Seleziona Pagina

Tra Netscape e SHA-1: l’accordo Brexit è conforme al Privacy By Design?

Tra Netscape e SHA-1: l’accordo Brexit è conforme al Privacy By Design?

Ha fatto scalpore la notizia, rilanciata dai giornali di entrambe le sponde della manica (come la BBC, il Guardian e La Repubblica), secondo la quale l’accordo sulla Brexit faticosamente negoziato tra Unione europea e Regno Unito citerebbe, nelle parti relative ai protocolli di sicurezza per lo scambio di dati genetici e biometrici, software obsoleto, tra cui Netscape.

Ed in effetti, a pagina 921 dell’accordo Brexit, nell’allegato tecnico relativo ai protocolli di sicurezza per lo scambio di impronte digitali e dati genetici, in un paragrafo che descrive le principali caratteristiche del protocollo S/MIME si legge che questo protocollo è supportato dai principali client di posta elettronica, tra cui, “Outlook, Mozilla Mail e Netscape Communicator 4.x” (“s/MIME functionality is built into the vast majority of modern e-mail software packages including Outlook, Mozilla Mail as well as Netscape Communicator 4.x”).

Netscape, la Brexit e il Copia-Incolla

Per chi li avesse dimenticati, Mozilla Mail e Netscape Communicator 4, erano due client di posta elettronica rilasciati alla fine degli anni ’90 e che oggi non esistono più. Netscape, in particolare, è stato uno dei browser più gloriosi di quell’epoca, ma finì stritolato dalla politica anticoncorrenziale di Microsoft, che cominciò a includere di base in ogni distribuzione di Windows il proprio browser Internet Explorer.

Ma se si tratta di software così datato, come mai si trova citato nell’accordo Brexit che è stato negoziato nel 2020?

Il giallo è presto risolto: la descrizione dei protocolli di sicurezza – compresa la citazione di Netscape – è stata copiata e incollata dai burocrati che hanno compilato il disciplinare tecnico da allegare all’accordo Brexit da un documento del 2008 (quando Netscape era già agonizzante), il quale, a sua volta, l’aveva copiata e incollata da una serie di documenti ancora più risalenti, probabilmente risalenti alla fine degli anni ‘90.

I dubbi sul disciplinare tecnico allegato all’accordo Brexit

Molti si sono fermati a questo aspetto, ma leggendo il disciplinare tecnico allegato all’accordo Brexit, ci sono altri aspetti che balzano all’occhio:

  1. Era proprio necessario inserire nel testo dell’accordo una descrizione (non tecnica e vecchia di anni) dei protocolli utilizzati? Non sarebbe stato sufficiente il richiamo alle specifiche?
  2. L’accordo alla pagina 925 menziona il protocollo POP (Post Office Protocol), che ormai sta cadendo in disuso e non menziona invece il più recente e diffuso protocollo IMAP. Alcuni esperti hanno notato che sono richiamati altri protocolli obsoleti, che non garantiscono appieno la sicurezza dello scambio di informazioni;
  3. L’accordo, alle pagine 926 e seguenti, contiene l’elenco dei nomi dei server che saranno utilizzati dagli Stati per lo scambio di dati genetici e biometrici dei cittadini britannici ed europei, facilitando il lavoro a coloro che vorranno provare a violare questi sistemi. Nelle pagine precedenti viene inoltre descritta in modo preciso il formato in cui questi dati saranno strutturati. Non sarebbe stato più sicuro uno scambio riservato di queste informazioni?

I dati dei cittadini europei e inglesi saranno protetti?

Sorge spontaneo il dubbio che questo allegato tecnico non sia stato redatto tenendo conto delle esigenze di protezione dei dati personali. Una stesura conforme al principio del “privacy by design” avrebbe forse dovuto indicare soltanto gli elementi la cui pubblicazione era utile per assicurare la trasparenza dell’accordo, ma avrebbe dovuto omettere le informazioni tecniche più riservate.

La domanda che ci poniamo è: l’accordo Brexit ed il suo disciplinare tecnico saranno in grado di proteggere i dati biometrici dei cittadini che i Governi si scambieranno?

Circa l'autore

Francesco Foltran

Coordinatore area Data & IT Law
Avvocato dal 2016, da sempre appassionato di informatica e nuove tecnologie. Esercito la professione forense interessandomi di questioni legate alla protezione dei dati personali, alla cybersecurity ed al diritto dell'economia digitale. Svolgo attività di divulgazione e formazione giuridica e sono stato relatore in convegni, seminari e master universitari.

Archivi mensili

ISCRIVITI ALLA NEWSLETTER