WEC, il tool dell’EDPS per verificare conformità al GDPR

Il Garante Europeo della Protezione dei Dati (EDPS) ha sviluppato WEC, un software open source per l’automazione delle ispezioni sulla privacy e sulla protezione dei dati personali dei siti web.

L’EDPS ha rilasciato uno strumento gratuito chiamato WEC sotto la licenza pubblica dell’UE. Il software è disponibile per il download sulla piattaforma collaborativa della Commissione Europea Joinup e sulla piattaforma di sviluppo GitHub.

WEC, cos’è?

WEC è l’acronimo di Website Evidence Collector. È stato premiato con il Global Privacy and data Protection Award per l’innovazione.

Il tool WEC nasce dall’idea della IT Policy Unit dell’EDPS di fornire uno strumento automatizzato per la verifica delle impostazioni per la conformità GDPR dei siti web.

Si tratta, infatti, di uno strumento gratuito messo a punto dall’EDPS per verificare il livello di conformità GDPR di un sito web. Il tool raccoglie, in modo automatico, prove del trattamento dei dati personali, come i cookie, o richieste a terze parti.

Le prove raccolte sono strutturate in un formato leggibile dall’uomo e dalla macchina (YAML e HTML). Consentono ai titolari del sito web, ai responsabili della protezione dei dati e agli utenti finali di comprendere meglio quali informazioni vengono trasferite e archiviate durante una visita di un sito web.

Tuttavia, lo strumento ha una certa complessità, in quanto richiede diverse conoscenze informatiche soprattutto laddove l’installazione non dovesse andare a buon fine. Per questo è particolarmente adatto all’utilizzo da parte di professionisti del settore.

Cosa fa il tool WEC dell’EDPS

Lo strumento raccoglie prove circa il trattamento effettuato sui dati personali da parte del sito web, come i cookie o eventuali istanze a terzi parti.

I parametri di riferimento per il tool devono essere configurati prima dell’ispezione, conseguentemente la raccolta delle evidenze viene eseguita automaticamente.

Avviato WEC, il tool utilizza Chromium, ovvero una versione open source ridotta del browser Chrome, con un nuovo profilo utente e carica tutte le pagine web incluse nella visita una dopo l’altra senza ulteriori interazioni da parte dell’utente.

Tra le informazioni più rilevanti raccolte ci sono:

1. screenshot delle pagine web

2. elenco con collegamenti HTTP dalla pagina web di ingresso, classificato da:

• un link interno (stesso sito web)

• link esterno

• collegamento a social network e servizi di collaborazione

3. le informazioni memorizzate nella memoria locale in linguaggio HTML5;

4. elenco pagine web visitate

5. tutti cookie “raccolti”

6. il traffico HTTP generato tra browser e Internet (mediante file HAR)

7. i messaggi scambiati via Web Sockets (metodo di trasmissione alternativo alle richieste HTTP)

Il GDPR per il marketing e il …

15,99 €

Compatibilità e installazione

WEC dovrebbe essere compatibile con Windows, MacOS, Linux e tutte le piattaforme che supportano NodeJS e Chromium. Tuttavia, l’ EDPS ha eseguito il software solo su Linux e MacOS.

Per utilizzare lo strumento, occorre prima installare Node.js e il gestore di pacchetti Node.js (NPM). Inoltre l’EDPS fornisce questo strumento senza garanzie di alcun tipo, inclusa l’idoneità per uno scopo particolare, l’assenza di difetti, errori o di accuratezza.

Contesto di riferimento

Con la nuova legislazione dell’UE sulla protezione dei dati, in particolare con il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, GDPR) e il regolamento sulla protezione dei dati (UE) 2018/1725 per le istituzioni, gli organi, gli uffici e le agenzie dell’Unione, sono avvenuti dei cambiamenti.

Molti siti web hanno aggiornato i propri meccanismi di gestione del consenso alla privacy e ripensato le proprie operazioni di trattamento dei dati personali. Questo cambiamento ha portato a una maggiore consapevolezza del pubblico sulle questioni relative alla privacy dei siti Web e ha portato a un numero crescente di reclami alle autorità di controllo.

Questo strumento dell’ EDPS consente di raccogliere prove sulle operazioni di trattamento dei dati personali dei siti web utilizzando un metodo riproducibile, affidabile e veloce.

Nessun servizio cloud di terze parti è coinvolto per raccogliere prove. Lo strumento è può essere utilizzato in intranet anche senza accesso a Internet. La licenza software open-source consente agli esperti di adattare gli strumenti alle proprie esigenze.

Limiti del WEC

Lo strumento del Garante Europeo non è alla portata dell’utente medio.

L’utilità che controbilancia lo sforzo tecnico di installazione e utilizzo risiede principalmente nel fatto che è uno strumento prodotto e promosso da un’Istituzione Europea.

In ogni caso il software è più strumento integrativo (e non sostitutivo) dell’analisi di conformità del dominio web del titolare del trattamento. In tale prospettiva, Il WEC può essere utile per evidenziare “sviste” tecniche dei responsabili che violerebbero il GDPR.

Inoltre potrebbe concorrere all’individuazione di misure migliorative, proprio grazie a una verifica più approfondita di ciò che accade durante una sessione di navigazione da parte dell’utente.