Electronic Frontier Foundation (EFF) è la principale organizzazione no profit che difende le libertà civili nel mondo digitale. Fondata nel 1990, EFF sostiene la privacy degli utenti, la libertà di espressione e l’innovazione attraverso controversie sull’impatto, analisi delle politiche, attivismo di base e sviluppo tecnologico. La missione di EFF è garantire che la tecnologia supporti la libertà, la giustizia e l’innovazione per tutte le persone del mondo. Di recente EFF ha rilasciato un’utilissima guida per la gestione della privacy proprio per le organizzazioni no profit che vogliono lanciare il proprio lavoro sul web.
Organizzazioni no profit e privacy
La guida elaborata da EFF è destinata alle organizzazioni no profit, per migliorare le proprie pratiche sulla privacy, con particolare riguardo al marketing e all’analisi. Consigli utili, semplici, suddivisi in pochi passi che tutte le aziende dovrebbero seguire per tenere al sicuro i dati degli utenti. Vediamo insieme la guida.
Creare un piano di sicurezza
La prima cosa da fare è creare un piano di sicurezza. Le no profit dovrebbero analizzare i dati ricevuti e capire quali sono i punti più sensibili. L’organizzazione può iniziare chiedendosi quali dati sono privati che dovrebbero essere protetti? Da chi vanno protetti i dati? Quali conseguenze potrebbe un attacco o la perdita di essi?
Una volta analizzate le informazioni e i dati in possesso, ogni organizzazione deve fare il punto su quali sistemi di sicurezza sono già in funzione e quali sono i punti di debolezza di essi. Risulta importante avere ben chiara l’importanza della tutela della privacy e conoscere gli strumenti utili per garantirla.
La via più semplice è iniziare pensando alle basi. Bisogna studiare in primis l’organizzazione stessa, capire chi ha accesso hai dati degli utenti, quali sistemi si hanno a disposizioni per proteggerli. Non serve essere super esperti, a volte sono le piccole cose a fare la differenza. Ad esempio, le password che proteggono i dati sono complesse e univoche? L’autenticazione a due fattori è attivata per le piattaforme in cui è possibile? Se nel team nessuno è in grado di rispondere a queste domande, EFF consiglia di rivolgersi ad un supporto tecnico o a esperti di sviluppo web quali protezioni esistono per i dati degli utenti.
Strumenti utili per le organizzazioni no-profit
Ci sono una serie di strumenti utili per le organizzazioni no-profit che la guida EFF illustra. Si tratta di applicazioni smartphone e siti web che possono aiutare ad avere un’idea del proprio livello di sicurezza.
- Lo strumento di valutazione della sicurezza informatica della Ford Foundation che valuta la resilienza e la forza dei sistemi di sicurezza informatica dell’organizzazione.
- L’ app SOAP utile per creare politiche di sicurezza online.
- What Nonprofits Need to Know About Security (Ciò che le organizzazioni no-profit devono sapere sulla sicurezza) è una guide utile fornita da TechImpact
Questi siti e app possono essere facilmente fruiti in italiano, con la funzione di traduzione istantanea di Google. Ma chi preferisce utilizzare fonti italiane, allora è meglio sulla guida rapida per le associazioni no-profit di Google.
Consigli per l’utilizzo dei dati con finalità di marketing
Molte aziende adottano la strategia: “raccogliamo tutti i dati, scopriremo come monetizzarli in seguito”. Ma per le organizzazioni no profit si consiglia l’approccio opposto: se non si utilizzano i dati, è meglio non raccoglierli. I rischi legati ad una mancato rispetto della privacy o ad una fuga di dati sensibili non valgono la pena.
Ad esempio, molte aziende hanno sui loro siti form di raccolta dati che però non utilizzano per ottenere informazioni reali. È semplicemente un’impostazione predefinita e gli strumenti di analisi più popolari, come Google Analytics, e le piattaforme di mailing più popolari, come Mailchimp o ActiveCampaign, implementano automaticamente questo tipo di tracciamento. L’utilizzo degli strumenti Web più comuni, sfortunatamente, raccoglie (o contribuisce alla raccolta di) enormi quantità di dati sui propri utenti. Sebbene molte aziende e organizzazioni sarebbero soddisfatte di dati anonimi e aggregati sui visitatori del proprio sito Web.
In questi casi è meglio scegliere impostazioni predefinite anonime. Anche attraverso esse è possibile sapere da dove proviene il traffico verso il sito Web o quante persone fanno clic su un collegamento in un’e-mail, solo non si riceveranno informazioni dettagliate per ciascun visitatore. Così non è necessario rinunciare ad avere un’analisi del proprio operato, si possono avere comunque dati utili ma senza cedere sul fronte riservatezza.
Progettare una policy di conservazione dei dati
Un altro modo per tutelare la privacy dei propri utenti ed evitare una fuga di informazioni, è eliminare i dati raccolti periodicamente. Nelle impostazioni del proprio sito è possibile scegliere di conservare i dati per 7 giorni, un mese, un anno. Questo permette di studiare le informazioni raccolte, sfruttarle per un certo periodo di tempo e poi cancellarle per assicurarsi di non abusarne.
Per l’analisi dei dati, è possibile utilizzare piattaforme open source chiamata Matomo che dispone di opzioni di protezione della privacy , come l’anonimizzazione dei dati e l’eliminazione automatica dei registri, che è gratuita se è self-hosted. Ci sono molte altre piattaforme gratuite e a pagamento disponibili con protezioni della privacy simili.
Puntare sulla chiarezza
La chiave per proteggere i dati dei propri visitatori è far loro sapere quali informazioni si raccolgono, in termini chiari e certi. Eliminare i ” modelli oscuri ” è essenziale per rispettare e tutelare la privacy, perciò è sempre bene specificare quali sono le finalità e gli utilizzi che si intende fare con i dati raccolti. Anche se molti siti utilizzano termini poco chiari per avere margine d’azione, questo compromette la credibilità dell’organizzazione e comporta rischi anche a livello penale.
Altro consiglio utilissimo di EFF: non condividere i dati raccolti più del necessario e farlo solo con partner fidati e controllati. Prima di condividere i dati con chiunque, è importante stabilire delle linee guida su come verranno gestiti quei dati. Ad esempio, se si decide di utilizzare software di terze parti per archiviare i dati, oppure se si collabora altre organizzazioni, è bene avere sempre chiare le linee guida della privacy dei propri partner. In questi casi infatti, è difficile impedire ai possessori dei software o ai collaboratori di avere accesso alle informazioni, perciò è bene sapere che si tratti di interlocutori affidabili.
Altri suggerimenti utili
Per garantire la tutela della privacy ai propri utenti ci sono trucchetti semplici, che sembrano irrilevanti ma che in realtà fanno una grande differenza. Ad esempio, si consiglia di evitare interfacce scure nei banner dei cookie o per l’iscrizione alla newsletter, poiché il lettore tende a ignorare quanto scritto, accettando/ rifiutando una policy, senza conoscerla.
Inoltre, è bene che il proprio sito utilizzi “https”, che crittografa le comunicazioni tra i visitatori e il sito Web, rendendo la navigazione più sicura. Se il sito non utilizza HTTPS, probabilmente il visitatore vedrà un avviso che riporta la dicitura “non sicuro” e sarà scoraggiato a visitare. EFF offre uno strumento per aiutare a configurare HTTPS se non è già impostato: Certbot , che aiuta a ottenere automaticamente certificati HTTPS gratuiti.
Di tanto in tanto è bene verificare che sul proprio sito siano installati tracker per gli annunci. Molto utile è lo strumento Privacy Badger di EFF per farlo.
La privacy nelle email delle organizzazioni no profit
Molte piattaforme di mailing tengono traccia di chi apre le e-mail, il numero dei click ai link interni e altri dati che possono aiutare a capire i gusti e i desideri dei lettori. Questo monitoraggio però, può anche raccogliere la posizione approssimativa dei lettori di posta elettronica, potenzialmente fino all’indirizzo stradale. EFF ha mostrare che alcune lacune di questi tracker per email. Infatti, è improbabile che un’organizzazione possa gestire un elenco e-mail senza condividere le informazioni e-mail degli abbonati con il provider di servizi, il consiglio è di ridurre al minimo la quantità di informazioni raccolte dalle e-mail in modo da limitare i possibili danni.
La privacy è irrinunciabile
Tutti i passaggi necessari per diventare un’organizzazione non profit che tutela la privacy possono sembrare opprimenti. Però si tratta di una questione così delicata, e anche pericolosa, che vale ogni sforzo. Prima di tutto, garantire sicurezza e tutela dei dati personali rende un’organizzazione più affidabile e onesta agli occhi degli utenti. Inoltre, i rischi associati alla perdita o alla diffusione di dati sensibili è un rischio enorme.
Gli strumenti di raccolta dati web sono stati creati per monetizzare, quindi la tendenza delle impostazioni predefinite è quella di rendere le informazioni raccolte fruibili e spendibili a livello di marketing. Questo non coincide sempre con il rispetto della privacy e il consenso dell’utente, perciò è bene conoscere il proprio sito, studiare le linee guida e cercare di agire di conseguenza.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
