Sei authority nazionali per la protezione dei dati (Australia, Canada, Gibilterra, Svizzera, Regno Unito e Hong Kong) hanno firmato una dichiarazione congiunta rivolta ai vendor di software e applicazioni per la videoconferenza: nella lettera aperta i sei Garanti tratteggiano quelle che sono le aspettative in tema di privacy e protezione dati che i vendor dovrebbero garantire. 

Tema scottante, questo, dato il boom di utilizzo di queste piattaforme a causa del lockdown: boom che non è stato dovuto solo agli utenti home per contattare parenti e amici, ma anche ad utenti enterprise fino ad autorità ed enti governativi. Lo "statement" dei 6 Garanti origina proprio dalle preoccupazioni conseguenti dall'uso massivo di questi strumenti. La forma è quella della lettera aperta, per chiarire punto punto le aspettative che i Garanti hanno rispetto alla mitigazione dei rischi che i vendor possono mettere in atto per salvaguardare dati e privacy. Il tono però non è affatto da lettera aperta, quanto da ultimatum: i Garanti richiedono risposta ai vendor entro il 30 Settebre 2020.

Eccone in breve i contenuti:

1. Sicurezza
Le autorità si dichiarano preoccupate per le vulnerabilità di sicurezza riscontrate su più piattaforme, che hanno comportato accessi non autorizzati agli account, ai file condivisi e perfino intrusioni nelle chiamate. L'aspettativa è quella che i vendor garantiscano la sicurezza dei loro software e alcune specifiche misure di protezione: criptazione end-to-end effettiva di tutti i dati comunicati, autenticazione a due fattori e l'obbligo di utilizzo da parte degli utenti di password solide. Tali misure di sicurezza, specificano le autorithy, sono massimamente urgenti per quei settori che elaborano abitualmente informazioni sensibili anche via videoconferenza, come ospedali che forniscono consulenze mediche da remoto, terapisti online e in qualsiasi caso in cui la piattaforma consenta la condivisione di file e media.

L'aspettativa è che i vendor siano molto attenti alle vulnerabilità e velocemente reattivi, così come attenti a notificare agli utenti di aggiornare la versione dell'app all'ultima disponibile.

2. Privacy by design e default
Se il software non è progettato per garantire la sicurezza, ma anzi protezione dei dati e privacy sono semplici ripensamenti nella progettazione, aumenta la possibilità che le app non siano affatto sicure e che gli utenti possano rivalersi sui vendor. Per questo, spiegano i Garanti, è fondamentale assicurarsi che l'intero servizio segua un approccio di privacy-by-design (principio esplicitamente previsto come obbligatorio dal GDPR). Il consiglio, ma qui il punto suona ad ultimautm, è che i vendor pensino il proprio servizio a partire dalle informazioni più sensibili che potrebbero essere condivise tramite la propria piattaforma, adottando impostazioni più rispettose della privacy.

3. Conoscere l'audience
La pandemia Covid ha eseso l'utilizzo delle piattaforme di videoconferenza a contesti per i quali questi strumenti non erano affatti pensati. Si sono determinati così nuovi rischi di sicurezza non previsti. Ecco perchè i garanti invitano esplicitamente i vendor a rivedere e studiare il proprio audience, registrando i utenti nuovi e diversi e analizzando eventuali nuovi rischi che potrebbero correre nell'uso della piattaforma. Particolare attenzione è richiesta per i bambini e in generale gruppi vulnerabili e per le istituzioni che necessitano di fare videochiamate molto sensibili (dall'istruzione alla sanità al governo).

4. Trasparenza ed equità
I Garanti registrano una maggiore consapevolezza da parte degli utenti rispetto la propria privacy e la sicurezza dei propri dati personali. Per i vendor quindi è fondamentale saper spiegare con chiarezza come sono usate le informazioni degli utenti: il rischio di non adottare tale comportamento non è soltanto in termini di fiducia degli utenti stessi, ma anche in termini legali. I garanti invitano quindi i vendor ad esplicitare quali dati vengono raccolti, come sono usati e con chi sono convidisi (specificando le terze parti e anche in quali paesi vengono trasferiti i dati).

5. Controllo da parte dell'utente finale
Talvolta, registrano i Garanti, l'uso di queste piattaforme non permette all'utente finale la possibilità di avere un sufficiente livello di controllo e di informazioni sul servizio usato: le aziende sono meno esposte al problema perchè hanno policy privacy e policy di data protection specifiche, ma l'utente finale può non avere idea del fatto che una piattaforma di videoconferenza consenta la raccolta dei dati sulla posizione, sulla partecipazione e l'attenzione degli utenti ad una chiamata e altri dati.

Di conseguenza, i vendor devono assicurare che queste funzioni siano chiaramente indicate quando viene avviata una videochiamata (ad esempio via pop up). Dove possibile, i Garanti invitano anche a prevedere meccanismi che consentano agli utenti finali di non condividere quese informazioni, richiedendo magari l'opt-in per i casi più delicati di dati.