Il 29 gennaio 2024, l’European Data Protection Board (EDPB) ha annunciato di aver rilasciato il “EDPB Website Auditing Tool” (di seguito, “EDPB WAT”), strumento utile al fine di effettuare analisi di siti internet.
Tale tool è stato sviluppato in open source, in licenza pubblica dell'Unione Europea v. 1.2, dal Support Pool of Experts (SPE), cioè il gruppo di esperti in ambito tecnico-informatico e/o giuridico, che ha l’obiettivo di supportare le Autorità per la protezione dei dati personali e la stessa EDPB, anche nello sviluppo di strumenti che siano di ausilio per favorire un’applicazione armonizzata della vigente disciplina sulla protezione dei dati personali.
A fronte dell’interesse suscitato dall’annuncio dell’EDPB, abbiamo deciso di testare il tool e, dopo diverse prove, abbiamo potuto constatare che EDPB WAT raccoglie informazioni sui cookie, sui dati memorizzati nel local storage, sull’utilizzo di protocolli HTTPS, sull’eventuale presenza di form che comunicano tramite protocolli non crittografati, sul traffico dei dati (più precisamente, sui domini con cui il renderer ha comunicato), sui beacon. EDPB WAT può essere altresì integrato con il tool “testssl.sh”, che effettua analisi relativamente alle TLS/SSL cipher, ai protocolli utilizzati e analizza anche l’eventuale presenza di vulnerabilità note nei sistemi di crittografia, fornendo il codice identificativo CVE (Common Vulnerabilities and Exposures) delle vulnerabilità testate.
EDPB WAT permette di raccogliere le informazioni sopra riportate mentre si naviga sul sito internet da analizzare (tramite il browser Chromium, integrato nel tool stesso); inoltre, permette di importare ed elaborare dati estratti dai principali browser pubblici in formato .har, oppure dati raccolti tramite il “Website Evidence Collector (WEC)”, tool rilasciato nel 2021 dall’European Data Protection Supervisor (EDPS).
È altresì possibile creare manualmente o importare database (denominati Knowledge Base), al fine di salvarvi informazioni sui cookie e sui dati memorizzati nel local storage. EDPB WAT è in grado di confrontare i cookie e i dati memorizzati nel local storage identificati nel sito internet analizzato con quelli salvati nei Knowledge Base, evidenziando, in relazione ai cookie, se coincidono il nome e/o il dominio e, in relazione ai dati memorizzati nel local storage, se coincidono la chiave e/o lo script.
Infine, EDPB WAT permette di generare report e di valutare, in modo granulare, se i vari elementi emersi durante l’analisi siano conformi (“compliant”), non conformi (“not compliant”) o da valutare (“to be defined”). Tuttavia, tali valutazioni non vengono effettuate autonomamente dal tool: è l’utente che deve inserire manualmente le proprie considerazioni, per lo sviluppo delle quali risulta quindi necessario e fondamentale possedere adeguate competenze tecnico-giuridiche.
In conclusione, EDPB WAT arricchisce il novero degli strumenti a disposizione per effettuare analisi tecnico-informatiche di siti internet, che, con il supporto di consulenti, può diventare un ottimo strumento per le analisi sulla conformità legale dei siti internet.
Autore: Avv. Lorenzo Balestra
Contatto: Avv. Luisa Romano l.romano@bergsmore.com