I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   dizionario 2023-05-07 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96784' · pdf
  

Ip Address

abstract:


La nozione di ip address e' terreno di scontro violento tra informatici e giuristi.

In realtà tutto nasce da un episodio brutto nella storia di Street Views.

analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

L'analisi è riservata agli iscritti. Segui la .......... ....'............ ...... .. ....... .......... ........ .. ......

.. ........ ... ......... ...... ..... .. ........ .. ............. ..... ....... ...... ............. ...'........... . ... ... .......... ...... ......... .. ......... .... ..... ....... ...........

....' ....... .. ...... .. ..................... .. ..... .. ... ...... ........... . .....

.'....... ....' ......: ........... .. ....... .. ....... . .. .... ........ ...... ...... ..... . .... ......' ...... ......... ..... . ...... ..........: ....' ..... ............ .. .... ........ .. ..... .....


index:

testo:

L

L'indirizzo ip e' definito dai considerando del GDPR sempre dato personale.

Questo, che definisco colpo di mano, e' il risultato di uno scontro tra tecnici e avvocati, a danno di entrambi.

Tutto ha inizio ai tempi di Street View. L'Europa volle vederci chiaro e apri' una scatoletta di Google. All'interno trovarono un software che non solo spediva le foto raccolte, ma anche pezzi di connessioni tcp ip trovate per strada.

Chi sa cos'e' il TCP capisce subito: il pezzettino era il MAC address.

All'epoca la questione fini' con una dichiarazione di Google: e' un rimasuglio di un vecchio codice che doveva far altre cose, poi dimenticato li', ma a noi non serve.

Dopo pochi mesi tutti scroprirono l'AGPS: il gps che per dare la posizione non aspetta 15 minuti comparando tutti i satellite, ma sceglie il satellite migliore sopra il router piu' vicino, identificato con il proprio MAC address.

Per far questo pero' era necessario censire tutti mac address di tutti i router wifi del mondo: street view era l'occasione ideale.

I Garanti trovarono la soluzione di imporre a Google di segnalare preventivamente il passaggio di una Google Car, per pubblici proclami che nessuno vede mai, in modo da informare nel rispetto dell'allora normativa privacy, non ancora GDPR. Potremmo dire un "legittimo interesse" ante litteram come sarebbe stato meglio precisato dopo dal GDPR anche per i motori di ricerca e chatGPT.

Il punto e' che le autorità europee non furono informate correttamente della raccolta dei MAC address.

Arrivati al nodo GDPR, vollero seguire la scelta dei legali di far rientrare non solo il mac address, ma anche l'ip address, come dato personale.

Che il mac address, univoco finche' non alterato, sia dato personale, non c'e' dubbio: identifica un dispositivo usato spesso da uno o pochi soggetti.

Sull'ip invece lo scontro e' ancora aperto.

Se parlate con un informatico vi dira':

  • alcuni ip statici o poco dinamici possono far risalire ad un dispositivo, e spesso al soggetto che lo usa
  • alcuni ip dinamici impediscono normalmente di sapere qualcosa di chi li usa
  • alcuni ip sono assegnati a enti, possono essere attribuiti ad una collettività
  • alcuni ip dinamici possono identificare solo se qualcuno incrocia l'ip con altri dati di navigazione (lettura email, calendario, drive, autenticazione, notifiche di smartphone)

Le Telco sanno tutto di quello che vediamo online: per loro anche un ip dinamico e' dato personale

Per i piccoli servizi raramente un indirizzo ip dice qualcosa

Per i GAFAM l'ip e' un modo per tracciare tutto quello che si fa incrociando i dati con gli altri servizi offerti proprio per mantenere la connessione con gli utenti. Chi usa netguarda sa che i dati sono scambiati anche tre volte al secondo, sempre.

La geolocallizzazione tramite IP e' una chimera per i piccoli: gli ip degli smartphone di solito non indicano la posizione dello smartphone. I MAC address dei device sul territorio e il bluetooth degli AIRTAGS invece consentono di seguire ovunque ogni persona connessa, anche a sua insaputa come per gli AIRTAGS. Tecnica comune, usata anche da Alexa per scambiare i dati tra device che si collegano direttamente tra di loro fino a quando non mando audit alle GAFAM.

Quindi gli ip address, di fatto, sono Dati personali solo per chi li incrocia con altri dati.

Quelli statici identificano una macchina, talvolta un singolo.

I considerando del GDPR presume invece che siano Dati personali anche quelli che possono diventare tali: se per le GAFAM sono tali, allora ho Trattamento di dati personali. Pensate al proliferare di Google Authentication su tutti i siti, e pensate come questo tracciamento che era stato rallentato con il divieto di  Google Analytics, oggi riparte con la considerazione che si possono cedere Dati personali in cambio di servizi, un tabu' caduto che ora si scontrerà con una raccolta indiscriminata.

La nozione, fin qui noiosa, sconvolge il web se consideriamo la Schrems II: siccome gli ip sono sempre dati personali, io piccola azienda che usa un servizio americano sto violando i diritti umani degli europei.

La domanda che nessun giurista vuole farsi oggi e': perche' io piccolo servizio europeo che non so come attribuire un dato a qualcuno devo rispondere se lo fanno le GAFAM usando altri dati che non fornisco io ?

A sostegno si e' sempre citato il pericolo di rendere personale un dato che, per un singolo, non e' dato personale. Cosi' anche qualsiasi dato anonimo, che viene pubblicato sul dark web insieme ad altri, diventa personale per colpa di altri, quindi io azienda che l'ho trattato, ho commesso un grave illecito non dichiarandolo nell'informativa e sono senza base giuridica.

Tutto questo non solo sottovalutando, ma stravolgendo scelte e azioni dei singoli.

Tutto questo e' stata raramente spiegato nella sua interezza come qui indicato.

Ma e' esploso per la sentenza Curia T- 557-20 che riapre i giochi.

Come avevo gia' anticipato, il GDPR impone ogni valutazione al contesto concreto. E' scritto nel GDPR, ma disapplicato sistematicxamente sull'altare della potenziale identificabilità di un dato personale. Potenziale.

La sentenza nega la natura di personale al dato che, per il titolare, resta anonimo.

Vedo un terremoto in arrivo sottovalutato da molti. E, per complicare, DSA, CRA, DMA e DATA ACT che vogliono presumere Dati personali dati che restano potenzialmente personali solo per ulteriori attività di terze aziende ulteriori, e non per l'interessato.

Testo del 2023-05-07




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Ip Address e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza