TechSonar - nuova iniziativa del Garante Privacy Europeo in ambito foresight
Car* tutt*, condivido in anteprima il progetto che abbiamo lanciato proprio ieri in EDPS dedicato al monitoraggio dei trend tecnologici a più alto impatto sulla protezione dei dati - TechSonar. Tramite l'utilizzo di metodologie di foresight, TechSonar è un processo di monitoraggio e aggiornamento continuo che mira a costruire un "mindset anticipante" in ambito data protection, come già sta succedendo in varie altre discipline. Qui il link all'iniziativa, con i primi TechReport: https://edps.europa.eu/press-publications/publications/techsonar_en Qui il blogpost che spiega meglio l'iniziativa: https://edps.europa.eu/press-publications/press-news/blog/techsonar-technolo... Ogni idea, suggerimento, feedback è più che benvenuto. Stefano
Ciao Stefano, iniziativa molto interessante. ``` The General Data Protection Regulation, in recital 4, reminds us that: "processing of personal data should be designed to serve mankind". For this to happen, at such a complex time, we are convinced that it is increasingly important to act in advance. In other words, instead of reacting to new emerging technologies when their added value and risks for society are already developed, we should be able to anticipate their developments. [...] As a result, we will nudge their development towards the respect of fundamental rights and interests of individuals, reducing their risks from the earliest stages of their adoption. ``` E' possibile servire l'umanità limitandosi a rispettare i diritti e gli interessi degli individui? E quante spintarelle (nudge) servono a smuovere colossi tecno-politici (e geopolitici) come Google, Microsoft, Amazon etc? Con tutto il rispetto per il lavoro del EDPS, ad oggi quante scuole europee costringono ancora gli studenti ad usare gli strumenti di queste aziende nonostante Schrems II e nonostante le raccomandazioni del EDPB? On Wed, 29 Sep 2021 Stefano Leucci <stefanoleucci@gmail.com> wrote:
Ogni idea, suggerimento, feedback è più che benvenuto.
Ottimo, ne approfitto per offrirvi due suggerimenti: ``` Thanks to an agile and collaborative approach, a team of in-house technology experts meets regularly with the aim to provide a basic understanding of the selected technologies and highlight their main positive and negative impacts regarding the protection of personal data. ``` Vi consiglio di massimizzare l'INDIPENDENZA di questi esperti evitando accuratamente qualsiasi potenziale conflitto di interesse, diretto o indiretto. Vi consiglio anche di massimizzare l'AUTONOMIA loro e di tutti gli altri membri dello staff EDPS. Ad esempio, vietando loro l'uso di GMail, WhatsApp e simili strumenti di sorveglianza gratuita... anche per uso personale. ;-) Proprio per creare un "mindset anticipante" in ambito data protection. Al di là del messaggio involontariamente promozionale che tale utilizzo diffonde, l'uso di canali di comunicazione controllati da terze parti che ricadono nei compiti di sorveglianza del EDPS determinerebbe un corto-circuito per cui i controllati hanno modo di monitorare ed influenzare l'EDPS in modo invisibile. Saper evitare le indebite influenze attuate tramite le tecnologie attuali è precondizione per anticipare ed evitare quelle future. Buon lavoro! Giacomo
Qui il link all'iniziativa, con i primi TechReport: https://edps.europa.eu/press-publications/publications/techsonar_en
Ottima iniziativa, mi permetto di evidenziare e ribadire quanto scrivete qui [1] (rischi, peraltro, che avevo già in parte segnalato [2]): "High risk of repurposing bearers’ personal data: SVCs must contain personal data allowing verifiers to link the health data to the carrier. However, this data may be repurposed to use SVCs as identity documents, enabling the tracking of bearers. This opens doors to discrimination or infringement of the fundamental rights and freedoms of the bearers. For instance, event organisers or shops could recognise first-time and frequent guests and treat them differently. Several risks from the software solution: depending on the deployment of the software for bearers to manage and display their certificates, bearers may be nudged to use certain software solutions that do not fully comply with data protection rules. If health data is stored on blockchains, risks for individual rights, such as the right to correction or deletion of personal day, may emerge. The potential centralisation of health data in backend IT infrastructure increases incentives for malicious actors to obtain this data." Giusto il caso stamattina ho ricevuto, allegata ad una newsletter, la pubblicità di una "soluzione di green pass web". E grazie, con un bacino d'utenza enorme, altro che "solo" scuole (come segnalato da Enrico qualche giorno fa [3]) qui si tratta dell'INTERO datoriato italiano. E' partito l'assalto alla diligenza ... dei dati personali. A. [1] https://edps.europa.eu/press-publications/publications/techsonar/smart-vacci... [2] https://server-nexa.polito.it/pipermail/nexa/2021-September/022145.html [3] https://server-nexa.polito.it/pipermail/nexa/2021-September/022193.html
Grazie per i commenti, Giacomo e Antonio, ecco alcune riflessioni a caldo: - sull'utilizzo degli strumenti delle big tech da parte delle scuole: verissimo, punto cruciale e determinante. Questo è un problema di enforcement. Una volta trovato l'accordo in sede Europea, l'EDPB non ha altri poteri d'azione. Servirebbero azioni più mirate da parte delle autorità nazionali che -per problemi di risorse interne e non solo- non riescono ad agire come vorrebbero. Spero potremo discuterne presto in una delle iniziative che stiamo organizzando in EDPS proprio in tema enforcement. - indipendenza ed autonomia sono in effetti due punti che consideriamo essenziali per questo (e per altri) progetti - grazie per avermi ricordato di metter un accento ancora più forte su questi due valori - inoltre, sull'utilizzo degli strumenti di comunicazione e sul cortocircuito tra controllati e controllanti... beh, hai pienamente ragione: non possiamo certamente limitare la libertà personale, ma per esempio abbiamo incoraggiato l'utilizzo di piattaforme più "neutre" come Signal. Certo, il dibattito è ancora tutto aperto. - sugli SVCs: vero anche questo punto, e per nulla semplice. Di nuovo, l'unico strumento di enforcement è oggi nelle mani delle autorità nazionali (con tutti i problemi di cui sopra), che certamente terranno ben saldo il controllo su una tecnologia tanto invasiva ma che abbiamo collettivamente deciso essere necessaria Ancora grazie! Stefano Il giorno mer 29 set 2021 alle ore 19:46 Antonio Iacono <antiac@gmail.com> ha scritto:
Qui il link all'iniziativa, con i primi TechReport: https://edps.europa.eu/press-publications/publications/techsonar_en
Ottima iniziativa, mi permetto di evidenziare e ribadire quanto scrivete qui [1] (rischi, peraltro, che avevo già in parte segnalato [2]):
"High risk of repurposing bearers’ personal data: SVCs must contain personal data allowing verifiers to link the health data to the carrier. However, this data may be repurposed to use SVCs as identity documents, enabling the tracking of bearers. This opens doors to discrimination or infringement of the fundamental rights and freedoms of the bearers. For instance, event organisers or shops could recognise first-time and frequent guests and treat them differently. Several risks from the software solution: depending on the deployment of the software for bearers to manage and display their certificates, bearers may be nudged to use certain software solutions that do not fully comply with data protection rules. If health data is stored on blockchains, risks for individual rights, such as the right to correction or deletion of personal day, may emerge. The potential centralisation of health data in backend IT infrastructure increases incentives for malicious actors to obtain this data."
Giusto il caso stamattina ho ricevuto, allegata ad una newsletter, la pubblicità di una "soluzione di green pass web". E grazie, con un bacino d'utenza enorme, altro che "solo" scuole (come segnalato da Enrico qualche giorno fa [3]) qui si tratta dell'INTERO datoriato italiano. E' partito l'assalto alla diligenza ... dei dati personali.
A.
[1] https://edps.europa.eu/press-publications/publications/techsonar/smart-vacci... [2] https://server-nexa.polito.it/pipermail/nexa/2021-September/022145.html [3] https://server-nexa.polito.it/pipermail/nexa/2021-September/022193.html _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Ciao Stefano On Mon, 4 Oct 2021 09:35:15 +0200 Stefano Leucci wrote:
non possiamo certamente limitare la libertà personale
Non si tratta di limitare la libertà personale, ma di imporre determinate precauzioni come prerequisito per una determinata attività lavorativa. Se può essere richiesta una vaccinazione (che peraltro richiede un'esplicità assunzione di responsabilità del vaccinato) per fare il medico, l'infermiere o l'insegnante, può essere richiesto l'uso di tecnologie che impediscano ingerenze commerciali (e politiche) a chi lavora per il Garante Privacy Europeo.
abbiamo incoraggiato l'utilizzo di piattaforme più "neutre" come Signal
Signal è un sistema centralizzato e basa la protezione dei dati degli utenti lato server sulle enclave SGX [1] che sono vulnerabili ad attacchi di Load Value Injection [2] attraverso cui è possibile accedere ai dati elaborati. In generale è sempre meglio evitare le piattaforme centralizzate e che forniscono feature che riducono la sicurezza della cifratura end-to-end (la quale dovrebbe essere obbligatoria per le comunicazioni di chi ha responsabilità di monitoraggio e controllo in ambito cibernetico). Fatevi il vostro server Matrix, piuttosto! [3]
Certo, il dibattito è ancora tutto aperto.
Non mi è molto chiaro cosa ci sia da dibattere, onestamente. Non ci possono essere autonomia ed indipendenza senza privacy. E non ci può essere privacy se ci si porta dietro un dispositivo controllato da terze parti che tracciano ogni nostro spostamento, che ascoltano ogni suono nella stanza (in attesa di un "Ok, Google"), che hanno accesso alle email scambiate etc... Se poi lo spiato lavora per l'EDPS o l'EDPB e lo spione si chiama Google, il cortocircuito non va dibattuto o affrontato con "incoraggiamenti", ma rimosso in modo completo e radicale. Giacomo [1] https://signal.org/blog/secure-value-recovery/#deus-sgx-machina [2] https://arstechnica.com/information-technology/2020/03/hackers-can-steal-sec... [3] https://matrix.org/
participants (3)
-
Antonio Iacono -
Giacomo Tesio -
Stefano Leucci