Contenuti:
Introduzione e premesse
Tipologie di utenti: il Guru
Tipologie di utenti: il Guru malvagio
Tipologie di utenti: il bandito impenitente
Tipologie di utenti: lo sprovveduto fiducioso
Criticità relative ai provider
Tipologie di utenti: il realista affaccendato
Le linee guida del Garante Privacy
Le infografiche del Garante
Guida applicativa: cosa si può fare, cosa non si può fare, cosa si deve fare.
Analisi dei gruppi omogenei di trattamento
Tabella esemplificativa
Cookie Banner - elementi necessari
Esempio di cookie banner completo
Elementi tecnici di funzionamento
L’informativa sintetica
L’informativa completa
L’informativa sui cookie e strumenti di tracciamento
Come scoprire quali cookie usa un sito
Un caso reale di analisi
Un esempio virtuoso
Considerazioni su un sito web
Considerazioni su una Intranet
Considerazioni sul controllo a distanza dei lavoratori
Considerazioni su App
Considerazione sulle Email
Considerazioni su ReCAPTCHA
Conclusioni
La facilità con cui è possibile pubblicare un sito o una app, spesso, si traduce nella difficoltà di controllare gli aspetti tecnici che vengono integrati “chiavi in mano” e delegati al gestore della piattaforma di sviluppo.
Anche chi è in grado di programmare ogni aspetto nel dettaglio, spesso, include tecnologie di controllo o, più semplicemente, cookie e funzioni che presuppongono il riconoscimento e il tracciamento dell’utente.
Le recenti linee guida del Garante chiariscono bene ciò che il GDPR, fin dall’inizio, chiede ai gestori di siti ed app e che, da Gennaio 2022, sarà chiesto con forza anche dal Garante nell’ambito della propria attività ispettiva.
I grandi player, i gestori di siti complessi, di servizi professionali, di portali e di App con milioni di download saranno certamente in grado di studiare e applicare le linee guida in autonomia. I tantissimi gestori di siti aziendali, le microimprese e la galassia di piccole app presenti negli store saranno in forte difficoltà e, a questo scopo, ho preparato questa guida e qualche utile consiglio.
Il primo consiglio è la base della sopravvivenza informatica e il cardine della protezione dei dati personali: fai solo ciò che sai fare. Tuffarsi nella realizzazione di ciò che non si è in grado di governare, anche se entusiasmante, potrebbe rivelarsi disastroso. Trattare i dati richiede cautela e non si può sperare di fare la cosa giusta senza competenza ed esperienza. Chi desidera vivere nuove ed entusiasmanti avventure informatiche dovrebbe affiancarsi una guida, un consulente, un tecnico, un legale, un DPO.
Probabilmente molti gestori di siti web e di App hanno saltato questo passaggio e si trovano a dover rimediare ora e a dover intervenire con urgenza. Ma da dove è preferibile cominciare?
Il lavoro di messa a norma potrebbe essere strutturato in diversi modi, ottenendo risultati abbastanza distanti tra di loro. Ecco in sintesi alcuni dei possibili approcci:
Il guru
Aziende strutturate e competenti, con il pieno governo dei propri sistemi informativi, sapranno gestire ogni dettaglio dei propri siti web, delle Intranet e delle proprie App. Poter contare su collaboratori capaci di programmare i sistemi, di realizzare qualsiasi desiderio della direzione e di mettere mano ai codici più complessi è certamente lo scenario preferibile, ma è anche una situazione piuttosto rara nel panorama imprenditoriale Italiano. Questa guida non è di alcuna utilità per i Guru della protezione dei dati personali.
Il guru malvagio
Esistono aziende con elevate competenze e una visione spregiudicata del business ed incuranti del diritto alla protezione dei dati personali: non saranno certamente interessate a questa guida. Il loro approccio, come capita spesso oltreoceano, è quello di considerare i dati un bene da accumulare e sfruttare, un asset aziendale. È facile riconoscere queste aziende perché il cookie banner è un concentrato di sofisticate tecniche di persuasione e condizionamento, mistificazione e raggiro dell’utente (dark pattern). Questi player sono ben consapevoli dei requisiti previsti dal GDPR ma scelgono di applicarli in modo peculiare, con interpretazioni autarchiche, insostenibili e decisamente sbilanciate, ben oltre il limite del lecito. Avrei giusto in mente alcuni nomi ma non lascio al lettore il piacere di individuare questi geni del crimine.
Il bandito impenitente.
La strategia che, temo, alcuni adotteranno, anche per mancanza di competenze tecniche, è quella della sistemazione cosmetica: curare bene ciò che appare, senza alcuna modifica dei meccanismi sottostanti. Cambiare visivamente un cookie banner, aggiungendo la X (di cui diremo più avanti), cambiare i testi, rassicurare l’utente che “We take your privacy seriously!” non aiuterà ad adempiere alla norma di legge. Chiunque pensi di applicare la normativa, simulando gli elementi visuali che caratterizzano le indicazioni del Garante, senza però modificare il reale funzionamento dei siti o delle app, rimarrà fortemente deluso e avrà sprecato tempo e denaro: nessun utente sarà stato tutelato, nessuna responsabilità sarà stata gestita, nessun rischio sarà stato mitigato. Probabilmente, al contrario delle aspettative, la situazione e la responsabilità sarà peggiorata dal fatto di aver dissimulato un trattamento per indurre determinati comportamenti, cercando di ingannare i visitatori.
Lo sprovveduto fiducioso.
Molti piccoli titolari di siti web cercheranno soluzioni semplici, economiche e rapide. Sicuramente possono appoggiarsi a soluzioni di adeguamento professionali, tuttavia saranno molto più numerose, economiche ed ammiccanti le proposte di soluzioni truffa. Affidarsi a pacchetti all-in-one, plugin e servizi di terzi è un rischio e occorrerà valutare molto bene i propri partner, i servizi acquistati e, con un'ottica maliziosa, riuscire a scovare tutti i problemi nascosti che queste soluzioni possono comportare.
Non è possibile, in questa sede, analizzare tutti i provider di soluzioni di adeguamento, tuttavia potrebbe essere utile una lista dei problemi, frequentemente trascurati, che meritano attenzione:
il provider acquisisce dati di traffico? Se si, allora deve essere qualificato ai sensi del GDPR e la condivisione dati va regolamentata, come si fa per ogni Responsabile Del Trattamento. Capita spesso che il provider, installando sul nostro sito un banner, immagini, video o altri elementi, acquisisca dati di traffico, riuscendo cioè a vedere gli indirizzi IP dei visitatori che accedono al nostro sito e che, facendo questo, visualizzano elementi del provider. Questa condivisione, all’apparenza innocua, è spesso intenzionalmente e, altrettanto spesso, monetizzata. I dati di traffico permettono di profilare l’utenza e di fornire i dati necessari per la pubblicità mirata e il RTB o altri trattamenti finalizzati al marketing, senza che questi siano resi visibili, consensati o evitabili. In realtà, al provider, interessano i metadati di collegamento. Tali soluzioni, in estrema sintesi, permettono di profilare tutti gli utenti (in realtà i terminali, identificati con indirizzo IP o con altre tecniche di fingerprinting) che hanno visitato un determinato sito che, se tematico, qualifica e profila l’utenza. Chi visita siti sui gatti sarà un ottimo destinatario per pubblicità di cibo per gatti. Lo stesso si può dire per chi visita siti tematicamente rilevanti: dentisti, avvocati giuslavoristi, consulenti finanziari, ristoranti, assicurazioni, palestre, siti di incontri, ecc.
il provider dice che è tutto a posto? Trattandosi di un servizio destinato alla compliance e che, potenzialmente, mette a rischio la riservatezza dei dati, è necessario che il provider documenti ogni dettaglio di ciò che realizza per noi. Se tutto si è svolto a distanza, con un veloce acquisto online, senza scambiare tediosa documentazione che nessuno mai leggerà… beh, c’è il forte sospetto che manchi qualcosa e che, nel momento in cui sarà necessario dimostrare di aver adempiuto correttamente, non avremo strumenti a nostro favore. Ogni provider professionale deve essere esperto, strutturato, pronto. La richiesta di documentare gli aspetti di compliance del prodotto non possono essere visti come una seccature né come un maggior onere. La documentazione contrattuale deve già esistere, il provider deve essere qualificato come autonomo titolare o come responsabile del trattamento e deve dare adeguate garanzie di competenza rispetto alla norma che ci sta aiutando a rispettare.
Il realista affaccendato.
L’approccio corretto, come spesso accade, è rimboccarsi le maniche e fare ciò che va fatto.
La varietà degli scenari ipotizzabili non mi permette di scrivere una guida definitiva, valida per tutti e direttamente applicabile. È tuttavia possibile dare una mano a chi si appresta ad apportare modifiche ai propri sistemi o che sta per commissionare tali modifiche ai propri fornitori di fiducia. Gli elementi da considerare abbastanza ricorrenti e, con molta modestia e con la necessaria indulgenza rispetto ai tecnicismi, è possibile raggiungere un livello di serenità adeguato, confortati dall’aver preso in considerazione ogni aspetto rilevante.
Le Linee guida del Garante Privacy
Il Garante per la Protezione dei Dati Personali, in una notte di mezz’estate, ha pubblicato una corposa linea guida in materia di Cookie e altri strumenti di tracciamento. Il testo è decisamente completo, lungo, molto tecnico e non è innovativo: ripercorre con estrema precisione e coerenza ciò che il GDPR già prevede. In altri termini, il Garante non introduce nuovi obblighi. La disciplina non è cambiata, le linee guida cercano di supportare i gestori di siti ed app al fine di garantire un modello applicativo condivisibile e sostenibile. L’approccio del garante è di carattere generale, non entra nello specifico di singole situazioni ed è adatto a disciplinare un tema complesso che può essere declinato in molti modi a seconda del sito, della App, del servizio di riferimento. Spesso, piccole differenze di contesto, determinano enormi distanze in merito all’adempimento o alle misure da adottare per realizzare un trattamento coerente con i requisiti previsti dal GDPR.
Le linee guida includono un allegato che ne chiarisce, in sintesi, i punti di maggiore interesse. Recentemente è stata pubblicata anche un'infografica esplicativa.
Il Garante ha stabilito un grace period di 6 mesi dalla pubblicazione in Gazzetta Ufficiale e la scadenza è ormai giunta con la prima decade di Gennaio 2022.
Cosa si può fare, cosa non si può fare, cosa si deve fare?
In estrema sintesi, come dovrebbe essere il Cookie Banner di un sito per contenere tutti gli elementi indicati dal Garante?
Non esiste il cookie banner perfetto, adatto a tutte le situazioni e occasioni. Non è nemmeno possibile essere a norma facendo un copia-incolla da un altro sito o da una guida come questa.
Abbandonata l’ipotesi della soluzione pret-a-porter, propongo una guida metodologica per procedere alla messa a norma.
Mi permetto una considerazione generale: prima di avventurarsi in improbabili soluzioni costruttive, nel senso che vanno ad aggiungere livelli di complessità a sistemi già enormemente pasticciati e stratificati, potrebbe essere una buona idea riconsiderare l’effettiva utilità dei tracciatori in uso. Con un'analisi obiettiva, si potrebbe scoprire che la maggior parte dei dati che trattiamo non ci servono, che non hanno una effettiva utilità pratica, che i colorati grafici generati dai sistemi analytics sono utili solo alla nostra curiosità ma non si sono mai tradotti in migliorie e razionalizzazione dei sistemi. In questi casi è preferibile semplificare, rinunciare ai dati, rimuovere il trattamento piuttosto che dedicare risorse alla sua messa a norma.
Se tutto ciò che facciamo è necessario, allora, dobbiamo metterlo a norma.
Per ogni sito è necessario partire dall’inventario dei trattamenti e dalla loro precisa definizione. Questo passaggio è fondamentale per riuscire ad individuare l’elemento fondamentale per costruire il cookie banner:
I GRUPPI OMOGENEI DI TRATTAMENTO
Tutti i trattamenti possono essere raggruppati in modo da poter chiedere al visitatore un consenso per l’intera famiglia di trattamenti. Questa semplificazione è prevista dalla norma e richiamata dal Garante e rappresenta il giusto compromesso tra la specificità del consenso e la gestibilità di una interfaccia di selezione delle differenti opzioni.
Con una buona approssimazione, possiamo elencare i Gruppi Omogenei di Trattamento di uso comune nella maggior parte dei siti:
GRUPPO OMOGENEO DI TRATTAMENTO | Richiede il consenso? | Note |
Trattamenti di tipo tecnico, necessari per il funzionamento del sito | NO | Attenzione a identificare in modo corretto i trattamenti effettivamente tecnici ed effettivamente necessari. |
Cookie analytics di prima parte (applicazioni interne al sito) e equiparati (analytics di parte terza con dati opportunamente offuscati) | NO | Verificare che il sistema utilizzato non si avvalga dei server di un terzo (produttore). Nel caso di alcuni plugin, l’apparenza della funzione di prima parte è, in realtà, appoggiata a server di parte terza. |
Cookie analytics di parte terza, come Google Analytics, Facebook Analytics, Hotjar, Flurry, InMobi, ecc | SI | Rientrano anche le funzioni di crash reporting tipiche di molte App. Attenzione, alcuni servizi (come hotjar) possono essere configurati in modi differenti, limitando le funzioni a semplice analytics oppure attivando funzioni evolute che li fanno rientrare nelle altre casistiche. |
Trattamento per il login semplificato mediante credenziali di social network (facebook, instagram, ecc.) o credenziali di altri provider come Google (Auth0) | SI | implica una condivisione di dati con terze parti. |
Trattamenti di profilazione di prima parte, effettuata dal gestore e finalizzata alla personalizzazione dei contenuti. | SI | Questo non può essere considerato un trattamento tecnico o necessario. |
Trattamenti di profilazione per finalità di marketing, tipicamente in contitolarità con terzi | SI Esteso | Spesso i network di advertising e di monetizzazione del traffico implicano questo trattamento. es. RTB |
Trattamento di condivisione dei dati con terzi, per finalità ignote al gestore del sito | SI Esteso | Il Consenso ESTESO implica la possibilità per l’utente di vedere TUTTI i soggetti destinatari della condivisione e di poter acconsentire (o negare il consenso) in modo differenziato per ciascuno di essi. |
Presenza di chiamate esterne, immagini su server di terzi, funzioni evolute che implicano la condivisione di dati di traffico con il provider. | SI | Rientrano in questa casistica anche i pulsanti di condivisione social, le funzioni relative ai FONT come Google font, Autenticazione tipo Captcha, ecc. |
Geolocalizzazione | SI | Può essere un consenso chiesto solo nel momento in cui la funzione viene attivata, per esempio, nella pagina che include la mappa o la ricerca geografica di prossimità. |
Fingerprinting | SI | Il tracciamento passivo è invisibile all’utente e non genera cookie ma deve essere dichiarato e richiede il consenso.
Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia la tecnica che permette di identificare il dispositivo utilizzato tramite la raccolta di informazioni relative alla specifica configurazione del dispositivo stesso. |
CMS di provider come IAB e simili | SI | Alcuni provider propongono soluzioni per la gestione dei cookie banner e dei consensi che incorporano liste di condivisione a fine di Marketing. Attenzione, si veda nota specifica. |
Ho un fantastico scintillante Cookie Banner… va bene così?
Il cookie banner può variare per forma, colori, dimensioni, tuttavia alcune caratteristiche paiono necessarie.
Il garante non identifica una soluzione ideale, anzi, prevede la totale libertà di ogni titolare nella definizione delle modalità di adempimento, tuttavia pare ragionevole allinearsi alle indicazioni delle linee guida che rappresentano un elemento condiviso e consigliabile al fine di superare eventuali verifiche ispettive.
Ecco gli elementi che il cookie banner dovrebbe contenere:
Link all’informativa completa, riportato anche nel footer di ogni pagina.
Informativa sintetica direttamente espressa all’interno del cookie banner
Pulsante X di chiusura (senza consenso) in alto a destra.
Pulsante per accettare tutto e dare il proprio consenso ad ogni trattamento proposto
Avviso che la chiusura del banner o lo scroll della pagina corrisponde a non dare alcun consenso e che, quindi, nessun cookie viene attivato, ad eccezione di quelli per i quali il consenso non è richiesto.
Tutti i pulsanti di consenso devono essere su OFF, in modo da evidenziare l’assenza del consenso e, se selezionati, registrare il consenso dell’utente per lo specifico gruppo omogeneo di trattamento.
Non devono essere presenti pulsanti di selezione attivi da deselezionare per opporsi al trattamento. Ciò accade per i trattamenti basati sul legittimo interesse come, a titolo di esempio, il soft spam previsto dall’art 130 del codice privacy (pubblicità verso propri clienti su prodotti affini a quelli già acquistati). Questi trattamenti prevedono un OPT-OUT, cioè una opposizione, non prevedono un OPT-IN, cioè un consenso.
Per gli utenti di ritorno sul sito, deve essere presente l’opzione per rivedere e modificare le proprie scelte, possibilmente nel footer di ogni pagina.
Alcuni elementi necessari non sono visibili nel banner, hanno una natura più tecnica e devono essere implementati nel funzionamento del server (o della App, o nel comportamento del browser). In pratica, vi sono elementi che si traducono in impostazioni di sistema come la durata di 6 mesi dei cookie, il fatto che i cookie o gli strumenti di tracciamento siano attivi solo dopo il relativo consenso, che la pagina dell’informativa sia accessibile e non presenti tracciatori, che il fatto di proseguire nella consultazione del sito o della pagina non sia considerato consenso implicito, che i cookie non siano obbligatori per l’accesso al sito, ecc.
Nel Cookie Banner dev’essere presente l’informativa sintetica. Questa rappresenta una vera e propria sfida per chiunque poiché la completezza richiederebbe spazio, la sintesi favorisce i tecnicismi e tutto questo rende sempre meno intelligibile il contenuto dell’informativa all’utente medio. Anzi, per realizzare una buona informativa non bisognerebbe avere come punto di riferimento l’utente medio, bensì l’utente più svantaggiato: il minorenne, l’anziano, la persona poco istruita o alloglotta, chi ha difficoltà di percezione visiva finanche alla difficoltà di comprensione.
Propongo due testi che possono essere utilizzati come base di partenza per sviluppare la propria informativa semplificata:
Bozza 1 - Informativa estremamente sintetica:
“Questo sito utilizza cookie tecnici per i quali non è richiesto consenso
Alcune funzioni richiedono cookie tecnici che saranno attivati unicamente accedendo
alle singole funzioni.
Con il tuo consenso, vorremmo analizzare la navigazione per migliorare il sito e i servizi
offerti, misurare il traffico e valutare l'efficacia dei servizi proposti (Cookie Analytics di terzi). (O-O)
Con il tuo consenso, vorremmo poter profilare il tuo comportamento online per proporre
contenuti che riteniamo possano essere di tuo interesse.(O-O)
Con il tuo consenso, potremo condividere la profilazione con partner esterni a fini di marketing.(O-O)”
Questa mini informativa potrebbe essere integrata con i pulsanti e i selettori di consenso (O-O) per permettere all’utente di manifestare le proprie intenzioni, direttamente accanto ai paragrafi descrittivi dei singoli trattamenti.
Bozza 2 - Informativa sintetica con consensi separati:
Propongo una elaborazione basata sul testo esemplificativo riportato nelle linee guida dal Garante Privacy: (da personalizzare laddove ricorrano i singoli trattamenti)
“Il sito utilizza cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero per modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web.”
Questo testo non permette di integrare i pulsanti di conferimento del consenso che dovranno essere proposti a parte in modo da risultare associati a ciascuno dei singoli trattamenti descritti nell’informativa.
Ho una fantastica scintillante Informativa… va bene così?
L’informativa estesa dovrebbe essere il primo tra tutti gli elementi ad essere studiato, preparato, ben scritto, migliorato, ampliato, aggiornato e curato come se non ci fosse un domani.
In effetti, l'informativa è l’elemento cardine per la compliance di un sito, di un'App o di un trattamento in generale e non può essere sintetizzata nello spazio disponibile nel cookie banner. Questo singolo elemento meriterebbe ben più di un paragrafo e, di certo, non posso qui essere esaustivo sull’argomento.
Sempre in ottica di supporto pratico, desidero evidenziare che un’informativa pronta, precompilata, proposta standard da un provider terzo, inclusa in un prodotto commerciale o copiata da un altro sito, ben difficilmente potrà essere adeguata al caso concreto ed escluderei che possa essere d’aiuto ai fini del corretto adempimento del GDPR.
Gli elementi essenziali da ricomprendere nell’informativa sono ben dettagliati nella norma.
Evidenzio in grassetto i contenuti che risultano più complessi e che meritano particolare attenzione con riferimento ai cookie e ai tracciamenti frequentemente in uso:
l'identità e i dati di contatto del titolare del trattamento;
i dati di contatto del DPO (responsabile della protezione dei dati, ove nominato);
tutte le finalità di ogni singolo trattamento trattamento e, per ciascuna di esse, la base giuridica di legittimità;
Finalità frequentemente riscontrate nell’uso di tracciatori: profilazione, analytics, marketing, attività diagnostica e gestione di errori e malfunzionamenti, miglioramento dei contenuti, ottimizzazione delle risorse, finalità tecniche di funzionamento del sito, memorizzazione delle preferenze utente, mantenimento del carrello e delle opzioni selezionate per le future visite, agevolare il login, prevenire utilizzi illeciti di un servizio.
se la base giuridica fosse il legittimo interesse, questo va esplicitato e dettagliato
se il trattamento riguarda dati personali particolari (sensibili) va dettagliato il caso esimente dal generale divieto di trattamento previsto dall’art. 9 del GDPR
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
l’eventuale intenzione di trasferire dati personali a un paese terzo
Utilizzare Google, Facebook e altri grandi provider implica il trasferimento dei dati in un paese terzo, USA. Questo, oltre ad essere problematico rispetto alla sentenza Schrems II, richiede un'integrazione dell’informativa e probabilmente il consenso dell’utente.
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
dettagli sul diritto e modalità di revoca del consenso, qualora venga usato come base di legittimazione
il diritto di proporre reclamo al Garante Privacy;
se la comunicazione di dati personali è necessaria, le possibili conseguenze della mancata comunicazione di tali dati;
l'esistenza di un processo decisionale automatizzato, compresa la profilazione, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Il Garante prevede che l’informativa generale possa includere inoltre tutti i dettagli tecnici relativi ai cookies e agli strumenti di tracciamento. Dato che questi elementi sono particolarmente tecnici e richiedono una competenza minimale per essere compresi, si raccomanda di presentare le informazioni in modo da agevolare la fruizione e la comprensione da parte di chiunque possa visitare il sito o utilizzare la App.
Ecco un esempio di come si potrebbe riportare un contenuto particolarmente ostico relativo ai cookie:
… informativa …
Questo sito utilizza cookie per funzionare, sono elementi tecnici che non richiedono il consenso.
(Spiegazione e approfondimento annidato, visibile a richiesta)
Il sito utilizza i seguenti cookie tecnici:
Sito Valore Permanenza
.sito.it 261=pZRDTxkRPph_roTv... 2022-07-11
.sito.it NuovaSessione Sessione
.sito.it Carrello Sessione
Il sito inoltre utilizza un cookie analytics di parte terza, offuscando i dati personali dei visitatori
.google.com GA_135331O1 2024-31-12
… informativa …
Conosci te stesso
Per scrivere questa parte dell’informativa, consiglio una veloce analisi di ciò che il sito fa realmente e di quali cookie utilizza, quali chiamate esterne prevede e quali condivisioni dati sono rilevabili. Uno dei migliori strumenti, che chiunque può utilizzare, è il sito https://webbkoll.dataskydd.net/ . Qui, semplicemente inserendo l’indirizzo internet del sito che si desidera analizzare, è possibile verificare cosa accade accedendo come visitatore, vedere quali e quanti cookie sono in uso e poter eventualmente accorgersi di anomalie e stranezze di cui non si era perfettamente consapevoli.
A titolo di esempio, questa è l’analisi (gennaio 2022) del sito del Governo Italiano:
3 cookies di prima parte di cui uno con durata eccessivamente lunga: 13 mesi
9 condivisioni esterne da 4 provider differenti:
L’analisi evidenzia l’utilizzo di Google Fonts e, di conseguenza, ogni utente che visita il sito è profilato da Google che ne ha notizia. Questa condivisione, in particolare, è evitabile perché i font possono facilmente essere localizzati sul server che ospita il sito, senza richiedere, ad ogni connessione, la condivisione di informazioni con il provider.
Le ultime due chiamate esterne sono due distinti sistemi di analytics, entrambi di parte terza ed entrambi implicano la condivisione di tutti i dettagli di ogni visita sul sito: quali pagine sono lette, per quanto tempo, il percorso effettuato, permettendo una profilazione molto dettagliata di ogni utente. La condivisione avviene verso server statunitensi pertanto in violazione della sentenza Schrems II (ma questa è un’altra storia). La particolarità di questi tracker consiste nel fatto che le informazioni messe a disposizione del gestore del sito, il cliente, sono spesso aggregate, non arrivano al dettaglio del singolo visitatore quindi sono abbastanza offuscate se non addirittura anonime. Il provider della tecnologia, almeno nel caso di Google Analytics, dispone di un dettaglio estremo dei dati personali generati o condivisi dai singoli visitatori e questi saranno utilizzati, successivamente, per finalità proprie, delle quali l’utente non ha visibilità né controllo.
Confrontando questa sommaria analisi con il cookie banner del medesimo sito è molto facile constatare quali siano le modifiche necessarie.
Un esempio virtuoso
Se tutti fossimo in errore, probabilmente questa guida sarebbe inutile, nessuno avrebbe alcuna motivazione per distinguersi.
Ma non è così, molti sviluppatori sanno fare bene il proprio mestiere e molti titolari del trattamento considerano queste "fisime" come priorità.
Senza alcuna affiliazione, rapporto contrattuale o di amicizia, senza alcun intento di sponsorizzazione nè alcun riferimento personale, segnalo uno dei siti che mi hanno stupito per come ha gestito i cookie.
Una gestione attenta, orientata all'utente, senza dover rinunciare a nulla e senza rendere frustrante l'esperienza di navigazione.
Un sito da cui si può prendere esempio:
Ho un fantastico scintillante Sito web , cosa posso fare?
Spesso i siti aziendali sono sviluppati con piattaforme come Wordpress, Wix, Google sites, Shopify, Weebly, Joomla, Drupal, WooCommerce, Magneto, Blogger e tante altre piattaforme. A questi si associano spesso plugin, add-on ed estensioni per arricchire le funzionalità e personalizzare i contenuti.
L’utente medio non governa gli aspetti tecnici sottostanti, si limita ad installare la piattaforma, configurare gli elementi grafici, popolare i contenuti ed aggiungere, in modo alluvionale, i plugin più disparati.
Probabilmente, per rispettare le linee guida del Garante sui cookie, la prima idea per molti sarà… aggiungere un altro plugin che promette di farci diventare compliant al GDPR. Basta una breve ricerca per trovarne decine e il numero delle installazioni è spesso impressionante. Attenzione, una delle implicazioni di questi plugin è, purtroppo, la condivisione dei dati di traffico con soggetti terzi. Praticamente l’esatto contrario di ciò che si intendeva e doveva realizzare.
Esistono chiaramente ottimi plugin che razionalizzano i cookie, permettono di visualizzare una cookie banner con gli elementi necessari, consentono di personalizzare i testi e scrivere cose che abbiano un senso per il proprio sito, nonchè di gestire efficacemente i consensi. Purtroppo ben pochi plugin riescono ad impedire che i cookie (sia della piattaforma che degli altri plugin installati) siano utilizzati prima che l’utente abbia manifestato il proprio consenso. Da una prima sommaria analisi, la massima parte dei plugin propone soluzioni che non rispondono ai requisiti del GDPR e del Garante. Affidarsi ad una di queste soluzioni rischia di ingigantire il problema, aumentando le violazioni e, contemporaneamente, dando la falsa impressione di aver sistemato tutto a dovere.
Prima di installare una soluzione di questo tipo è bene verificare con un esperto l’adeguatezza del prodotto rispetto alle aspettative e alla normativa.
Ho una fantastica scintillante Intranet per i miei collaboratori, cosa posso fare?
I cookie, i tracciatori e ogni strumento di tracciamento, anche se attivi su una rete interna ad una azienda e non accessibili da chiunque ma solo da un ristretto numero di soggetti, rientrano a pieno titolo nell’ambito di applicazione delle linee guida del Garante sui cookie. Anche se la intranet aziendale ha una funzione puramente operativa e l’accesso è riservato ai dipendenti o ai collaboratori, i cookie e gli strumenti di tracciamento devono essere gestiti secondo le indicazioni del Garante: devono essere descritti nell’informativa, attivati unicamente dopo l’espressione di un consenso, limitati a ciò che è effettivamente necessario. Unica eccezione, come sempre, le funzioni tecniche necessarie che non richiedono consenso e, di conseguenza, nemmeno il cookie banner.
Probabilmente, questa pare una brutta notizia, anche perché, trattandosi di un sistema chiuso, interno e riservato, ci si potrebbe aspettare una forma di semplificazione.
Al contrario, non solo non esistono semplificazioni, ma si incontrano addirittura delle complicazioni.
Il fatto che l’interessato, cioè la persona di cui trattiamo i dati, sia un lavoratore richiede l’applicazione, oltre che del GDPR, anche dello statuto dei Lavoratori e, con esso, delle norme che disciplinano il controllo a distanza. Questa valutazione riguarda certamente i cookie e ogni altra tecnologia di tracciamento presente nella intranet oppure nella App aziendale in uso al personale. In questa sede accenno solo al fatto che questi strumenti, se non necessari per rendere la prestazione lavorativa, sono soggetti ad autorizzazione e, in mancanza, possono qualificare illeciti di tipo penale che si aggiungono alle sanzioni previste dal GDPR.
Ho un fantastica scintillante App, cosa posso fare?
Le App commissionate a sviluppatori esterni potrebbero non essere completamente documentate e potrebbero non essere visibili molte delle funzionalità tecniche che presuppongono strumenti di tracciamento o condivisione dati.
Anche app sviluppate internamente potrebbero “ereditare” strumenti di tracciamento indesiderati, invisibili ma inscindibili dall’ambiente di sviluppo.
Il primo passo potrebbe essere la verifica di ciò che la App contiene. Esistono semplici e potenti tool online che possono dare una prima idea del numero e della tipologia dei tracciatori inclusi in una app.
A titolo di esempio, il sito https://reports.exodus-privacy.eu.org/it/ permette di analizzare le app Android e scoprire cosa è celato al loro interno. Le informazioni ottenute saranno preziose per programmare le attività di messa a norma.
Ecco alcuni esempi casuali relativi a tre note applicazioni diffusamente utilizzate in Italia:
Just Eat Popolare servizio di home delivery https://reports.exodus-privacy.eu.org/it/reports/com.justeat.app.it/latest/ | Illimity Banca online https://reports.exodus-privacy.eu.org/it/reports/com.illimity.mobile.rtl/latest/ | Radio24 Emittente radiofonica privata https://reports.exodus-privacy.eu.org/it/reports/it.sole24ore.radio24/latest/ |
13 tracker riportati | 8 tracker | 10 tracker |
Adjust analytics Braze (formerly Appboy) analytics advertisement location Facebook Analytics analytics Facebook Login identification Facebook Share Google Analytics analytics Google CrashLytics crash reporting Google Firebase Analytics analytics Google Tag Manager analytics Huawei Mobile Services (HMS) Core analytics advertisement location Instabug crash reporting Optimizely analytics Snowplow analytics
| Adjust analytics AppsFlyer analytics Facebook Flipper analytics Google Analytics analytics Google Firebase Analytics analytics Google Tag Manager analytics Huawei Mobile Services (HMS) Core analytics advertisement location
| Facebook Analytics analytics Facebook Login identification Facebook Places Facebook Share Gigya analytics Google AdMob advertisement Google Analytics analytics Google CrashLytics crash reporting Google Firebase Analytics analytics Google Tag Manager analytics
|
Sono presenti molti tracciatori di terzi con finalità di Analytics, molti dei quali acquisiscono dati personali e li condividono con soggetti terzi. Questi devono essere rimossi oppure attivati unicamente previo esplicito consenso dell’utente. I tracker con finalità di marketing richiedono un distinto e separato consenso e anche questi sono utilizzabili unicamente se l'utente esprime il proprio consenso. I tracciatori finalizzati al crash reporting potrebbero essere considerati strumenti tecnici e , con le opportune garanzie, potrebbero essere semplicemente documentati ma non chiedere consenso. Una App per l’acquisto di cibi e il delivery permette di trattare dati comuni come ma anche dati sensibili come: cibo senza glutine, intolleranze varie, ecc.
Questi dati, se trattati, richiedono ulteriori adempimenti ed un distinto e specifico consenso. La difficoltà maggiore potrebbe essere evitare che i tracciatori (o i cookies) trattino anche questa categoria di dati. | La app di una banca online, utilizzata per autenticare gli accessi ad approvare ogni transazione, deve distinguere nettamente le funzioni necessarie al proprio funzionamento dalle funzioni accessorie. Il provvedimento del Garante impone, anche a questa App, di disattivare ogni funzione non tecnicamente necessaria e, per attivarla, chiedere uno specifico ed informato consenso a ciascun proprio utente/correntista. Finalità di analytics sull’uso della app non sono in alcun modo identificabili come necessarie, specialmente se sono effettuate tramite servizi esterni che, quindi, condividono tali dati con Google e Facebook. Le finalità di marketing, come evidenziate nell’ultimo tracker, difficilmente possono essere definite necessarie, a stento paiono opportune nell’ambito di una App di banking online. In questo contesto, la trasparenza e la comprensibilità dell’informativa, le modalità di conferimento del consenso e l’assenza di trucchetti grafici (dark pattern) diventano critiche e determinanti per l’adempimento rispetto alle linee guida del Garante. | La app è nata per profilare l’utenza, studiarne abitudini, preferenze, gusti, per elaborare dettagliate analisi sul gradimento di programmi e di contenuti trasmessi. Queste finalità diventano evidenti osservando il numero e la tipologia di tracker presenti. Il ricorso a provider esterni (Google Facebook Gigya) comporta la condivisione dei dati e, soprattutto, l’interconnessione con database esterni e, di conseguenza, l’arricchimento dei profili utente. Questi trattamenti, anche se connaturati alle finalità originarie, non possono essere definiti necessari e non possono essere attivati senza un espresso e specifico consenso dell’utente. In questo caso, per esempio, all’utente deve essere data la possibilità di escludere la condivisione dei dati con Google, con Facebook, con Gigya, a proprio insindacabile giudizio e piacimento. Questo non impedisce ovviamente che, se l’utente acconsente, ogni aspetto dell’uso della app possa essere analizzato, registrato, condiviso, monetizzato e utilizzato per le finalità dichiarate. |
Ho un fantastica scintillante Email con il tracciamento della lettura messaggi, cosa posso fare?
Chiunque abbia un client di posta desidera una funzione per verificare la ricezione delle email. Questa funzione effettivamente c’è, è gestita da ogni programma di posta elettronica ed è molto rispettosa della privacy del destinatario che può scegliere, a proprio piacimento e per ogni messaggio, se inviare o meno la ricevuta di lettura. Si tratta di una cortese richiesta, nulla di più.
Naturalmente spesso questo non è sufficiente e si è tentati di avventurarsi nell’insidioso terreno dei sistemi evoluti di tracciamento delle email.
Sono servizi che permettono di monitorare l’effettiva ricezione dei messaggi di posta elettronica e, generalmente, utilizzano un sistema molto semplice: nei messaggi viene incorporato almeno un elemento grafico univoco (anche invisibile) residente su un server esterno. Aprendo l’email l’elemento sarà visualizzato, generando traffico che sarà registrato ed analizzato. In breve, si tratta di un semplice strumento di tracciamento, esattamente come quelli descritti dal Garante Privacy nelle linee guida sui Cookie e, di conseguenza, soggetto alle medesime regole.
La complicazione sta nel fatto che in una email non si può inserire un cookie banne, non si può dare al destinatario la possibilità di manifestare il consenso al tracciamento e, certamente, le finalità maliziose sottese a questi sistemi sarebbero compromesse se diventassero palesi.
E’ certamente vero che ogni client di posta permette di disabilitare il caricamento dei contenuti remoti, bloccando il funzionamento dei tracciatori grafici, tuttavia il Garante non ammette questa come una possibilità per adempiere a quanto richiesto dal GDPR. Anche questo trattamento richiede che il mittente acquisisca il consenso libero, preventivo, espresso, esplicito, inequivocabile, specifico ed informato da parte del destinatario delle email.
In ambito commerciale si potrebbe ipotizzare una gestione separata del consenso, informando i propri clienti/fornitori e documentando in modo opportuno. In questo caso, tuttavia, questi sistemi di tracciamento non potranno essere utilizzati verso i destinatari che non abbiano espresso il proprio consenso. Ancora una volta, si rischia di mortificare la funzionalità dell’intero meccanismo.
Questi sistemi di monitoraggio possono trovare spazio negli invii periodici a sottoscrizione volontaria: newsletter, sistemi informativi, Direct Email Marketing, email collegate a landing page e simili. In questi ambiti è ipotizzabile che, all’atto dell’iscrizione al servizio, l’utente possa essere informato e possa esprimere il proprio consenso al trattamento che si intende effettuare, incluse le funzionalità analitiche del traffico, del numero di aperture e dei dettagli di tempo e luogo oltre che di elementi tecnici di fingerprinting, degli eventuali forward e condivisione dei messaggi, delle interazioni con la landing page, ecc.
In questi ambiti è effettivamente realizzabile un cookie banner, un popup, lo spazio per un'informativa, una serie di caselle di selezione che permettano di adempiere alle linee guida del Garante e ai requisiti del GDPR.
Orpelli e carabattole
Resta una considerazione finale che mi sta particolarmente a cuore e che interesserà certamente la massima parte dei gestori di siti web: orpelli e carabattole vanno riconsiderate!
Un esempio per tutti: l'onnipresente ReCAPTCHA, un sistema per discriminare il traffico generato da umani dal traffico generato da sistemi automatici (bot)... almeno, così è nelle intenzioni. Il Garante Francese CNIL si è da poco espresso in merito, se ma ci fosse stato il dubbio, chiarendo che non si tratta affatto di un sistema tecnicamente necessario e che, per funzionare in modo legittimo, è necessario il CONSENSO del visitatore.
Questo chiarimento effettivamente puntualizza una banale ovvietà, chiara come il sole a chiunque volgia affrontare la materia con onestà intellettuale, tuttavia getta nel panico migliaia di gestori di siti che si sono fidati di Google e hanno adottato volentieri uno o più tool proprio come ReCAPTCHA. Una follia se moltiplicato per il numero dei siti coinvolti, per la scarsità della corretta implementazione e, soprattutto, devastante con riferimento alla insulsa utilità che questi tool assumono nel momento in cui sono gestiti correttamente, cioè, se assoggettati al consenso dell'utente.
Conclusioni
Il GDPR, ed di conseguenza il Garante stesso, solo all’apparenza sembrano porre dei limiti alla fantasia e all’imprenditorialità. In realtà la norma è estremamente liberale e permissiva: in ultima analisi, chiede solo di essere onesti, trasparenti e agire in buonafede, considerando i dati personali degli utenti come una responsabilità che ci si accolla e non come un bene da accumulare. Lascia la possibilità di fare qualsiasi cosa, purché lo si faccia per una finalità precisa, predeterminata e condivisa e nel rispetto di pochi, semplici principi che, a onor del vero, nessuno può giudicare come irragionevoli, complessi, esoterici o sbilanciati. Chiedere di saper governare e di documentare le proprie scelte e le proprie azioni non è scandaloso, non è particolarmente oneroso e, provandoci, ci si rende conto velocemente che il titolare del trattamento è il soggetto che ne trae maggior beneficio.
Il provvedimento del Garante sarà presto affiancato dall’enforcement: ispezioni e provvedimenti che, seppur punitivi nei confronti di chi ha commesso illeciti, saranno di grande aiuto per tutti nell’attività quotidiana di gestione di siti web, di app, nella redazione di informative e, più in generale, nel difficile percorso di messa a norma rispetto al GDPR.
Concludo con un pensiero personale: a volte i dettagli fanno la differenza e basta una virgola per cambiare tutto. Citando Pat Walshe @PrivacyMatters, “We take your privacy seriously!” facilmente può diventare “We take your privacy, seriously!”