Da qualche giorno, chi segue le notizie online si è certamente imbattuto in molti articoli che affrontano il tema dei Cookie e dei siti web.
Cos’è successo? Perché tanto clamore? Ci sono nuove regole?
La risposta è NO: la legge di riferimento, il GDPR, non è cambiata e chiede oggi le stesse cose che chiedeva anche due anni fa.
Ciò che di nuovo dev’essere considerato è un provvedimento del Garante Privacy che, quest’estate, ha pubblicato una guida per adempiere correttamente al GDPR contenente linee guida precise e circostanziate su siti web, cookie banner, informative e tutti gli elementi che possono costituire strumenti di tracciamento per utenti del web.
Fino ad oggi il Garante non si è attivato ed ispezioni e sanzioni sono rimaste sospese in un limbo, un grace period concesso per adempiere correttamente su aspetti che richiedono gestione dei siti, modifiche e competenze.
Innanzitutto, occorre fare una distinzione importante: chi è tenuto a rispettare le linee guida del Garante? Valgono solo per le aziende, coinvolgono anche i professionisti? Riguardano anche i privati che hanno deciso di pubblicare un sito per gli amici del fantacalcio o i compagni di merende?
Ebbene, la risposta è proprio nel GDPR. L’articolo 2 prevede che il GDPR non si applichi ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, ma con una specificazione importante: non ci deve essere alcuna connessione con un’attività commerciale o professionale.
Questo significa che una persona può gestire il proprio sito web senza doversi preoccupare degli adempimenti relativi ai cookie, unicamente se lo fa per proprio diletto, per finalità personali o domestiche. Ogni attività riconducibile ad una professione o ad un attività commerciale ricade nell’applicazione del GDPR, delle linee guida del Garante e richiede, quindi, l’adempimento.
Altra considerazione importante è che il GDPR si applica, inoltre, ai provider che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico. Quindi occorre prestare attenzione se si intende ospitare siti web personali appartenenti ad amici o parenti poiché, anche se a titolo di favore, chi fornisce la tecnologia per un sito web amatoriale, è tenuto ad applicare il GDPR, almeno per i trattamenti che lo riguardano in veste di titolare o di responsabile.
Chi non può contare su questa esenzione dovrà applicare tutte le misure previste dal GDPR ed indicate dal Garante.
Cosa contengono le linee guida del Garante Privacy?
Il Garante per la Protezione dei Dati Personali ha presentato in modo molto completo la materia e ha scritto delle linee guida flessibili, applicabili ad ogni sito, dai portali più complessi ai piccoli siti statici monopagina.
Per rispettarne i contenuti, non si può prescindere da un’analisi preliminare del sito, della sua infrastruttura, delle sue componenti, dell’uso che se ne fa e delle configurazioni adottate.
L’utente medio, spesso, delega questi aspetti ad un gestore.
La prima considerazione che si potrebbe fare è questa:
chi gestisce il sito della mia azienda, lo ha fatto bene? Mi è stato fornito un sito a norma con il GDPR? Questa banale domanda sarà oggetto di scontri, a volte violenti, tra chi, in buonafede, si è affidato ad un professionista e chi, con altrettanta buona fede, ha realizzato fantasiose idee al minimo costo.
Come non è possibile vendere una macchina senza il triangolo, senza ruota di scorta o senza cinture di sicurezza, così non è lecito realizzare siti senza le più elementari misure di protezione dei dati. Il primo passo, dunque, è capire, insieme a chi ha realizzato un sito, cosa eventualmente manca, quale che ne possa essere la causa.
Siti realizzati fino all’estate del 2021 potranno facilmente risultare carenti e richiederanno un’attività di allineamento che dovrà essere quantificata e programmata. Tuttavia, siti creati successivamente al provvedimento del Garante dovrebbero essere già corredati di quegli elementi obbligatori, notori ed essenziali senza i quali, a giudizio dello scrivente, non possono essere legittimamente proposti ad un committente. Ricordiamo infatti che, su questo specifico punto, esiste una chiara responsabilità per la figura del provider, quando è qualificabile responsabile del trattamento, che recentemente ha anche trovato posto nei provvedimenti sanzionatori del Garante.
Probabilmente questa scomoda domanda farà emergere anche situazioni più critiche dove ingenui clienti si sono affidati a incompetenti fornitori, ma questa situazione presenza problemi ben più rilevanti della gestione dei cookie e meriterebbe un ripensamento globale.
La seconda considerazione da sviluppare è questa:
nel mio sito tratto solo dati che mi servono oppure ci sono tante funzioni superflue? E’ veramente necessario che veda statistiche dettagliate del traffico? E’ importante che vi siano elementi complicati, aggiunti perchè sono belli, ma che non apportano nulla di utile in concreto?
La risposta sarà possibile solo con molta onestà e franchezza verso se stessi, staccandosi per un momento dall’entusiasmo per la tecnologia e mettendosi nei panni di un utente che, probabilmente, non ha alcuna voglia di essere localizzato o di far sapere quali siano i siti visitati prima di arrivare al nostro e che, quindi, apprezzerebbe un trattamento menò curioso, meno invasivo e più trasparente.
La terza considerazione potrebbe lasciarci molto delusi:
sono in grado di eliminare i trattamenti superflui? Ho il governo della situazione oppure, a causa della infrastruttura che utilizzo, sono vincolato anche a determinati trattamenti che non mi servono ma che non so eliminare?
Questa situazione è molto frequente e la sola idea di dover cambiare tutto potrebbe essere demotivante e indurre molte persone a non cambiare nulla per non avventurarsi in progetti complicati e onerosi. Una parziale soluzione potrebbe essere cercata nelle configurazioni della piattaforma in uso che, spesso, permettono di disattivare funzioni non desiderate. Dopo aver disattivato tutto il possibile, ciò che rimane, potrebbe essere necessario non a noi ma al fornitore del servizio. In questo caso, la titolarità del trattamento potrebbe non essere nostra e potremmo riuscire a rinviare al fornitore ogni adempimento relativo a ciò che, nostro malgrado, dobbiamo tenere ma che vorremmo tanto eliminare.
Raccomando di formalizzare, anche solo con una email o una richiesta di assistenza, la volontà di disattivare funzioni non desiderare e che nell’informativa, di queste, occorre dare visibilità ad ogni visitatore
Ci sia avvia così verso le considerazioni più complesse, che più spesso generano responsabilità:
sono in grado di scrivere un’informativa completa? Dove ne prendo una come esempio?
Purtroppo, l’errore che più spesso si commette è copiare informative altrui, preparate per contesti differenti. Le circostanze fanno la differenza e il copia-incolla potrebbe causare, da un lato, la ripetizione di errori mai corretti, dall’altro, la nascita di nuovi errori.
Per esempio, copiare l’informativa di un ente pubblico può facilmente portare a gravi errori nell’individuazione della base giuridica del trattamento.
Per un ente pubblico, il sito è obbligatorio per legge pertanto la base giuridica sarà sempre un norma che impone all’ente di avere le proprie pagine web. Un azienda privata, al contrario, non ha alcun obbligo e se pubblica un sito lo farà sempre e solo per un proprio legittimo interesse o, tuttalpiù, per dar seguito ad un obbligo contrattuale verso i propri clienti.
La stesura dell’informativa è la parte più delicata, visibile e complessa di tutto il lavoro. Per una piccola impresa, l’informativa migliore è quella scritta con il cuore, in modo onesto e trasparente. Gli elementi importanti sono pochi e trovano spazio in un pungno di frasi:
“Questo sito è gestito da ACME inc, ci trovate in via Scurcola Marsicana, via Abruzzo 22. Per qualsiasi informazione relativa ai tuoi dati e per esercitare il diritto di accesso, di rettifica, chiedere la cancellazione, la limitazione o per opporti al loro trattamento, puoi chiamarci al 0863.555.555 o scriverci usando il form di contatto.
Questo sito è pubblicato per promuovere i nostri servizi e dare informazioni relative all’azienda. Il server, basato su wordpress, richiede alcuni trattamenti di tipo tecnico per poter funzionare, altri trattamenti sono stati aggiunti per analizzare il traffico e per capire quali sono le pagine di maggiore interesse. Utilizziamo Google Analytics e alcune funzioni grafiche e di impaginazione come Google Fonts. Non vediamo i dettagli del traffico dei visitatori ma solo le statistiche aggregate. Queste funzioni comportano la condivisione dei dati di traffico con i fornitori. Se deciderai di scriverci una email o di inviare un messaggio con il form di contatto, tratteremo i tuoi dati per dar corso alla richiesta e li archivieremo secondo le regole della corrispondenza aziendale. Abbiamo anche un servizio di newsletter. Se lo desideri, puoi iscriverti inviando la richiesta con la funzione che trovi nel sito. Invieremo solo notizie relative alla nostra azienda e non condivideremo i tuoi dati con nessuno. In ogni momento puoi chiederci di cancellare l’iscrizione e i tuoi dati personali.
Se necessario potrai fare ricorso al Garante inviando un reclamo.”
L’ultima considerazione, di tipo tecnico, può essere riassunta così:
ci sono tutte le cose che ci devono essere? Faccio qualcosa di vietato nel mio sito?
Per aiutarci possiamo utilizzare, come una check list, questa infografica riassuntiva degli elementi necessari, dei pochi divieti e di ciò che deve essere fatto, o chiesto ai nostri provider.
Gli 8 elementi che il cookie banner dovrebbe contenere
Ecco gli elementi che il cookie banner dovrebbe contenere:
- Link all’informativa completa, riportato anche nel footer di ogni pagina.
- Informativa sintetica direttamente presente all’interno del cookie banner
- Pulsante “X” di chiusura (senza consenso) in alto a destra.
- Pulsante per accettare tutto e dare il proprio consenso ad ogni trattamento proposto
- Avviso che la chiusura del banner o lo scroll della pagina corrisponde a non dare alcun consenso e che, quindi, nessun cookie viene attivato, ad eccezione di quelli per i quali il consenso non è richiesto.
- Tutti i pulsanti di consenso devono essere su OFF, in modo da evidenziare l’assenza del consenso e, se selezionati, registrare il consenso dell’utente per lo specifico gruppo omogeneo di trattamento.
- Non devono essere presenti pulsanti di selezione attivi da deselezionare per opporsi al trattamento.
- Per gli utenti di ritorno sul sito, deve essere presente l’opzione per rivedere e modificare le proprie scelte, possibilmente nel footer di ogni pagina.
Conclusioni
Il provvedimento del Garante sarà presto affiancato da ispezioni e provvedimenti che, seppur punitivi nei confronti di chi ha commesso illeciti, saranno di grande aiuto per tutti nell’attività quotidiana di gestione di siti web, nella redazione di informative e, più in generale, nel difficile percorso di messa a norma rispetto al GDPR.