Windows 10 mal-tratta i nostri dati personali?

Il Garante dei dati personali olandesi ritiene che Windows 10 non rispetti la legge nazionale a tutela dei dati delle persone. E’ veramente così?
di Andrea Monti – PC Professionale novembre 2017

Dopo l’Autorità francese per la protezione dei dati personali, nei primi giorni di ottobre 2017 anche quella olandese ha aperto un procedimento nei confronti di Microsoft ritenendo che gli utenti di Windows 10 non siano adeguatamente informati di quali dati siano raccolti dal sistema operativo e per quali finalità.

Nello specifico, l’autorità olandese si è concetrata sul monitoraggio continuo che Windows 10 esegue sull’uso che gli utenti fanno del software (compresa la navigazione via Edge in modalità di default) e mette sotto accusa il fatto che gli utenti, oltre a non sapere esattamente cosa stia facendo Windows 10, non sono messi in condizione di decidere se consentire o meno queste operazioni.

Le questioni sollevate dal Garante olandese vanno ben oltre il “blah blah” in legalese contenuto in privacy policy o documenti analoghi perché condizionano il processo stesso di sviluppo e scrittura di un software e quindi possono avere un effetto dirompente per tutta l’industria IT.

Il punto di partenza è il principio, contenuto sia nella direttiva sulla protezione dei dati personali in vigore dal 1995 e nel regolamento comunitario 679/2016, secondo il quale ciascuno di noi deve essere informato di quali dati vengono raccolti e per quale finalità.

Ma le due norme comunitarie non si limitano a questo, perché stabiliscono che i software devono essere progettati per trattare il minimo indispensabile di dati personali, per gestire questi dati in modo sicuro e per funzionare, di default, con tutte le protezioni attive.

Ora, è chiaro che per una software house è importante avere un riscontro continuo dei crash di un’applicazione per rendere più efficente il processo di bug fixing, come è importante avere i dati della “telemetria” – cioè del monitoraggio continuo del funzionamento del programma – per migliorare l’efficienza del software.

Ma siccome il diavolo è nei dettagli – e qui entra in gioco la criticità evidenziata dal Garante olandese – “telemetria” può significare tante cose, dalla raccolta di dati assolutamente anonimi, strutturalmente slegati dall’utenza, a una identificazione (quasi) certa dell’utente e delle sue abitudini di utilizzo del computer, della sua geolocalizzazione e via discorrendo.

Dunque – facendo un discorso generale, non diretto necessariamente a Windows 10 – non basta rifugiarsi dietro documenti magari anche molto corposi ma, nella sostanza, evanescenti, per sostenere che l’utente sia stato effettivamente informato di cosa gli accade quando utilizza un certo software.

E nemmeno è accettabile – dal punto di vista normativo – che una software house si difenda dicendo che non è possibile fornire all’utente tutte le informazioni necessarie perché sarebbe troppo complicato o impossibile. Il rispetto del principio “data protection by design”, infatti, impone esattamente di evitare questa situazione. Altrimenti sarebbe troppo facile realizzare un software particolarmente complesso e difficile da modificare, per poi sostenere l’impossibilità di adempiere alla legge. Sarebbe come progettare un’automobile impossibile da riparare e poi negare qualsiasi responsabilità in caso di difetti che non possono essere eliminati proprio per via del modo in cui l’auto è stata progettata.

Per capire la dimensione del problema basta chiedersi quanti dei software che sono utilizzati a qualsiasi livello (dai firewall agli intrusion detection, dagli ERP ai sistemi di CRM, dalle piattaforme di e-commerce ai servizi cloud) sono conformi ai principi della normativa comunitaria in materia di protezione dei dati personali.

Un esempio fra tanti: quanti software consentono di gestire analiticamente quali dati personali, quali trattamenti e quali finalità possono essere consentite al produttore? E quanto costerebbe, a un produttore, implementare questo “cruscotto di gestione dei dati personali” in un software che non prevede, nativamente, la funzionalità?

Ad oggi, una risposta certa non è disponibile, anche perché non ci si può basare soltanto sulle dichiarazioni pubbliche dei produttori/fornitori che, come si è visto, possono essere, nella migliore delle ipotesi, incomplete o, nella peggiore, ingannevoli e reticenti.

Realisticamente, almeno nel breve periodo, la situazione non cambierà perché ben difficilmente gli attori del settore ICT che non si sono già adeguati alla ormativa cambieranno i loro cicli di sviluppo e rilascio dei prodotti.

La conseguenza pratica per gli utenti è che molti di loro, a meno di non capire esattamente cosa stanno leggendo quando si trovano di fronte l’informativa di legge, continueranno a vivere, loro malgrado, come un pesce rosso in una boccia di vetro.

Possibly Related Posts: