momento che è importante supplire alle distanze fisiche con i vari strumenti della tecnologia. Le Videochiamate e le Videochat sono uno strumento estremamente prezioso per potere tenere riunioni rimanendo a distanza ma, al tempo stesso, consentendo di incontrarsi e discutere insieme delle scelte e decisioni da prendere. Insomma, ci si può lavorare e non solo fare comoda occasione di incontro con i nostri familiari.
Per molti di noi è l’occasione buona di adottare finalmente in modo professionale strumenti di cui abbiamo consapevolezza da molti anni (e del resto sono nella nostra quotidianità da decenni) e che sinora erano stati solo facoltativi.
Ma attenzione se questa occasione è buona per impadronirci degli strumenti, e diventare utenti consapevoli della tecnologia, significa che li dobbiamo scegliere nella consapevolezza di quali opportunità ci offrono, di quali sono le cautele che dovremo adottare e quali sono i rischi da evitare; sta a noi, così come per non esporci ai contagi, usare la tecnologia tenendo conto della protezione che dobbiamo a noi stessi e agli altri.11 Agli albori dell’informatica e per molti anni abbiamo chiamato “virus” le minacce informatiche perché queste si propagavano sfruttando anche utenti inconsapevoli (anzi, spesso corretti e generosi) che volevano condividere informazioni e file. Questa metafora è significativa e ci invita appunto a comportamenti attenti e consapevoli, perché gli imprevisti e le conseguenze indesiderate sono un rischio inevitabile dell’agire. Non essendo proponibile l’inazione, dobbiamo perciò acquisire consapevolezza e tenere comportamenti accorti.
Nelle righe che seguono, cercherò di illustrare gli aspetti da tenere in considerazione per scegliere un programma per videochiamate, videoconferenze e videochat e come si devono leggere le informative sul trattamento dei dati collegate all’uso di questi programmi, anche facendo esempi molto concreti di programmi diffusi e consigliati, o sconsigliabili.
I giorni del distacco sociale rendono necessario lavorare a distanza, usando una videochat.
È una cosa tecnologicamente fattibile, ma i più attenti tra noi possono chiedersi se oltre che fattibile è giuridicamente possibile e come si debba operare per rispettare le norme cogenti in tema di protezione dei dati personali.
Un professionista che si occupa di questo tema non può che fornire una risposta positiva: questa modalità di lavoro è legale, e, rispettate alcune cautele, è anche una buona alternativa in tutti i casi in cui l’incontro di persona non può essere fatto (o è troppo oneroso).
Però chi decide di operare tramite videochat, deve scegliere consapevolmente il programma da usare, e deve anche attrezzarsi per fornire o rendere disponibili istruzioni e informazioni sia per i clienti a cui si chiede di usare questo strumento sia per i colleghi con cui si concorda di usarlo.
In particolare, nel primo caso preso in esame (chat con “cliente”)è opportuno che una informativa22Il lemma indica quelle informazioni che, oggi e in questo caso secondo l’art. 13 del Regolamento UE 2016/679 (di seguito qui chiamato con l’acronimo italo-francofono RGPD), il titolare del trattamento deve fornire agli interessati. È solo il caso di accennare al fatto che gli utenti non professionisti invece non devono rendere una informativa ogni volta che effettuano un trattamento a carattere esclusivamente “domestico” sia disponibile anche per iscritto. Se poi il rapporto è tra un professionista esperto e un consumatore, è doveroso che l’informativa sia disponibile anche per iscritto ma nel caso in cui vi sia trattamento di categorie particolari di dati personali (quelli che un tempo si chiamavano dati sensibili), è d’obbligo anche il passo successivo e cioè la raccolta di uno specifico consenso al trattamento.
Di seguito sono indicati i criteri suggeriti per scegliere il programma giusto, e sono anche indicati alcuni specifici programmi che possono funzionare bene non solo perché tecnicamente adatti, ma anche perché il trattamento dei dati personali avviene in modo abbastanza corretto (almeno per quello che un utente può verificare).
Purtroppo non esiste “IL” programma perfettamente adatto a tutte le situazioni, tale da soddisfare molte variabili, a volte quasi in contraddizione fra loro.33 I due termini, videochat e videochiamata saranno indicati come sinonimi pur esistendo, in teoria, delle sottili distinzioni: nel caso di “videochat” si intende la possibilità di accostare ad una chiamata “video” che avviene in diretta, anche una “conversazione” in diretta e per scritto (chat). Nel secondo caso (videochiamata) invece il lemma è venuto dalle semplici chiamate “in video” che sono rese possibili a partire dall’avvento della rete UMTS, e che poi si sono tramutate quasi sempre sempre in chiamate che avvengono tramite il protocollo VoIP, quindi tramite il web.
Come logica conseguenza, potremo utilizzarne più di uno: differenti situazioni consigliano differenti programmi, bilanciando in modo diverso i criteri di scelta.
I criteri di scelta del programma adatto a mio parere devono basarsi su:
Qui di seguito è proposta per cenni, l’analisi dei primi tre aspetti mentre un paragrafo più approfondito è dedicato al tema dell’informativa proposta.. Infatti, è essenziale porre cura agli aspetti che più facilmente vengono trascurati: quelli della protezione dei dati personali.
A questo proposito, dovendo scegliere un programma da utilizzare, anche i professionisti dell’informatica spesso non prendono purtroppo in considerazione con la dovuta cautela le politiche di protezione dei dati personali; invece chi scrive ritiene che questi criteri debbano e possano essere cruciali per la scelta dello strumento adatto.
Ovviamente, un programma che viaggia sulla rete e che interconnette più dispositivi deve essere sicuro;anche se sappiamo benissimo che la parola indica un aspetto relativo e non assoluto. Programma sicuro non vuol dire al totale riparo da rischi; non vuol dire cioè che le minacce saranno tutte inefficaci, esattamente come una vettura sicura non è una vettura che non avrà mai incidenti.
Dobbiamo esigere che il programma che scegliamo preveda una cifratura della comunicazione end-to-end, ma dobbiamo anche ricordare che se questo protegge la comunicazione dall’intercettazione, non ci protegge dal rischio che il dispositivo (sorgente o destinatario) sia intercettato!
Quanto al cifratura prescelto dobbiamo controllare che sia considerato sufficientemente robusto e dobbiamo infine verificare che tipo di protezione è assicurata ai metadati che non possono essere cifrati (le identità di chi effettua la videochiamata, la loro localizzazione et cetera).
Per potere usare un programma dobbiamo registrarci. La procedura di registrazione deve essere semplice e snella, ma al tempo stesso deve essere sicura.
In altre parole, se non possiamo accettare la macchinosità che viene richiesta dai certificatori per rilasciare una firma digitale, al tempo stesso non possiamo tollerare che l’invio delle credenziali avvenga su moduli non in SSL oppure accettare che chi ci offre l’account sia a conoscenza della nostra parola chiave.
Sempre in fase di registrazione, sarebbe anche bene controllare come, nel caso, possiamo recuperare le credenziali e come possiamo, nel tempo, cambiarle.4Anni fa era celebre un bug di Skype che, su Mac Os X, non consentiva né la verifica della credenziale né il suo aggiornamento.
Dobbiamo proteggere poi noi stessi e i nostri contatti dalla pervasività di certi fornitori. In modo amabile e dolce, alcuni fornitori cercano infatti di sapere tutto di noi e tutto dei nostri contatti, vogliono (o pretendono di farlo) condividere la nostra rubrica indirizzi in modo da archiviare informazioni utili.5Controllate il vostro numero di telefono in questo DB: sync.me e chiedetevi come sia stato possibile (se ci siete) finirvi dentro. Non è improbabile che uno dei vostri contatti vi abbia venduto (inconsapevolmente) in cambio di un servizio gratuito. Ma il servizio non era gratuito! Semplicemente, il suo prezzo non era esplicito e non era in denaro!
Se poi il servizio che ci viene offerto è collegato ad altri, ci ritroviamo ad accettare inconsapevolmente che il fornitore compili su di noi un profilo assai dettagliato e questo ci espone alla possibilità che tutte le informazioni (dati personali) che ci riguardano, siano usati non soltanto per rendere più efficienti i servizi richiesti, ma anche per rendere delle offerte più appetibili, sfruttando le nostre debolezze (eventualmente) sino a limitare e condizionare la nostra libertà di scelta.6Bisogna sempre ricordare che siamo nella condizione dialettica con i nostri fornitori che Hegel descrive nel rapporto servo-padrone. Più informazioni e più spazio concediamo al nostro fornitore e più si ridurrà la nostra autonomia contrattuale perché si è ridotto il nostro potere negoziale.
Dal momento in cui due persone effettuano una videochiamata tramite il web si è in presenza di una operazione di trattamento di dati personali, che coinvolge più attori secondo ruoli differenti.
Abbiamo almeno7Ormai è abbastanza normale che i software consentano videochiamate tra più persone: quello che anni fa era esclusiva di Skype Premium (a pagamento) e iChat per gli utenti Mac, è oggi disponibile tra più e differenti piattaforme, grazie a più di un software. due interessati che sono gli utenti della chiamata, e poi abbiamo una messe di fornitori che, offrendo ciascuno a vario livello il proprio servizio, rendono possibile la videochat. Da un punto di vista della protezione dei dati personali il loro ruolo è quello di responsabili. Con due utenti ci sono almeno un ISP che rende possibile la chiamata (a questo se ne possono aggiungere altri) e certamente vi è il fornitore del programma usato per la videochiamata. Possono essere da un minimo di due responsabili ad un massimo imprecisato e, forse, imprecisabile.8In alcuni casi particolarmente complessi potrebbero essere coinvolti i gestori della rete informatica a cui sono collegati i dispositivi, ma anche i fornitori del sistema operativo o altri operatori nel caso, ad esempio, di connessioni in VPN.
Questi soggetti sono, per moltissimi aspetti, contitolari o titolari autonomi dei trattamenti,9Il titolare del trattamento è l’ente che effettua la raccolta dei dati e sovrintende alle operazioni di trattamento anche curando gli aspetti di sicurezza con l’ausilio di propri addetti e di uno o più responsabili. perché hanno configurato il sistema e hanno la responsabilità di mantenerlo in buon funzionamento. Accanto a questi soggetti c’è il protagonista di queste righe, il professionista che ha scelto di lavorare facendo uso di videochiamate con propri clienti o colleghi.
In questo caso vi è un autonomo trattamento che ciascun utente della chiamata compie, e anche questo, come abbiamo detto sopra, deve essere accompagnato da una informativa e, in alcuni casi, anche da un consenso. Il consenso tuttavia dovrà essere raccolto esclusivamente in quei casi in cui, per il tema trattato nelle videochat, sia specificamente previsto (es.:categorie particolari di dati personali, come già ricordato sopra10Con il RGPD il consenso al trattamento anche per i dati personali a protezione rafforzata, può essere implicitamente dedotto quando necessariamente previsto dall’ambito del trattamento: un medico o uno psicoterapeuta non devono raccogliere un consenso specifico, la loro prestazione infatti non può che comportare il trattamento di dati sanitari e il consenso è quindi già espresso con la manifestazione di volontà connessa alla richiesta di prestazione. Però, dal momento in cui al trattamento tradizionale e svolto de visu si aggiungono degli strumenti telematici che sono accessori, è dovuta una informazione agli interessati ed anche una raccolta del consenso.)
Questo però non esclude che in una videochiamata effettuata per lavoro, uno dei due utenti, debba fornire una informativa al proprio utente, cliente o paziente, come nel caso in cui liberi professionisti raccolgano informazioni dal cliente per svolgere il servizio richiesto.
Uno dei quattro criteri che devono guidare nella scelta è quello di verificare la qualità dell’informativa fornita.
La condizione più frequente è che raramente le informative vengono lette.
Purtroppo altrettanto spesso non vengono scritte per essere lette; anche a chi abbia scritto informative semplici e piene di informazioni utili, capita di verificare che le stesse non sono state lette.
Eppure, l’informativa, che è croce e delizia della consulenza nell’ambito della protezione dei dati personali;,è come la stella che brilla (o che dovrebbe brillare) su ogni operazione di trattamento, la spia che dovrebbe farci decidere se procedere alle operazioni di trattamento.
Definisce gli obblighi di trasparenza ed è essa stessa quell’obbligo che tutti conoscono, anche i più disinvolti nei confronti delle norme che hanno scelto di ignorare,. Tutti sanno che “l’informativa” serve, quasi tutti la vogliono, e quasi tutti pretendono da un consulente che ne produca una così, come Harry Houdini farebbe sbucare dal nulla una bianca colomba.
Molti non comprendono mai veramente appieno infatti che l’informativa non è un documento universale, valido per ogni occasione, ma che ogni informativa, quando viene preparata correttamente, viene scritta ad hoc, partendo da… un foglio bianco, sebbene esista un palinsesto definito dall’art. 13 del RGPD, che indica le cose che si devono dire in una informativa.
Nelle righe che seguono, usando proprio il palinsesto fornito dal dettato normativo, sono perciò indicati gli elementi che da controllare e che quindi devono essere contenuti in una informativa che riguardi un programma di videochat.
In tutte le informative dovrebbe essere un punto cruciale e fondamentale. Personalmente, ho sempre pensato che debba essere il primo punto da evidenziare,anche quando il vecchio testo dell’art. 13 del d.lg.196/2003 non metteva il titolare del trattamento al primo posto.
Del resto, a ben vedere, quando scarichiamo un programma e ci apprestiamo ad usarlo, il titolare del trattamento è anche il nostro contraente: non è corretto stipulare un contratto e sottoscrivere una licenza per l’uso di un programma informatico senza sapere chi è il nostro licenziante!
Stabilito chi è il titolare è opportuno anche riflettere su come deve essere individuato il titolare ideale e cosa non vogliamo che sia un titolare del trattamento a cui con fiducia consegnamo un trattamento così delicato come una conversazione professionale con un cliente.
Non vogliamo innanzi tutto che sia una società con sede in un Paese dove non esistono tutele per la protezione dei dati personali. Sotto questo punto di vista vanno bene moltissimi Paesi, ma non è augurabile che, ad esempio, il titolare del trattamento abbia sede in Cina.11La Cina oltre a non avere alcuna norma a protezione dei dati personali (come potrebbe mai) ha inserito di recente una clausola nella propria legislazione, che obbliga le società che forniscono servizi informatici, a concedere pieno accesso ai dati trattati al governo, che così potrà agire a tutela degli interessi nazionali.
Una informativa deve essere chiara! Non deve essere cioè un documento leggibile solo da iniziati, e il linguaggio giuridico, per quanto necessario in alcuni casi, deve essere usato senza ricorrere a perifrasi che creano distanza tra il redattore e il lettore, distanza in effetti voluta nei testi normativi più enfatici (e vetusti).
I termini – come precisato sopra – devono essere però tecnicamente inappuntabili: non è augurabile che si usi l’espressione informazioni personali al posto di dati personali, gli uni non sono gli altri nell’uso tecnico (almeno nella tradizione e nel cogente normativo dell’UE).12I dati personali sono le informazioni riferibili ad un interessato individuabile, mentre le informazioni personali sono quelle informazioni che, seppure riferibili astrattamente ad un interessato, non consentono più alcuna individuazione.
Non può essere un testo troppo prolisso. Se una informativa è più lunga di una pagina dattiloscritta non c’è stato lo sforzo di scriverla bene, o, peggio, è stata scritta per perdere tempo e nascondere informazioni cruciali o la loro mancanza.
L’art. 13 del RGPD (o GPDR se amate la versione anglofona del Regolamento) dice chiaramente cosa si deve dire e cosa non si può non dire (sono, in linea di massima, dodici le cose che devono essere dette).
Non è ammissibile censurare nessuno di questi temi.
Oltre che indicare il titolare (o il suo rappresentante nell’UE) si devono indicare i dati personali trattati, le finalità di trattamento, le modalità, qualora il titolare proceda ad operazioni per legittimo interesse, quale è la base giuridica del trattamento, devono essere indicati eventuali trasferimenti fuori dall’UE (cosa molto frequente nel caso di specie), e per quanto tempo i dati saranno conservati,indicando un termine o la logica comportata dalla conservazione degli stessi.13Ed è tautologicamente inaccettabile dire che i dati saranno conservati sino a quando la loro conservazione è necessaria per il trattamento. Tuttavia una simile indicazione che non dice niente, è adottata abbastanza spesso/di frequente nel caso di fornitori di programmi per video chiamate.
Dovranno poi essere anche indicati i diritti: come esercitare il diritto alla portabilità, come esercitare eventualmente il diritto all’accesso ai propri dati personali e quali diritti, tra il diritto di oblio e di opposizione, possono essere esercitati.
Quanto scritto nel testo è tutto vero? Il testo è correttamente scritto?
Come possiamo controllarlo? Per quanto dipendiamo largamente dalla fiducia che accordiamo al nostro fornitore possiamo anche fare alcune verifiche (non è un male: qualsiasi contratto o rapporto contrattuale prevede una dose di fiducia accordata all’altro contraente),
In una buona informativa tutto dovrebbe tornare: se si parla di un titolare che ha sede fuori dell’UE dovremo trovare anche l’indicazione di quale rappresentante è stato nominato nell’UE, o, nel caso di aziende con sede negli USA, del fatto che la società ha sottoscritto l’accordo Privacy Shield.
Se la finalità di trattamento è solo quella di fornire il servizio, non devono essere raccolti dati non pertinenti che al servizio (è un abuso che cercano di fare in molti perché nascondono di avere fini differenti).
Il RGPD non deve essere richiamato letteralmente, tuttavia, se i riferimenti normativi vengono fatti, che siano corretti: non si deve citare che l’art. 13 del RGPD per l’informativa. E non si deve citare una norma non cogente per i cittadini dell’UE (è invece molto comune constatare che viene citata la legge sulla protezione dei dati personali vigente in California).
Quanto è buona, presso le Autorità Indipendenti d’Europa, la fama del titolare che ci offre il servizio? Questo è un buon parametro esterno per valutare l’opportunità di affidarsi al servizio.
Whatsapp, ad esempio, è stata sanzionata da più autorità indipendenti e, insieme al suo proprietario (Facebook) ha mostrato una notevole indifferenza verso il rispetto dei diritti degli interessati e dei doveri creati dalle norme.
Se sto scegliendo quel programma, per quanto uniformi siano i suoi servizi non è accettabile che l’informativa copra tutti i servizi che potenzialmente la società offre.
Le informative di Twitter (che non offre servizi di Videochat) sono un esempio negativo paradigmatico: così generali da rendere impossibile la comprensione del testo, alla luce del servizio richiesto.
Per ogni programma indicato saranno menzionate note relative agli aspetti che sopra abbiamo preso in esame.
Da molti anni (maggio 2011) Skype è una società completamente parte del gruppo che la controlla e sviluppa: Microsoft Corporation.
Skype, sin dagli albori, è stato ritenuto un programma estremamente sicuro, al punto che le procure italiane che, in alcuni a suo tempo hanno effettuato tentativi di intercettazione delle conversazioni, si sono ridotte a dovere installare programmi che intercettassero non la comunicazione ma il dispositivo chiamante (o ricevente).
Ad oggi, il livello di sicurezza viene ritenuto molto elevato, anche se non è mai stato esaminato da soggetti terzi e benché sia fondato sulla sicurezza dei server impiegati.
Skype è inoltre disponibile per molte piattaforme e anche per differenti e molteplici dispositivi, rendendo così facile il suo utilizzo anche per utenti meno attrezzati.
Il procedimento di registrazione, è semplice anche per chi non abbia già un account Skype.
Si basa semplicemente sulla creazione di un nome utente e di una password, passando attraverso una verifica via posta elettronica o numero di telefono.
Dopo alcuni anni, l’aggiornamento della password è consentito e avviene con efficienza.
Come si vede nella schermata di apertura, la registrazione avviene all’interno dei servizi Microsoft, infatti l’indirizzo utilizzato è un sottodominio di live.com che è dominio di proprietà diretta di Microsoft.
Anche leggendo l’informativa, il nome utente e i servizi sono totalmente collegati a Microsoft. Se questo può essere un limite, vi è anche un vantaggio: Microsoft non ha interesse a monetizzare le informazioni che raccoglie sui propri clienti.
Se dovessimo valutare l’informativa di Microsoft per Skype rispetto ai termini normativi e alla sua ideale capacità di informare gli interessati, il nostro giudizio sarebbe impietoso.14 Questo è l’indirizzo disponibile: [https://privacy.microsoft.com/it-it/privacystatement]{.underline} come si può notare non è un indirizzo specifico per i servizi di Skype.
Tuttavia, dopo anni di esperienza professionale alle spalle, e avendo visto una copiosa galleria di orrori sull’argomento, pur conserviando il rigore per i testi che prodotti personalmente per i clienti, valutiamo/to con molta elasticità quelli di terzi.
Possiamo dire che, almeno, l’informativa indica Microsoft come responsabile (sorvoliando sulla mancanza assoluta di indicazioni del ruolo di Skype che è pure società esistente) e che, quantomeno, cita una norma: il California Consumer Privacy Act.
Certo, i termini usati non sono corretti se letti alla luce del RGPD. Certo non si menziona mai che l’utente europeo sarebbe sottoposto alla norma europea e non a quella imposta dallo stato della California. Ma almeno viene detto che esiste l’accordo Privacy Shield e che Microsoft assicura di attenersi alle regole prescritte (per quanto possibile o consentito dal Foia.
Zoom è un programma che nasce in seno alla silicon valley e da parte di un gruppo di informatici proveniente da Cisco Systems.
Il prodotto è da sempre molto concentrato sulla integrazione con altri servizi, altre aziende e sulla sua estrema facilità di uso: è disponibile anche come web application e per molte e differenti piattaforme.
La sicurezza del programma i è stata messa in dubbio: in alcune occasioni la possibilità di violare gli account è stata infatti accertata15https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15715 e in altri sono emersi problemi gravi di sicurezza da parte di ricercatori indipendenti che hanno reso noto vulnerabilità immediate.16https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
Questo rende desiderabile adoperare massime cautele nell’uso di Zoom:
La procedura di registrazione avviene in due fasi: un link personalizzato viene generato sulla base della comunicazione di un indirizzo di posta elettronica.
Il link permette di accedere ad una pagina di registrazione per la quale sono anche disponibili una informativa e le condizioni di servizio.
Sembra che buona parte della tracciabilità e della interazione con altri servizi sia pienamente nelle mani degli utenti: decidiamo noi se registrarci usando l’account di Google (sconsigliato), o quello di Facebook (molto sconsigliato!).
Decidiamo noi se integrare i servizi con i calendari digitali e via dicendo.
È una informativa ben migliore di quella che offre Microsoft.
Certo non pare che chi l’ha scritta sia consapevole di cosa sia un dato personale per gli stati dell’Unione Europea,17Nonostante la nozione di “dato personale” sia (volutamente) omessa dal testo normativo, lo scontro culturale tra gli Stati Uniti e l’UE avviene anche e innanzitutto sulla base di questo primo principio. Negli USA (con le differenze dovute tra uno Stato e l’altro) un dato personale è tale solo quando è direttamente identificativo, si parla altrimenti di informazioni personali. In UE invece il dato è personale sempre quando è ragionevolmente riconducibile ad una persona identificata. Sono dati personali quindi anche gli indirizzi IP. ma tutele specifiche vengono riconosciute per gli utenti Europei. Nell’ambito dei servizi erogati agli utenti per le videochat, questa è una delle informative migliori che è dato di leggere in quest’ambito.
A fronte di questi due servizi, che sono i principali e di grande facilità di utilizzo ve ne sono diversi altri che, in alcuni casi, potrebbero essere ottimi e ben adatti (Face Time, Signal, Jitsi).
In linea di massima, volendone adottare uno, è utile tenere conto che è sempre consigliabile scegliere servizi basati su piattaforme aperte o venduti da società che non hanno un modello imprenditoriale che prevede la monetizzazione delle informazioni raccolte presso gli utenti. Per questo motivo, è sempre sconsigliabile usare i servizi di società che integrano i propri servizi con i propri Social Network o con i propri motori di ricerca.18Sì, si allude chiaramente a Facebook che controlla anche WhatsApp e a Google che offre Google Duo e Google Hangouts.