Dato che abbiamo ricevuto una richiesta in proposito anche in fiera lo scorso fine settimana, ecco qualche link interessante (in inglese) sull’argomento Firefox e cookie di terze parti:

• Post su Mozilla Privacy Blog: Firefox getting smarter about third-party cookies;
• Washington Post: Web browsers consider limiting how much they track users;
• Video sempre dal Washington Post con demo di Collusion;
• Editoriale su AdExchanger: “Firefox cookie-block is the first step toward a better tomorrow”;
• Digiday: Are third-party cookies worth saving?

Per i curiosi ecco come appaiono le preferenze di Firefox sul canale nightly (oltre all’opzione “dai siti visitati” ci sono “mai” e “sempre”).E il mio grafico di Collusion. Interessante come alcune delle bolle più grandi siano siti a me totalmente sconosciuti.

Altra piccola curiosità: questo è il sito corriere.it su un profilo pulito.

Voglio aggiungere solo un piccolo appunto sulla questione MOMIS e spam italiota tra i commenti (sempre da Lastknight potete leggere la risposta dell’azienda): oltre ad aver dimostrato scarsa attenzione nella scelta del blog (uno che abbia anche solo visto di sfuggita il blog di Matteo se ne starebbe bene alla larga con simili idee), avete palesato anche scarsa arguzia.

Giusto per essere chiaro: se invece di inserire un commento che puzzava di spam lontano un chilometro aveste inserito un commento a tema, rispondendo (con competenza) anche ad uno solo dei quesiti che ponevo nel post e mettendo il link al vostro sito web nell’apposito campo, non mi sarei mai sognato di cancellarlo 😉

In questo modo qualche visita da questo blog l’avreste guadagnata, così avete solo ottenuto pessima pubblicità (potrei anche usare metafore e immagini bucoliche ma eviterò) 😉

Dopo i problemi di sparizione dei dati su alcuni account GMail, eccone uno decisamente più grave: se avete fatto il login alla vostra casella GMail, gli indirizzi e-mail di tutti i vostri contatti rimangono esposti in chiaro durante la navigazione; vi basterà visitare una pagina costruita ad arte e un qualsiasi malintenzionato potrà recuperare questi dati senza troppe complicazioni.
La causa del problema? I dati vengono memorizzati in file JavaScript accessibili in chiaro via browser. Esempio pratico: fate il login nella vostra casella e-mail e visitate questa pagina.
Se, come il sottoscritto, usate estensioni come GMail Notifier, siete praticamente sempre esposti; personalmente ho fatto una rapida prova, usando una delle mie caselle GMail secondarie, e confermo il problema.

Possibili soluzioni:

• disattivare JavaScript per i siti non conosciuti (ad es. con NoScript per Firefox)
• bloccare http://docs.google.com/ con il file hosts (facendolo puntare a 127.0.0.1)
• fare il logout da GMail e non visitare altri siti nel periodo in cui si è autenticati

UPDATE: dopo mezz’ora persa a decodificare il codice JavaScript inserito nella pagina di Googlified (3 codifiche annidate), posso confermare che il codice si limita a scorrere l’array nel file su docs.google.com e scrivere l’indirizzo nella pagina. Gli indirizzi e-mail visualizzati non vengono utilizzati per altri scopi.

UPDATE 2: Google ha già rappezzato il problema. Mi piacerebbe capire come sono intervenuti: il file di test con lo script aperto in locale continua a funzionare mostrando i contatti, se caricato su un server remoto non riesce a visualizzarli 😕

UPDATE 3: Google ha finalmente corretto il problema 😉

Una volta tanto vorrei approfittare di questo blog per chiarirmi qualche dubbio. Il problema riguarda il famigerato DL196/2003, il “Codice in materia di protezione dei dati personali”; personalmente ho cercato di districarmi nella legge, ma spero di trovare qualche esperto tra i lettori in grado di dipanare il groviglio che ho in testa.

Art.1 Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Le informative per il consenso al trattamento dei dati
Stiamo parlando della classica piccola azienda, per cui il trattamento riguarda “dati personali” e, solo in rari casi, “dati sensibili”.

a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato;
d) “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

L’articolo 23, riguardante il consenso, parla chiaro

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Ma altrettanto chiaro è l’articolo 24, “Casi nei quali può essere effettuato il trattamento senza consenso”

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
…
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

A mio avviso, bene o male, in queste tre categorie rientrano i dati trattati da un’azienda per il ciclo di fatturazione, per cui non è necessaria né informativa né consenso.

Dubbio: perché sono sommerso di richieste da parte di fornitori e clienti che mi chiedono il consenso al trattamento dei dati?

Il “Documento programmatico per la sicurezza”
Nell’allegato B, Disciplinare tecnico in materia di misure minime di sicurezza, si legge:

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

In altre parole: se un’azienda non gestisce dati sensibili o giudiziari non è tenuta alla compilazione del D.P.S.
Due esempi pratici di “dati sensibili” sono: iscrizione al sindacato, referti delle visite della medicina del lavoro. Se la gestione delle buste paga e delle pratiche per i dipendenti viene affidata ad un consulente esterno, direi che il problema non dovrebbe esserci.

Sempre nell’allegato B si legge:

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Il “se dovuta” sottolinea la non obbligatorietà.

Dubbio: perché i software per la compilazione del D.P.S. vengono venduti a destra e manca e nessuno dice nulla? Questo tralasciando la valutazione dell’oggettiva utilità di tali software.