 Track 2 Ultimo Talk della giornata Valentino Spataro ci racconta qualcosa che è legato all'ambito legale ma anche tecnico. Valentino Spataro è iniziato a fare i primi test della versione di Warp Press dal 2006, quindi la conosce. Conosce Warp Press ha programmato anche in perla SAP e PHP quindi, insomma, in linguaggi veramente famosi e anche di tanti anni fa ma anche di oggi, ha capito che Warp Press era più di una tecnologia quando tutti su LinkedIn raccontavano, lo raccomandavano come esperto di Warp Press anche se lo conoscevano solo per i suoi CMS perché ai tempi Valentino aveva fatto un suoi CMS. Si può sopravvivere la privacy con la rendicontabilità, documentate tutto per difendervi dagli strani che assaliranno i vostri clienti. Adesso Valentino Spataro per Privacy e Warp Press. Mi ringrazio tantissimo, cercherò di non lo abusare alla vostra pazienza per essere qui per ascoltarmi. Devo avere proprio una attenzione alla sensibilità unica perché la materia è pesante, allora non la farò pesante. La mia idea è di darvi delle semplici nozioni sulle quali poi uno può andare a approfondire però avere già queste prime nozioni sicuramente vi cambia il modo di lavorare. Quindi ho diviso il mio intervento tra errori frequenti però partiremo dalle sanzioni più comuni che sono state erogate quindi andiamo a vedere casi concreti, i comportamenti difensivi per voi e eventuali clausole che tutti mi chiamano salva vita che sono sempre comode magari nei contratti o nelle e-mail anche che andate a utilizzare. Se ho la voce alta ditemelo che ogni tanto sento ok. Allora io nasco sviluppatore ho scoperto che riuscivo a programmare su carta quando non avevo ancora in Commodore 64 poi ho trascritto tutto il codice funzionato detto ok sono programmatore e il babbo mi voleva giurista, avvocato meglio e io invece mi sono limitato a fare giurista. Per casi della vita nella laurea sulla tutela del software ho scritto un paragrafo nel 95 sulla privacy e tutti dico ma non era la prima del 96 ecco io nel 95 ho iniziato a parlar di privacy. Sono il podcast più longevo d'Italia ho iniziato nel 2008 non mi sono mai fermato e da vari anni ogni giorno un episodio nuovo c'è anche un podcast dedicato proprio alla privacy. Un minuto un minuto e mezzo due alla settimana quindi state tranquilli e poi privacy ve l'ho detto. Questo è quello di cui parleremo adesso non dobbiamo guardarlo qua perché lo vedremo specificamente più avanti però vi volevo già dare un po' l'impostazione generale da una parte le sanzioni più comuni dall'altra gli errori più frequenti, comportamenti difensivi e clausole salvavita. Volo far vedere anche internamente quanto ogni sezione può pesare. Allora primo tema password ricordo parliamo delle password nei provvedimenti del garante o nella giurisprudenza di cassazione qualche volta se ne parlo di tribunale di merito ma c'è talmente poco c'è qualcosa di più in cassazione caso concreto covid una unità sanitaria sta utilizzando un software appena consegnato appena aggiornato appena modificato e di seguito viene consegnato con la password 1 2 3 4 e bene voi immaginerete quante volte è stata data l'istruzione cambiatela subito ovviamente data breach pubblicato su twitter mi sembra un esame di qualcuno in d'agini sanzionata la anche anche l'azienda che ha fornito il software perché l'utente non ha cambiato la password iniziale ma soprattutto perché non è stata obbligata dal software a cambiare la password iniziale secondo secondo tipo di sanzioni molto frequenti password troppo semplici ecco questo è già quello che vi dicevo cioè la password troppo semplice 1 2 3 4 mai noi lo sappiamo ma l'utente medio qualche volta non sempre ecco oggi quando io faccio vedere volutamente le mie password di 30 caratteri mi guardano in certo modo perché usando il password manager una certa cosa ma il problema non è questo per l'azienda che sviluppa l'azienda che sviluppa oggi come oggi deve devi sapere anche in determinati contesti contesti la password o non sola deve essere un certo di un certo livello di complicazione misurata nel momento in cui uno la personalizza ma deve avere anche una durata e a seconda del tipo di password potrebbe essere anche un token potrebbe essere anche qualcosa che scade dopo pochi secondi quindi considerate la complessità della password come un momento in cui dovremmo usare quelle belle librerie quelle belle funzioni magari ci scriviamo noi che dicono che non è abbastanza complessa e e te la blocco informate magari bene l'utente come deve dare alla password giusta perché occupandomi anche di accessibilità ho visto che poi spesso i messaggi di errori arrivano dopo beh dimmelo subito che deve essere complessa come quanto e poi appunto l'elemento dell'eternità le password eterne sono solo presenti nei nostri password manager che ci dicano allora la cambisi o no però se forniamo un servizio un software può essere un servizio un software ma in ogni caso un oggetto commerciale utilizzabile in un'attività che non avvisa che la password va cambiata si possono avere dei problemi uno dei vari casi se non sbaglio fu proprio a rubar con le pec che le cui password non scadevano mai e allora ogni volta che voi vi sentite obbligate a cambiare la passo su un servizio online ricordate che dietro c'è un provvedimento del garante voi dice tu non hai avvisato e soprattutto nelle nella tua documentazione interna non hai mai nemmeno preso in considerazione nelle analisi di rischio che tutti devono fare prima di pubblicare o consegnare il prodotto tu non hai mai nemmeno considerato questo problema che era ovvio dirà il garante che sia ovvio non ovvio non mi interessa e che ne dobbiamo tenere traccia ecco il tema della rendicontabilità che abbiamo sentito appena cenare prima secondo punto ok password è facile ma io come identifica una persona online ebbene un caso in Lazio e ancora una volta ha reso condannato un'azienda produttrice di software perché aveva fatto un software perfetto peccato che l'identificazione era collegato a un software della regione era per l'accesso o della o di roma era per l'accesso alla zeta alla z tl quindi chi poteva entrare dentro il sistema che controllava gli accessi le targe eccetera eccetera solo gli operatori abilitati ebbene questo servizio è stato cambiato non è il nasto più sincronizzato con l'altro fornito risultato chiunque poteva vedere le gli accessi di altri le date della della sicurazione e c'è tutto targe così via questo per dire che non è bastato all'azienda informatica a dire e ma me hanno detto che erano loro che gestivano i permessi ora se questi potevano entrare tutti è ovvio che entrava anche dal mio sistema perché io non ho mai sviluppato questa parte di controllo non la dovevo sviluppare l'igenuità in quel caso è stato fidarsi del cliente e delle parole dette o dello scambio di mail che non è stato reso formale cioè se il certo punto qualcuno vi dice sì ma guarda l'identificazione facciamo noi quindi basta che tu fai questo e magari te lo dicono a telefono o te lo dice un esperto dall'altra parte che l'ha sviluppato questa cosa dovete formalizzarla mentre la ne registro delle attività che quel registro e voi terrete in forma di posta elettronica in formato excel come volete messaggio posta elettronica vi mandate voi stessi magari una casella dedicata questo è il mio suggerimento in cui scrivete io non faccio questa cosa perché il cliente mi ha chiesto di non farla perché la fallui non solo perché mi ha chiesto di non farla perché io devo sapere qual è la privacy e devo tutelare comunque i dati quindi sarei colpevole comunque però sa detto che la fallui allora io non l'ho fatta perché la fallui no perché non ci voglia di farla io perché il garante pretende che quella cosa venga messa a posto e non accetta in porti superiore detto tu non la fai hai chiesto altri soldi non te li danno io ti condanno a te il problema dei soldi prenderli quindi questo aiuta a capire poi un po concretamente come funzionano le cose e pensiamo facebook facebook ha cambiato il protocollo di connessione per cui c'è un tracciamento nel momento stesso in compare l'autenticazione tramite facebook prima ancora di dare l'autenticazione ecco in questi casi noi dobbiamo controllare i fornitori per sapere quello che fanno fino a che punto possiamo farlo questa è la domanda che lascerò aperta ovviamente però se il cliente vi chiede di usare un protocollo e autenticazione esterno tenete tra ciò che la richiesta è sua non è una vostra iniziativa e che voi gli dite mi raccomando guarda che se facebook cambia le e devi riferirmelo così io te lo blocco temporanamente e potrei accedere un quell'altro sistema di emergenza che io ti lascio traccianti l'abbiamo appena accennato fino ad esso quindi posso non parlarne tutto quello che finisce in gli stati uniti non piace sostanzialmente l'indirizzo ip viene considerato un dato personale non ditemi che un dato anonimo io tecnicamente vi posso dire tranquillamente che alcuni ip sono assolutamente anonimi per me il fatto che potenzialmente siano identificabili per google significa che entriamo nell'interpretazione che fanno tutti i granti oggi anche su schrems iniziativa e schrems dall austria per dire no è un dato che può diventare personale quindi comunque un dato personale quarto caso anche oggi ne parlavo un poco tutti le migrazioni fatte di corsa crolla un sito è un clickday magari un università che organizza un sondaggio una domanda entro quel giorno dei un bando dei fondi crolla il sito cosa si fa e non riesco a bloc e devo metterlo su di corsa da un'altra parte oppure perché proprio ci sono dei bug nel software di corsa devo mettere ecco il di corsa signori significa che non abbiamo il tempo di fare il nostro lavoro punto e basta questa cosa deve essere gestita in modo maniacale da parte dall'azienda che riceve una richiesta urgentissima dice ok allora vieni qua dammi tutte le risorse necessarie io ci metterò tutto il tempo che c'è bisogno per tutta l'area i dati personale quindi inutile mi dichiedi una data un orario io devo fare le cose bene tipico esempio copio un intero server su tutto un sito che su server su un altro server copia contro c contro il v della cartella dall'altra parte si perdono gli access tutti i pdf in chiara casi concreti vi sto raccontando quindi no no non si può avviare una procedura così soprattutto quelle urgenti soprattutto quelle straordinari quinto e qui possiamo andare molto rapidi a chi spetta nei testi legali allora l'azienda che sviluppa il software è responsabile del trattamento cioè segue le istruzioni del titolare tu mi chiedi di fare software io seguo le tue istruzioni dammi le tue condizioni legali mettetelo nero su bianco faccio come il papa mettetelo nero su bianco scrivetelo sempre nel contratto nel preventivo nel nella nella consegna nelle email che vi scambiate guarda che la devi fare tu me la dai perché io devo seguire le tue direttive non sono io che mi devo inventare come lavori tu inserione che chiaramente l'altra parte gli avvocati sono molto agguerenti a sostenere contrario dopo di che c'è un dovere di collaborazione quindi ricordiamo che in ogni caso di incertezza l'azienda informatica è rettenuta responsabile perché si è mossa di propria iniziativa massima dalla cassazione che ho letto due giorni fa mi sembra di fine dell'anno scorso 2021 la cassazione quindi sono già arrivati fin là han detto guardate in questo caso nell'uno nell'altro avevano mai preso accordi su questa cosa l'azienda informatica ha deciso di usurpare questa soluzione in questo modo l'ha fatto è sbagliata e risponde all'azienda informatica condannata l'azienda informatica ci sono case addirittura complicati nel prevenzio Giulia su ma non non andiamo nel dettaglio su chi doveva fare cosa addirittura per il garante l'asle doveva rifiutarsi di seguire le direttive della regione perché l'asle è titolare e la regione è solo responsabile il trattamento che in quel momento però afforniva il software a tutte le province tutte le asle quindi l'asa siccome era lei che decideva la regione non contava niente non stanno proprio regolamento ora questo è un altro modo di vedere quello che vi ho detto fino ad esso controllare l'identità degli utenti gli errori momenti di stress quindi bisogna fare tutto subito oppure anche essere vittimi di phishing quindi cadere nel social engineering ma soprattutto non tanto una disorganizzazione quanto un non avere un punto di riferimento organizzativo all'interno dell'azienda gli errori più frequenti l'abbiamo visti le email scusate le password le email che devono essere usate per tenere traccia di chi fa cosa su richiesta di chi cioè la faccio di via iniziativo perché me l'hai chiesto tu scrivere tutte le istruzioni e poi fare affidamento qui ho messo plug in tra e tra occurs ma in generale il tema dell'affidamento dei nostri sub fornitori come come ci fidiamo e trasferiamo quello che fanno loro ai nostri clienti quindi tenere traccia della valutazione che abbiamo fatto del framework che andiamo a utilizzare comportamenti difensivi ve li ho già ampiamente indicati guardiamo subito avere dei modelli da seguire per dover sempre riementare la ruota scegliere i fornitori quindi scegliere i plug in restare aggiornati e poi le checklist checklist ne troverete purtroppo fatte soprattutto dal garante inglese che comunque è nato ancora in ambito gdpr prima della brexit qualcosa c'è fatto di molto bello ma più discorsivo dalla knil che l'autorità francese comunque in francese gli spagnoli sono molto attenti e dettagli se volete avere delle le chiare sintetiche puntuali per coprire il massimo l'autorità inglese è il massimo ora se volete sono qua per le domande grazie valentino per vostri dubbi casi grazie dell'ottimo tol domande perfetto ciao e volevo chiederti a livello interno di piccola realtà viene chiesto lo sviluppatore di inserire questa privacy all'interno del sito che gli viene fornita ovviamente da persone più in alto di lui privacy errata problematiche sanzione in quel caso il titolare si può rifare a chi fisicamente ha inserito questa privacy all'interno del sito che ha seguito delle istuzioni sbagliate però ricordate l'onere della prova che nel gdpr si chiama cantabiliti cioè rendi contabilità rendere conto però è rendi contabilità è un modo per non parlare che presumptivamente siete colpevoli voi ok quindi cosa significa rendi contabilità noi che riceviamo tutte queste indicazioni queste richieste ce le scriviamo in quel registrino delle attività dicendo tizio ha chiesto di fare questo io ho fatto questo ora si può tenere in formato informatico non è necessario sia firmato con firma elettronica e quindi datato ma va bene se lo firmate se ve lo mandate via e mail capite che avete già subito una va una serie di sistemi che vi documentano che siete stati voi a mandare l'e-mail a che ora in che giorno e con quale contenuto quindi se magari poi vi firmate firmate magari con pgp mettendo un time stamp un asci tag no asci tag scusate un codice di asci che viene generato ritomatico quale firma elettronica il contenuto è in chiaro però non può essere nemmeno modificato quindi ci sono tante cose si possono fare basta che le scrivete e idealmente almeno una volta al mese ve le è stampata anche su carta così se perdete tutto ce l'avete altra domanda sì allora io diversi colleghi sono sviluppatore faccio siti diversi colleghi che al momento di realizzare un contratto inseriscono un documento di scarico della responsabilità in un tuo precedente intervento ma aveva colpito il fatto che tu dicevi che ma che è il contrario che è più dannoso che mi vuoi spiegare meglio perché dpa data processing agreement e sostanzialmente cosa succede nell'impostazione della privacy siccome si dà i tempi di rhodotama anche poi del gdpr l'idea degli abocati che gli ingegneri gli informatici non li filano allora è colpa loro quindi bisogna dargli delle regole che trasferiscono su di loro la responsabilità per motivarli questo è un testo che già ha scritto agli anni 80 rhodotà quindi nero su bianco nelle prime dieci pagine c'è questo riferimento molto colorito che però è quello che crea il problema della rendicontabilità ora la presunzione che l'informatico non abbia fatto quello che poteva fare per impedire il danno significa che se l'informatico dice questo non è a farmio rientra perfettamente del a tu non hai voluto farlo bene sei mio ok quindi non era mia la responsabilità lui mi ha detto di fare così lui è il titolare lui decide il trattamento io non sono d'accordo eh devo gestire questo conflitto gli interpreti e qui dico cosa dicono gli interpreti perché c'è scritto nel testo che bisogna collaborare per impedire danni agli utenti quindi c'è un comportamento obbligatore che dobbiamo avere pro attivo significa che se vediamo qualcosa che non va dobbiamo dirlo al titolare e dobbiamo dirgli noi non te lo facciamo nel concreto possiamo arrivare a dire noi non te lo facciamo oppure te lo faccio ma se succede qualcosa non sono affari miei va valutato caso per caso in generale se vado a dire lo faccio ma non sono affari miei vuol dire che sto riconoscendo che non potevo farlo ecco perché dico non scriviamo né in un in condizioni generali né la dpa né nell'email che io non lo volevo fare piuttosto dire signori ho capito perché voi volete farmi fare la cosa così quindi io ve la faccio vi raccomando di continuare a trattare i dati solo e unicamente in questa situazione ricordatevi di gestire i rischi che io vedo quindi parlate sempre del carico e rischi i rischi che io vedo dovete gestirli in questa fase che dipende da voi quindi non sto dicendo io non te lo faccio sto dicendo ok te lo faccio perché evidentemente se tu che insisti perché ti metti a posto che a stazione ha condannato proprio per questo ho comprometto una condanna alla azienda informatica proprio perché non aveva tracciato questo scambio in questo modo altra domanda anche problemi concreti di chi di voi si è occupato mai di consegna date mi tempi per dire se sono sì sì sì abbiamo ancora qualche minuto voi la che consegna dei siti come la fate prima consegno prima pagano lettera di consegna brava lettera di poi abbiamo una lettera di consegna chi offre due lettera di consegna cerca si seconda lettera di consegna modo di consegna bozza di consegna che cosa consegnate che cosa consegnate posso fare gancio questa cosa per fare una domanda in effetti e i freelance spesso si trovano non solo a prendere il carico di a volte occuparsi anche della pagina termine condizione c'è alla fine i freelance si fanno fare di tutto gli fanno fare le foto degli commerce gli fanno scrivere i contenuti del blog che loro fanno magari tecnicamente uno dice sì ti faccio sito warp so che ma dai scrivimi anche due cose quindi la parte legale in realtà fa parte di un pacchetto di cose che cascano sulla schiena dello sviluppatore che per non dire di no al cliente fa listino la risposta tu è listino indipendentemente dal contratto da chi farà cosa voi fate un listino lo mettete online edite io per pubblicare una foto e scrivere due parole ti chiedo 200 euro tu me l'hai chiesto è nel mio listino quando ti ho mandato l'offerta ti ho legato il mio listino chiedemi tutto quello che vuoi non te lo faccio pagare ringrazia mi interventù questo è il primo step d'accordo con i listini vai mi sa di listo della spesa no e in questo caso è un disclaimer cioè non è mia competenza ti sto definendo quello che ti vendo puoi anche dire l'istino della spesa non metto 200 euro anche 2.000 da preventivare da definire non incluso quindi poi lo stile ognuno perfetto di fatti poi ognuno ha proprio stile dipende dalla situazione dal cliente però assolutamente mettere con quella voce è come strania come io dico sempre mettere l'indicazione delle dei testi legali che devono essere forniti dal committente ok una cosa dice però quando consegnate qualcosa o peggio ancora quando lo restituite dopo una gestione per conconto e consegnare wordless un conto e gestirlo e voi a un certo punto vi trovate di fronte alla maria di configurazione la più banale che dico tutti è gravata nei commenti il supporto di gravata nei commenti perché devo trasferire l'ip address e l'email a qualcuno negli stati uniti per metterci il suo avatar nei miei commenti siamo ancora sotto la scremsa quindi si mandano dati negli stati uniti e non possiamo farlo se non abbiamo raccotto un consenso esso anticipato quindi per esempio in una cosa così banale che c'è perché nel cor c'è ovunque dal momento in cui consegno devo dire ho disabilitato i commenti ho disabilitato anche il riconoscimento dell'avatar tramite gravata perché se poi qualcuno dice aspetta ma io ci ho gravata attivato ma io non te l'ho consegnato così quindi attenzione anche alle configurazioni e a cosa installate è una cosa lunga mi rendo conto ve lo dico io ho realizzato varie modelli ma se cercate in giro ne trovate dell'indicazione ma quello che vi sto spiegando adesso lo potete fare anche voi cercate di documentare la rendicontabilità alla consegna tutto quello che state consegnando inteso come software plugin temi e le configurazioni perché le configurazioni veramente le permettono di fare di più di meno proprio per il discorso rendicontabilità è possibile anche estenderla al di fuori anche della privacy per dire esempio stupido un plugin viene si scopre una falla in questo plugin il giorno dopo viene aggiornato in queste 12 ore per esempio che passano io non mi accorgo subito che va aggiornato viene bucato il sito l'azienda perde i soldi esatto può rifarsi su di me e in quel caso il discorso rendicontabilità mi può essere utile rientra tra le istruzioni che devi dare tu hai dato tra le istruzioni quello di tener aggiornato il sito quanti clienti sono in paranoia non lo vogliono aggiornare mai software ah no poi non mi funziona più cioè sono una quantità in vera e regonda benissimo scrivetelo devi aggiornare sito perché il software open source i problemi ci sono come tutti gli altri software quindi si deve fare manutenzione ordinaria continua non la fai a mano ogni giorno tu si fa fare al software che è predisposto per gli aggiornamenti quindi te lo consegno con gli aggiornamenti in automatico poi obiettivamente se hai un cliente importante tu sai che a quella soffrono lo aggiornare lo avvisi ma poi diventa anche una cosa positiva aggiunga che si può aggiungere si può vendere servizio di manutenzione aggiornamento al cliente cioè non si deve o regala cioè bisogna spiegare al cliente che warpers va aggiornato e non deve aggiornare magari uno che si occupa di jeans o di cose ma deve essere aggiornato da uno che se c'è un problema poi sta dove metterci ma quindi un servizio da vendere si fanno dei contrati proprio d'assistenza manutenzione gestione addirittura quel che vogliamo la polizia sicurativa di uno dietro ci sono anche i servizi che fanno solo questo riconosciamo un po' tutto anche un caro amico veramente bravo e quindi facciamo anche noi c'è una domanda quindi sì dobbiamo dare delle istruzioni anche non solo dire ti consegno questo ma istruire sui coppiti classici però vedi che alla fine sono sempre le stesse cose quindi pure io me ne sono raccolteli ho messo lì tutte insieme ogni volta ma in questo senso se io la mia offerta dò dico che il sito deve essere aggiornato e come dice cristiano io ti propongo un servizio di aggiornamento un abbonamento di aggiornamento se poi il cliente non accetta in preventivo non va avanti è sufficiente per nel caso di warpers sì perché warpers ha i sistemi di aggiornamento automatico quindi noi possiamo in quel caso dire non lo dai a me io non sono coppevole comunque si può aggiornare da solo poi se qualcosa non va chiama mi intervengo nel momento io ti dico ho lo fa con me o te lo fai in automatico con con warpers però ti ho avvisato e la trasparenza che è la rendicontabilità di aver condiviso queste nozioni in sicurezza che noi abbiamo con il cliente che non ha queste nozioni in sicurezza questo rinitra in gil piera il dovere di collaborazione tra titolare e responsabile perfetto grazie valentino spratano adesso tutti quanti franzi alle 17 30 in sala 1 per i closing remarks grazie valentino ancora grazie voi