jump to navigation

Il GDPR e gli struzzi mercoledì 10 ottobre 2018

Posted by andy in Information Security, privacy.
trackback

Qualche tempo fa mi sono permesso di disturbare il DPO di un’importante università italiana (ed in verità anche il suo Rettore …), la quale utilizza come sistema di posta elettronica di ateneo i servizi di GMail di Google (denominati G Suite).

Ero interessato a sapere quali garanzie avesse l’università rispetto alla profilazione degli utenti (studenti, docenti e personale del campus).

Dopo alcuni giorni ho ricevuto una puntuale risposta, in cui venivo informato che sul tema era stata interpellata la stessa Google, la quale ha fornito tutte le garanzie del caso.

Oltre a riportarmi per completezza i termini del servizio, il DPO ha sintetizzato con una frase l’esito della ricognizione: “I servizi di G Suite (…) non raccolgono o usano informazioni per fini di marketing o per creare profili pubblicitari.

Volendo leggere con un po’ di attenzione tale frase, ci rendiamo immediatamente conto quindi che essa non esclude quindi che Google faccia profilazione degli utenti (cosa ovviamente certa, visto che è il suo core business), ma che lo scopo della profilazione non è il marketing.

Nei termini di servizio sono riportate accuratamente le procedure in essere per l’autenticazione e l’autorizzazione degli utenti per l’accesso ai dati dei clienti; non si fa invece riferimento ai controlli di accesso destinati a procedure informatizzate.

Confidando naturalmente nella buona fede di Google, si osserva tuttavia che il servizio G Suite non è oggetto di certificazione ISO27001 (non è infatti incluso nello scope di certificazione).

Si osserva invece che in tale scope è incluso Google+, che si è recentemente appurato aver consentito ad applicazioni di terze parti di accedere ai dati di 500.000 utenti, a causa ad un bug,

Non sono inoltre ovviamente disponibili i rapporti di audit delle società di certificazione che assicurano la compliance dei servizi di Google rispetto alle norme di sicurezza di riferimento, per cui il ‘contractor’ non ha modo di sapere quale sia il reale grado di protezione dei dati dei propri utenti.

Ho quindi lasciato al DPO di immaginare quali tipi di profilazione possa fare Google sugli allievi e sul personale di Ateneo, soprattutto se l’utente di G Suite possiede un profilo Google anche al di fuori dell’Università (rendendoli quindi riconciliabili tra loro).

Senza contare le informazioni che vengono veicolate attraverso G Suite su progetti di ricerca, anche riservati e potenzialmente destinati a possibili pubblicazioni e brevetti …

Tenendo conto che i Big Data e la Data Intelligence sono discipline strategiche per il business di oggi e di domani, risulta fondamentale per tutte le aziende ed organizzazioni chiedersi quanto il ‘tutto gratis’ sia veramente un’opportunità, o se sia invece un grande rischio …

Annunci

Commenti»

No comments yet — be the first.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: