Il Collegio dei Garanti Europei (EDPB) ha inventato un nuovo strumento GRATUITO e OPEN SOURCE per fare audit sui siti web e controllare che siano conformi alle sempre più stringenti normative nazionali ed europee.
A inizio anno una lodevole iniziativa è stata sviluppata dall’European Data Protection Board (EDPB), altrimenti noto come il Collegio dei Garanti Europei. Nel contesto e all’interno del pool di esperti di supporto all’EDPB è stato sviluppato, infatti, uno strumento, il website auditing tool, che aiuta a fare audit sui siti web e a controllare che questi siano conformi alle più stringenti normative nazionali ed europee.
Il tool di audit è stato pensato per armonizzare e aiutare le Pubbliche autorità nella loro fase di controllo, nonché tutti quei titolari o incaricati del trattamento che vogliano cimentarsi nell’audit del proprio sito web, per vedere se rientrino nella legalità e compliance privacy. Si tratta di un software gratuito e open source con licenza EUPL 1.2 ed è disponibile per il download al seguente link: download on code.europa.eu .
Il tool è compatibile anche con gli altri strumenti in tal senso, quale il raccoglitore di evidenze dell’EDPS (EDPS website evidence collector).
Cosa è il Support Pool of Experts dell’EDPB
Il gruppo di esperti di supporto (SPE) dell’EDPB è stato sviluppato nell'ambito della strategia dell'EDPB 2021-2023 per aiutare le autorità di protezione dei dati (DPA) ad aumentare la loro capacità di far rispettare la normativa, sviluppando strumenti comuni e dando loro accesso a un ampio pool di esperti.
L'EDPB mira a realizzare circa 10 progetti all'anno con eminenti esperti esterni in un determinato campo. Tali progetti sono coordinati dalle pubbliche autorità stesse o dall’EDPB. Gli esperti sono scelti per le loro particolari capacità e conoscenze delle nuove tecnologie all’interno dei framework di legge europei. Ogni individuo scelto resta in carica nella lista per due anni e sarà coinvolto in base a criteri di rotazione nei vari progetti che il Collegio dei Garanti Europei implementerà.
Le aree tecniche di competenza del gruppo sono:
Tecniche di anonimizzazione e pseudonimizzazione, analisi dei rischi e attacchi rispetto alla reidentificazione dei dati (compresi attacchi di inferenza), tecnologie di miglioramento della privacy;
Intelligenza artificiale;
Pubblicità comportamentale, tracciamento digitale, cookie, impronte digitali, RTB e pubblicità su Internet (pubblicità programmatica, scambi di annunci, piattaforme lato domanda, SSP, broker di dati, piattaforme di gestione del consenso), ePrivacy;
Architetture di cloud computing, modelli di cloud computing, infrastrutture cloud, servizi cloud, fiducia e sicurezza nel cloud;
Crittologia, crittografia (a)simmetrica, funzioni Hash, firma digitale, autenticazione dei messaggi, metodologie, tecniche e strumenti di crittoanalisi, gestione dei materiali crittografici Gestione delle chiavi, PKI, crittografia omomorfa, fondamenti matematici della crittografia;
DPIA, violazioni dei dati personali, gestione del rischio;
Scienza dei dati o analisi statistica in questo campo;
Digital forensics, tecniche di intercettazione, proxy MITM;
Gestione dell'identità digitale e servizi fiduciari (compresa la sicurezza degli schemi di identificazione elettronica, autenticazione, firme digitali), eIDAS, zero trust, federazione delle identità, verifica dell'età, biometria compreso il riconoscimento facciale;
Esperienza nella conduzione di esercitazioni/formazione in quanto sopra;
Fintech;
Audit IT, audit sulla sicurezza delle informazioni;
UX, web design e modelli oscuri;
Sicurezza del sito web, sistema operativo mobile, Internet delle cose, applicazioni mobili.
Le aree legali sono:
Etica digitale;
Leggi digitali, quadro normativo comunitario sulla protezione dei dati e sulla privacy, legislazione in materia forense;
Monitoraggio delle politiche;
Analisi statistica in questo campo di attività.
Come funziona il Tool di Website Auditing
Il Tool di Website Auditing è facilmente scaricabile dal portale EDPB e in Open Source funziona tramite l’inserimento dell’URL in apposite maschere, che permettono di analizzare nel dettaglio le opzioni di accettazione e rifiuto dei cookie a monte, se presente la modalità opt-in e opt-out, se il portale di default ha caricati solo i cookie tecnici strettamente necessari al funzionamento del sito e come detto se sono presenti opzioni per un libera scelta ed un libero consenso dell’utente.
Lo strumento permette inoltre di modulare le richieste dell’utente anche per verificare la presenza di adeguati appigli a norme di legge quali privacy e cookie policy strutturate. Semplifica la vita a chi lo utilizza, in quanto tramite una check-list integrata permette di spuntare le varie caselle e indicare cosa va e cosa non va. Produce un audit completo che permette al titolare del trattamento, ma anche al consulente che lo segue, di testare la compliance normativa di quel particolare portale analizzato.
In conclusione...
L’introduzione di questo nuovo Tool è sicuramente il segno di un’importante evoluzione a livello di audit dei siti, che migliora fattivamente gli strumenti messi a disposizione dei vari titolari del trattamento in giro per l’Europa. Facilmente intuibile, anche se bisogna avere un minimo di familiarità con la materia, può essere integrato come uno step importante nell’analisi di compliance GPDR all’interno di aziende, Enti e studi professionali dotati di portali da mostrare all’esterno.
Insieme agli altri strumenti di analisi già in essere e già testati per tali scopi, risulta utilissimo all’utente finale soprattutto per verificare le impostazioni dei cookie e far sì che si sia in linea con le linee guida emanate nel luglio 2021 ed entrate in vigore fattivamente dal gennaio 2022 come nuovo must per gli utenti web.