Ecco il primo breve contributo per chiarire l’impatto delle app di messaggistica sulla protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali. Vi rimandiamo al nostro precedente contributo relativo al tema “modalità di comunicazione” che le persone utilizzano al giorno d’oggi e precisamente la comunicazione digitale, utilizzando le app di messaggistica. La gente presta più attenzione alle tendenze, alla diffusione, al numero di utenti di una particolare app, e meno agli aspetti più rilevanti come la privacy e la protezione dei dati. Dovremmo prestare più attenzione alla nostra vita e alle informazioni personali, evitando di diventare elementi portati verso vie giuridicamente poco chiare.

Una breve premessa basata sulla mia esperienza personale

Qualche tempo fa, stanco di essere schiavo di affidare la mia comunicazione ad alcuni fornitori di app di messaggistica, ho deciso di trovare soluzioni diverse che mi garantissero la libertà di controllare i miei dati personali e che fossero sicure (sappiamo bene che in informatica la sicurezza totale non esiste, ma intendo qualche risorsa con cui ridurre i rischi). Fondamentalmente, i miei dubbi erano legati (ma non solo) ai rapporti tra privacy, il trattamento dei miei dati personali e la legislazione vigente in materia di protezione dei dati (meglio, sulla protezione delle persone fisiche rispetto al trattamento dei dati personali). Infatti, probabilmente pochi ancora sanno che secondo il Considerando n. 7 del GDPR, “E’ opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”. Cito solo il Considerando (7), ma il GDPR stabilisce principi e regole ai quali titolare e responsabile de trattamento devono rispettare per garantire all’interessato adeguata protezione rispetto al trattamento dei dati personali.

Mi chiedevo se fosse legalmente corretto che qualcuno trattasse i miei dati personali, quando io non ne avevo il controllo. Infatti, non si potevano modificare o cancellare alcune informazioni personali, né avere - alla fine - la relativa conferma. Secondo quanto previsto dagli articoli 12 e 13 del GDPR, il responsabile del trattamento deve fornire all’interessato tutte le informazioni ivi previste. Cosa dire delle informative fornite dai titolari del trattamento secondo l’articolo 12 o 13 del GDPR? No comment. Mentre cercavo una buona soluzione, c’è stato il picco con Whatsapp. Infatti, ho chiesto a Whatsapp di cancellare il mio account e di darmi una conferma ufficiale.

Cosa è successo?

Dopo aver aperto diversi ticket, Whatsapp mi ha risposto, comunicando di aver cancellato il mio account. È del tutto vero? No, non lo è. Le persone che hanno chattato via WA con me in passato continuano a vedere tutto il contenuto delle chat e il mio account come se fossi ancora presente su Whatsapp. Così, vedendo ancora il mio account, pensano di potermi inviare messaggi tramite quella piattaforma (WA). La domanda è: è tutto corretto? No, assolutamente. Penso che non sia strano che un utente si aspetti che la cancellazione dell’account sia globale insieme al contenuto delle precedenti chat scambiate con altri o che altri non possano ancora inviare messaggi a chi non ha più un account Whatsapp. Supponiamo che il provider voglia conservare il contenuto delle chat tra due utenti, di cui uno ha cancellato il suo account. In questo caso, il provider dovrebbe informare in qualsiasi modo l’utente “sopravvissuto” che l’altro non ha più l’account per evitare disagi e spiacevoli situazioni imbarazzanti. Comunque, era il momento di cambiare il sistema di comunicazione.

Fase 2: breve analisi e … XMPP

Dopo alcune prove e valutazioni, ho deciso di orientarmi verso risorse open-source, e ho trovato tre diverse soluzioni:

  1. XMPP;
  2. Matrix;
  3. DeltaChat.

Oggi, voglio descrivere brevemente il protocollo XMPP e poi Snikket.

Chi ancora non conosce XMPP può trovare qualsiasi chiarimento nella sezione FAQ del sito ufficiale di XMPP. In particolare, ci sono le risposte alle seguenti domande:

  • Cos’è XMPP?
  • Chi possiede XMPP?
  • Chi usa XMPP?
  • Come posso usare XMPP?
  • Da dove viene XMPP?
  • Quanto è sicuro XMPP?
  • Cosa c’è di sbagliato in Skype/WhatsApp/Google Hangouts/quel che è? Perché dovrei usare XMPP?
  • Quanti utenti ci sono nella comunità?
  • Cos’è l’XSF?

Tra gli aspetti che hanno contribuito alla mia decisione, voglio sottolineare i seguenti, che sono presenti sul sito ufficiale di XMPP dove si legge: XMPP offre diversi vantaggi chiave rispetto a tali servizi:

  • Open
  • Standard
  • Proven
  • Decentralized
  • Secure
  • Extensible
  • Flexible
  • Diverse

Tra le caratteristiche menzionate del protocollo XMPP, penso che dovremmo prestare attenzione a “open”, “standard”, “decentralizzato”, “sicuro”. In particolare, un sistema decentralizzato è un punto di forza sia per l’architettura sia per gli utenti se si vuole garantire loro il controllo sui loro dati personali.

Come posso avere un account xmpp?

Ci sono diverse soluzioni per creare e utilizzare un account XMPP. Posso ottenere l’account XMPP da un provider XMPP già esistente (puoi vederlo sul sito ufficiale XMPP qui: https://list.jabber.at). In alternativa, possiamo decidere di installare una risorsa XMPP open-source su un server e usarla per conto proprio.

La nostra scelta XMPP: Snikket

Cercando su Internet, ci siamo imbattuti in Snikket.

Cos’è Snikket?

Sul sito di Snikket si legge che “Snikket è un progetto ambizioso per costruire un nuovo tipo di piattaforma di messaggistica basata su XMPP”.

Infatti, Snikket è una nuova risorsa di comunicazione basata sul protocollo XMPP costituita da un componente lato server e da un client. Gli utenti di Snikket possono inviare e ricevere messaggi tra di loro - proprio come un’app di messaggistica - ma è anche possibile inviare file (immagini, PDF, ecc.) e fare chiamate e videochiamate. Dato che Snikket adotta il protocollo XMPP, è possibile comunicare con qualsiasi altro utente che abbia un account XMPP con qualsiasi provider nel mondo. In sostanza, posso comunicare con persone di tutto il mondo se hanno un account XMPP.

Un account XMPP è come un indirizzo e-mail perché è composto da un nome utente e dal relativo dominio (per esempio, alice@domain.com). Il 18 novembre 2021, come si legge sul blog, è stata rilasciata una nuova release del server Snikket. Ho installato la componente server di Snikket e sto usando l’app Snikket su iOS tramite TestFlight; sono entusiasta nel vedere che le notifiche funzionano correttamente dopo l’ultimo aggiornamento lato server. Aspetterò il prossimo aggiornamento di iOS, essendo sicuro che gli sviluppatori continueranno a migliorare l’app. Ho preso le seguenti immagini di Snikket per iOS dall’App Store di Apple.

Perché preferire Snikket ad altre app di messaggistica?

Perché si dovrebbe scegliere Snikket invece delle altre app più conosciute come Whatsapp, Telegram, Signal, ecc.? Non c’è una sola risposta. Ci sono diverse risposte: in primo luogo, Snikket può piacere così com’è ed è una questione di “feeling” personale. Inoltre, dal nostro punto di vista, Snikket garantisce a qualsiasi utente di avere il controllo dei propri dati personali.  Snikket non richiede alcuna informazione personale per creare un account, incluso il numero di cellulare. Al contrario, è noto che chi vuole creare un account per utilizzare un’app diversa come quelle note citate sopra è obbligato a fornire all’host - minimo - un numero di cellulare. Il GDPR, che si applica ai cittadini europei, stabilisce il principio di “minimizzazione dei dati” secondo l’articolo 5(1)(c). Dovremmo tenere presente questo principio - ma non solo - e valutare se un fornitore di app di messaggistica rispetta questo e gli altri stabiliti dal GDPR. Sarebbe interessante sapere come un fornitore di app di messaggistica rispetta i principi e le regole della protezione dei dati nella pratica. L’amministratore del server Snikket è l’unico che può creare un account. Tuttavia, dopo che l’utente al primo accesso cambia la password, l’amministratore del server Snikket non può accedere a nessuna informazione perché i dati sono criptati sul server Snikket.  

Perché snikket?

Perché si dovrebbe scegliere Snikket invece delle altre risorse XMPP? Ci sono molti aspetti che ho considerato nella scelta di Snikket.

  1. Snikket è un progetto ambizioso per realizzare un nuovo tipo di piattaforma di messaggistica basata su XMPPÈ davvero un progetto molto intrigante.
  2. Snikket è open source, e posso vedere il progetto su GitHub qui: https://github.com/snikket-im;
  3. Snikket è semplice da installare, essendo dockerizzato. Qualsiasi informazione sull’installazione è disponibile sul sito web di Snikket qui: https://snikket.org/service/quickstart/;
  4. Snikket è facile da usare;
  5. Snikket ha le caratteristiche spiegate in dettaglio qui: https://snikket.org/app/features/.
  6. Ultimo ma non meno importante, per me, un altro punto forte è che il capo progetto (MattJ) e lo staff tecnico sono disponibili a rispondere alle domande degli utenti.

Non sono uno sviluppatore, ma sono sicuro che Snikket sta andando verso la maturità, anche se saranno necessarie ulteriori implementazioni, come è per ogni software. Dal mio punto di vista, Snikket è una soluzione di grande valore basata sul protocollo XMPP e merita attenzione, sperando che cresca e porti benefici agli utenti, facilitando la comunicazione.

Follow us on Mastodon