TRACCIAMENTO ONLINE

Guida definitiva ai cookie: cosa si può fare, cosa no e come mettersi in regola

Le linee guida su cookie e strumenti traccianti del Garante Privacy entrate in applicazione il 10 gennaio 2022 chiariscono ciò che il GDPR chiede ai gestori di siti e app e che sarà chiesto con forza dall’Autorità nell’ambito della propria attività ispettiva. Ecco tutte le regole per non farsi trovare impreparati

17 Gen 2022
B
Christian Bernieri

DPO e Consulente in materia di Protezione dei Dati Personali

La facilità con cui è possibile pubblicare un sito o un’app, spesso, si traduce nella difficoltà di controllare gli aspetti tecnici che vengono integrati “chiavi in mano” e delegati al gestore della piattaforma di sviluppo. Anche chi è in grado di programmare ogni aspetto nel dettaglio, spesso, include tecnologie di controllo o, più semplicemente, cookie e funzioni che presuppongono il riconoscimento e il tracciamento dell’utente. Le recenti linee guida del Garante sui cookie chiariscono bene ciò che il GDPR, fin dall’inizio, chiede ai gestori di siti e app e che, dallo scorso 10 gennaio 2022, data nella quale le stesse linee guida sono entrate in applicazione, sarà chiesto con forza anche dal Garante nell’ambito della propria attività ispettiva.

I grandi player, i gestori di siti complessi, di servizi professionali, di portali e di app con milioni di download saranno certamente in grado di studiare e applicare le linee guida in autonomia. I tantissimi gestori di siti aziendali, le microimprese e la galassia di piccole app presenti negli store saranno in forte difficoltà e, a questo scopo, ho preparato questa guida e qualche utile consiglio.

Mettersi in regola con i cookie: i deversi approcci

Il primo consiglio è la base della sopravvivenza informatica e il cardine della protezione dei dati personali: fai solo ciò che sai fare. Tuffarsi nella realizzazione di ciò che non si è in grado di governare, anche se entusiasmante, potrebbe rivelarsi disastroso. Trattare i dati richiede cautela e non si può sperare di fare la cosa giusta senza competenza ed esperienza. Chi desidera vivere nuove ed entusiasmanti avventure informatiche dovrebbe affiancarsi una guida, un consulente, un tecnico, un legale, un DPO.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Probabilmente molti gestori di siti web e di app hanno saltato questo passaggio e si trovano a dover rimediare ora e a dover intervenire con urgenza. Ma da dove è preferibile cominciare?

Il lavoro di messa a norma potrebbe essere strutturato in diversi modi, ottenendo risultati abbastanza distanti tra di loro. Ecco in sintesi alcuni dei possibili approcci.

L’approccio del guru ai cookie

Aziende strutturate e competenti, con il pieno governo dei propri sistemi informativi, sapranno gestire ogni dettaglio dei propri siti web, delle Intranet e delle proprie app.

Poter contare su collaboratori capaci di programmare i sistemi, di realizzare qualsiasi desiderio della direzione e di mettere mano ai codici più complessi è certamente lo scenario preferibile, ma è anche una situazione piuttosto rara nel panorama imprenditoriale Italiano.

Questa guida non è di alcuna utilità per i Guru della protezione dei dati personali.

L’approccio del guru malvagio

Esistono aziende con elevate competenze e una visione spregiudicata del business ed incuranti del diritto alla protezione dei dati personali: non saranno certamente interessate a questa guida. Il loro approccio, come capita spesso oltreoceano, è quello di considerare i dati un bene da accumulare e sfruttare, un asset aziendale.

È facile riconoscere queste aziende perché il cookie banner è un concentrato di sofisticate tecniche di persuasione e condizionamento, mistificazione e raggiro dell’utente (dark pattern).

Questi player sono ben consapevoli dei requisiti previsti dal GDPR ma scelgono di applicarli in modo peculiare, con interpretazioni autarchiche, insostenibili e decisamente sbilanciate, ben oltre il limite del lecito. Avrei giusto in mente alcuni nomi ma lascio al lettore il piacere di individuare questi geni del crimine.

Il bandito impenitente

La strategia che, temo, alcuni adotteranno, anche per mancanza di competenze tecniche, è quella della sistemazione cosmetica: curare bene ciò che appare, senza alcuna modifica dei meccanismi sottostanti.

Cambiare visivamente un cookie banner, aggiungendo la X (di cui diremo più avanti), cambiare i testi, rassicurare l’utente che “We take your privacy seriously!” non aiuterà ad adempiere alla norma di legge.

Chiunque pensi di applicare la normativa, simulando gli elementi visuali che caratterizzano le indicazioni del Garante, senza però modificare il reale funzionamento dei siti o delle app, rimarrà fortemente deluso e avrà sprecato tempo e denaro: nessun utente sarà stato tutelato, nessuna responsabilità sarà stata gestita, nessun rischio sarà stato mitigato.

Probabilmente, al contrario delle aspettative, la situazione e la responsabilità sarà peggiorata dal fatto di aver dissimulato un trattamento per indurre determinati comportamenti, cercando di ingannare i visitatori.

Lo sprovveduto fiducioso

Molti piccoli titolari di siti web cercheranno soluzioni semplici, economiche e rapide. Sicuramente possono appoggiarsi a soluzioni di adeguamento professionali, tuttavia saranno molto più numerose, economiche ed ammiccanti le proposte di soluzioni truffa.

Affidarsi a pacchetti all-in-one, plugin e servizi di terzi è un rischio e occorrerà valutare molto bene i propri partner, i servizi acquistati e, con un’ottica maliziosa, riuscire a scovare tutti i problemi nascosti che queste soluzioni possono comportare.

Non è possibile, in questa sede, analizzare tutti i provider di soluzioni di adeguamento, tuttavia potrebbe essere utile una lista dei problemi, frequentemente trascurati, che meritano attenzione:

  1. il provider acquisisce dati di traffico? Se si, allora deve essere qualificato ai sensi del GDPR e la condivisione dati va regolamentata, come si fa per ogni responsabile del trattamento. Capita spesso che il provider, installando sul nostro sito un banner, immagini, video o altri elementi, acquisisca dati di traffico, riuscendo cioè a vedere gli indirizzi IP dei visitatori che accedono al nostro sito e che, facendo questo, visualizzano elementi del provider. Questa condivisione, all’apparenza innocua, è spesso intenzionalmente e, altrettanto spesso, monetizzata. I dati di traffico permettono di profilare l’utenza e di fornire i dati necessari per la pubblicità mirata e il RTB o altri trattamenti finalizzati al marketing, senza che questi siano resi visibili, consensati o evitabili. In realtà, al provider, interessano i metadati di collegamento. Tali soluzioni, in estrema sintesi, permettono di profilare tutti gli utenti (in realtà i terminali, identificati con indirizzo IP o con altre tecniche di fingerprinting) che hanno visitato un determinato sito che, se tematico, qualifica e profila l’utenza. Chi visita siti sui gatti sarà un ottimo destinatario per pubblicità di cibo per gatti. Lo stesso si può dire per chi visita siti tematicamente rilevanti: dentisti, avvocati giuslavoristi, consulenti finanziari, ristoranti, assicurazioni, palestre, siti di incontri ecc.;
  2. il provider ci certifica che è tutto a norma? Fidarsi è bene ma non fidarsi è meglio. Non esistono certificazioni in questa materia e ogni soluzione potrebbe essere adeguata in un contesto e non a norma in un contesto differente. Occorre sempre considerare la situazione in modo globale e con competenza tecnica e giuridica. Ogni soluzione dovrebbe essere valutata prima di essere implementata;
  3. il provider dice che è tutto a posto? Trattandosi di un servizio destinato alla compliance e che, potenzialmente, mette a rischio la riservatezza dei dati, è necessario che il provider documenti ogni dettaglio di ciò che realizza per noi. Se tutto si è svolto a distanza, con un veloce acquisto online, senza scambiare tediosa documentazione che nessuno mai leggerà… beh, c’è il forte sospetto che manchi qualcosa e che, nel momento in cui sarà necessario dimostrare di aver adempiuto correttamente, non avremo strumenti a nostro favore. Ogni provider professionale deve essere esperto, strutturato, pronto. La richiesta di documentare gli aspetti di compliance del prodotto non possono essere visti come una seccature né come un maggior onere. La documentazione contrattuale deve già esistere, il provider deve essere qualificato come autonomo titolare o come responsabile del trattamento e deve dare adeguate garanzie di competenza rispetto alla norma che ci sta aiutando a rispettare.

Il realista affaccendato

L’approccio corretto, come spesso accade, è rimboccarsi le maniche e fare ciò che va fatto.

La varietà degli scenari ipotizzabili non mi permette di scrivere una guida definitiva, valida per tutti e direttamente applicabile. È tuttavia possibile dare una mano a chi si appresta ad apportare modifiche ai propri sistemi o che sta per commissionare tali modifiche ai propri fornitori di fiducia.

Gli elementi da considerare abbastanza ricorrenti e, con molta modestia e con la necessaria indulgenza rispetto ai tecnicismi, è possibile raggiungere un livello di serenità adeguato, confortati dall’aver preso in considerazione ogni aspetto rilevante.

Le Linee guida del Garante Privacy sui cookie

Il Garante per la Protezione dei Dati Personali, in una notte di mezz’estate, ha pubblicato una corposa linea guida in materia di Cookie e altri strumenti di tracciamento.

Il testo è decisamente completo, lungo, molto tecnico e non è innovativo: ripercorre con estrema precisione e coerenza ciò che il GDPR già prevede. In altri termini, il Garante non introduce nuovi obblighi.

La disciplina non è cambiata, le linee guida cercano di supportare i gestori di siti ed app al fine di garantire un modello applicativo condivisibile e sostenibile.

L’approccio del Garante è di carattere generale, non entra nello specifico di singole situazioni ed è adatto a disciplinare un tema complesso che può essere declinato in molti modi a seconda del sito, della App, del servizio di riferimento. Spesso, piccole differenze di contesto, determinano enormi distanze in merito all’adempimento o alle misure da adottare per realizzare un trattamento coerente con i requisiti previsti dal GDPR.

Le linee guida includono un allegato che ne chiarisce, in sintesi, i punti di maggiore interesse. Recentemente è stata pubblicata anche un’infografica esplicativa.

Il Garante ha stabilito un grace period di 6 mesi dalla pubblicazione in Gazzetta Ufficiale e la scadenza è ormai giunta con la prima decade di gennaio 2022.

Cookie: cosa si può fare, cosa no, come mettersi in regola

In estrema sintesi, come dovrebbe essere il cookie banner di un sito per contenere tutti gli elementi indicati dal Garante?

Non esiste il cookie banner perfetto, adatto a tutte le situazioni e occasioni. Non è nemmeno possibile essere a norma facendo un copia-incolla da un altro sito o da una guida come questa.

Abbandonata l’ipotesi della soluzione pret-a-porter, propongo una guida metodologica per procedere alla messa a norma.

Mi permetto una considerazione generale: prima di avventurarsi in improbabili soluzioni costruttive, nel senso che vanno ad aggiungere livelli di complessità a sistemi già enormemente pasticciati e stratificati, potrebbe essere una buona idea riconsiderare l’effettiva utilità dei tracciatori in uso. Con un’analisi obiettiva, si potrebbe scoprire che la maggior parte dei dati che trattiamo non ci servono, che non hanno una effettiva utilità pratica, che i colorati grafici generati dai sistemi analytics sono utili solo alla nostra curiosità ma non si sono mai tradotti in migliorie e razionalizzazione dei sistemi. In questi casi è preferibile semplificare, rinunciare ai dati, rimuovere il trattamento piuttosto che dedicare risorse alla sua messa a norma.

Se tutto ciò che facciamo è necessario, allora dobbiamo metterlo a norma.

Per ogni sito è necessario partire dall’inventario dei trattamenti e dalla loro precisa definizione. Questo passaggio è fondamentale per riuscire ad individuare l’elemento fondamentale per costruire il cookie banner.

I gruppi omogenei di trattamento

Tutti i trattamenti possono essere raggruppati in modo da poter chiedere al visitatore un consenso per l’intera famiglia di trattamenti. Questa semplificazione è prevista dalla norma e richiamata dal Garante e rappresenta il giusto compromesso tra la specificità del consenso e la gestibilità di una interfaccia di selezione delle differenti opzioni.

Con una buona approssimazione, possiamo elencare i gruppi omogenei di trattamento di uso comune nella maggior parte dei siti:

GRUPPO OMOGENEO DI TRATTAMENTO

Richiede il consenso?

Note

Trattamenti di tipo tecnico, necessari per il funzionamento del sito.

NO

Attenzione a identificare in modo corretto i trattamenti effettivamente tecnici ed effettivamente necessari.

Cookie analytics di prima parte (applicazioni interne al sito) e equiparati (analytics di parte terza con dati opportunamente offuscati).

NO

Verificare che il sistema utilizzato non si avvalga dei server di un terzo (produttore). Nel caso di alcuni plugin, l’apparenza della funzione di prima parte è, in realtà, appoggiata a server di parte terza.

Cookie analytics di parte terza, come Google Analytics, Facebook Analytics, Hotjar, Flurry, InMobi, eccetera.

SI

Rientrano anche le funzioni di crash reporting tipiche di molte app.

Attenzione, alcuni servizi (come hotjar) possono essere configurati in modi differenti, limitando le funzioni a semplice analytics oppure attivando funzioni evolute che li fanno rientrare nelle altre casistiche.

Trattamento per il login semplificato mediante credenziali di social network (facebook, instagram, ecc.) o credenziali di altri provider come Google (Auth0).

SI

implica una condivisione di dati con terze parti.

Trattamenti di profilazione di prima parte, effettuata dal gestore e finalizzata alla personalizzazione dei contenuti.

SI

Questo non può essere considerato un trattamento tecnico o necessario.

Trattamenti di profilazione per finalità di marketing, tipicamente in contitolarità con terzi.

SI

Esteso

Spesso i network di advertising e di monetizzazione del traffico implicano questo trattamento. es. RTB.

Trattamento di condivisione dei dati con terzi, per finalità ignote al gestore del sito.

SI

Esteso

Il Consenso ESTESO implica la possibilità per l’utente di vedere TUTTI i soggetti destinatari della condivisione e di poter acconsentire (o negare il consenso) in modo differenziato per ciascuno di essi.

Presenza di chiamate esterne, immagini su server di terzi, funzioni evolute che implicano la condivisione di dati di traffico con il provider.

SI

Rientrano in questa casistica anche i pulsanti di condivisione social, le funzioni relative ai FONT come Google font, Autenticazione tipo Captcha, ecc.

Geolocalizzazione.

SI

Può essere un consenso chiesto solo nel momento in cui la funzione viene attivata, per esempio, nella pagina che include la mappa o la ricerca geografica di prossimità.

Fingerprinting.

SI

Il tracciamento passivo è invisibile all’utente e non genera cookie ma deve essere dichiarato e richiede il consenso.

Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia la tecnica che permette di identificare il dispositivo utilizzato tramite la raccolta di informazioni relative alla specifica configurazione del dispositivo stesso.

CMS di provider come IAB e simili.

SI

Alcuni provider propongono soluzioni per la gestione dei cookie banner e dei consensi che incorporano liste di condivisione a fine di Marketing. Attenzione, si veda nota specifica.

Cookie banner: come mettersi in regola

Il cookie banner può variare per forma, colori, dimensioni, tuttavia alcune caratteristiche paiono necessarie.

Il garante non identifica una soluzione ideale, anzi, prevede la totale libertà di ogni titolare nella definizione delle modalità di adempimento, tuttavia pare ragionevole allinearsi alle indicazioni delle linee guida che rappresentano un elemento condiviso e consigliabile al fine di superare eventuali verifiche ispettive.

Ecco gli elementi che il cookie banner dovrebbe contenere:

  1. link all’informativa completa, riportato anche nel footer di ogni pagina;
  2. informativa sintetica direttamente espressa all’interno del cookie banner;
  3. pulsante X di chiusura (senza consenso) in alto a destra;
  4. pulsante per accettare tutto e dare il proprio consenso ad ogni trattamento proposto;
  5. avviso che la chiusura del banner o lo scroll della pagina corrisponde a non dare alcun consenso e che, quindi, nessun cookie viene attivato, ad eccezione di quelli per i quali il consenso non è richiesto;
  6. tutti i pulsanti di consenso devono essere su OFF, in modo da evidenziare l’assenza del consenso e, se selezionati, registrare il consenso dell’utente per lo specifico gruppo omogeneo di trattamento;
  7. non devono essere presenti pulsanti di selezione attivi da deselezionare per opporsi al trattamento. Ciò accade per i trattamenti basati sul legittimo interesse come, a titolo di esempio, il soft spam previsto dall’art 130 del codice privacy (pubblicità verso propri clienti su prodotti affini a quelli già acquistati). Questi trattamenti prevedono un OPT-OUT, cioè una opposizione, non prevedono un opt-in, cioè un consenso;
  8. per gli utenti di ritorno sul sito, deve essere presente l’opzione per rivedere e modificare le proprie scelte, possibilmente nel footer di ogni pagina.

Alcuni elementi necessari non sono visibili nel banner, hanno una natura più tecnica e devono essere implementati nel funzionamento del server (o dell’app, o nel comportamento del browser).

In pratica, vi sono elementi che si traducono in impostazioni di sistema come la durata di 6 mesi dei cookie, il fatto che i cookie o gli strumenti di tracciamento siano attivi solo dopo il relativo consenso, che la pagina dell’informativa sia accessibile e non presenti tracciatori, che il fatto di proseguire nella consultazione del sito o della pagina non sia considerato consenso implicito, che i cookie non siano obbligatori per l’accesso al sito e via dicendo.

Nel cookie banner dev’essere presente l’informativa sintetica. Questa rappresenta una vera e propria sfida per chiunque poiché la completezza richiederebbe spazio, la sintesi favorisce i tecnicismi e tutto questo rende sempre meno intelligibile il contenuto dell’informativa all’utente medio. Anzi, per realizzare una buona informativa non bisognerebbe avere come punto di riferimento l’utente medio, bensì l’utente più svantaggiato: il minorenne, l’anziano, la persona poco istruita o alloglotta, chi ha difficoltà di percezione visiva finanche alla difficoltà di comprensione.

Nei box sottostanti propongo due testi che possono essere utilizzati come base di partenza per sviluppare la propria informativa semplificata.

Come realizzare un’informativa a norma

L’informativa estesa dovrebbe essere il primo tra tutti gli elementi ad essere studiato, preparato, ben scritto, migliorato, ampliato, aggiornato e curato come se non ci fosse un domani.

In effetti, l’informativa è l’elemento cardine per la compliance di un sito, di un’app o di un trattamento in generale e non può essere sintetizzata nello spazio disponibile nel cookie banner. Questo singolo elemento meriterebbe ben più di un paragrafo e, di certo, non posso qui essere esaustivo sull’argomento.

Sempre in ottica di supporto pratico, desidero evidenziare che un’informativa pronta, precompilata, proposta standard da un provider terzo, inclusa in un prodotto commerciale o copiata da un altro sito, ben difficilmente potrà essere adeguata al caso concreto ed escluderei che possa essere d’aiuto ai fini del corretto adempimento del GDPR.

Gli elementi essenziali da ricomprendere nell’informativa sono ben dettagliati nella norma.

Evidenzio in grassetto i contenuti che risultano più complessi e che meritano particolare attenzione con riferimento ai cookie e ai tracciamenti frequentemente in uso:

  • l’identità e i dati di contatto del titolare del trattamento;
  • i dati di contatto del DPO (responsabile della protezione dei dati, ove nominato);
  • tutte le finalità di ogni singolo trattamento trattamento e, per ciascuna di esse, la base giuridica di legittimità;
  1. Finalità frequentemente riscontrate nell’uso di tracciatori: profilazione, analytics, marketing, attività diagnostica e gestione di errori e malfunzionamenti, miglioramento dei contenuti, ottimizzazione delle risorse, finalità tecniche di funzionamento del sito, memorizzazione delle preferenze utente, mantenimento del carrello e delle opzioni selezionate per le future visite, agevolare il login, prevenire utilizzi illeciti di un servizio.
  • se la base giuridica fosse il legittimo interesse, questo va esplicitato e dettagliato
  1. il legittimo interesse va utilizzato con molta cautela poiché è una base di legittimazione insidiosa e facilmente fraintesa. La pubblicazione del sito è spesso basato sul legittimo interesse, difficilmente può esserelo anche la profilazione e l’analisi dei dati di traffico.
  • se il trattamento riguarda dati personali particolari (sensibili) va dettagliato il caso esimente dal generale divieto di trattamento previsto dall’art. 9 del GDPR
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  1. Utilizzare plugin e servizi di terzi implica la comunicazione dei dati con questi soggetti. L’elenco aggiornato deve essere presente nell’informativa.
  • l’eventuale intenzione di trasferire dati personali a un paese terzo
  1. Utilizzare Google, Facebook e altri grandi provider implica il trasferimento dei dati in un paese terzo, USA. Questo, oltre ad essere problematico rispetto alla sentenza Schrems II, richiede un’integrazione dell’informativa e probabilmente il consenso dell’utente.
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • dettagli sul diritto e modalità di revoca del consenso, qualora venga usato come base di legittimazione
  • il diritto di proporre reclamo al Garante Privacy;
  • se la comunicazione di dati personali è necessaria, le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  1. La profilazione dell’utente e lo studio dei suoi comportamenti online è certamente un processo decisionale automatizzato e deve essere completamente descritto nell’informativa. Questa descrizione deve essere scritta con l’ottica dell’interessato.

Il Garante prevede che l’informativa generale possa includere inoltre tutti i dettagli tecnici relativi ai cookies e agli strumenti di tracciamento. Dato che questi elementi sono particolarmente tecnici e richiedono una competenza minimale per essere compresi, si raccomanda di presentare le informazioni in modo da agevolare la fruizione e la comprensione da parte di chiunque possa visitare il sito o utilizzare la App.

Ecco un esempio di come si potrebbe riportare un contenuto particolarmente ostico relativo ai cookie:

Conoscere i cookie utilizzati dal sito

Per scrivere questa parte dell’informativa, consiglio una veloce analisi di ciò che il sito fa realmente e di quali cookie utilizza, quali chiamate esterne prevede e quali condivisioni dati sono rilevabili. Uno dei migliori strumenti, che chiunque può utilizzare, è il sito webbkoll.

Qui, semplicemente inserendo l’indirizzo internet del sito che si desidera analizzare, è possibile verificare cosa accade accedendo come visitatore, vedere quali e quanti cookie sono in uso e poter eventualmente accorgersi di anomalie e stranezze di cui non si era perfettamente consapevoli.

A titolo di esempio, questa è l’analisi (gennaio 2022) del sito del Governo Italiano:

  • 3 cookie di prima parte di cui uno con durata eccessivamente lunga, 13 mesi:

  • 9 condivisioni esterne da 4 provider differenti:

L’analisi evidenzia l’utilizzo di Google Fonts e, di conseguenza, ogni utente che visita il sito è profilato da Google che ne ha notizia. Questa condivisione, in particolare, è evitabile perché i font possono facilmente essere localizzati sul server che ospita il sito, senza richiedere, ad ogni connessione, la condivisione di informazioni con il provider.

Le ultime due chiamate esterne sono due distinti sistemi di analytics, entrambi di parte terza ed entrambi implicano la condivisione di tutti i dettagli di ogni visita sul sito: quali pagine sono lette, per quanto tempo, il percorso effettuato, permettendo una profilazione molto dettagliata di ogni utente. La condivisione avviene verso server statunitensi pertanto in violazione della sentenza Schrems II (ma questa è un’altra storia).

La particolarità di questi tracker consiste nel fatto che le informazioni messe a disposizione del gestore del sito, il cliente, sono spesso aggregate, non arrivano al dettaglio del singolo visitatore quindi sono abbastanza offuscate se non addirittura anonime. Il provider della tecnologia, almeno nel caso di Google Analytics, dispone di un dettaglio estremo dei dati personali generati o condivisi dai singoli visitatori e questi saranno utilizzati, successivamente, per finalità proprie, delle quali l’utente non ha visibilità né controllo.

Confrontando questa sommaria analisi con il cookie banner del medesimo sito è molto facile constatare quali siano le modifiche necessarie.

Cookie: come mettere in regola il proprio sito web

Spesso i siti aziendali sono sviluppati con piattaforme come WordPress, Wix, Google sites, Shopify, Weebly, Joomla, Drupal, WooCommerce, Magneto, Blogger e tante altre piattaforme. A questi si associano spesso plugin, add-on ed estensioni per arricchire le funzionalità e personalizzare i contenuti.

L’utente medio non governa gli aspetti tecnici sottostanti, si limita ad installare la piattaforma, configurare gli elementi grafici, popolare i contenuti ed aggiungere, in modo alluvionale, i plugin più disparati.

Probabilmente, per rispettare le linee guida del Garante sui cookie, la prima idea per molti sarà aggiungere un altro plugin che promette di farci diventare compliant al GDPR. Basta una breve ricerca per trovarne decine e il numero delle installazioni è spesso impressionante. Attenzione, una delle implicazioni di questi plugin è, purtroppo, la condivisione dei dati di traffico con soggetti terzi. Praticamente l’esatto contrario di ciò che si intendeva e doveva realizzare.

Esistono chiaramente ottimi plugin che razionalizzano i cookie, permettono di visualizzare una cookie banner con gli elementi necessari, consentono di personalizzare i testi e scrivere cose che abbiano un senso per il proprio sito, nonché di gestire efficacemente i consensi.

Purtroppo ben pochi plugin riescono ad impedire che i cookie (sia della piattaforma che degli altri plugin installati) siano utilizzati prima che l’utente abbia manifestato il proprio consenso. Da una prima sommaria analisi, la massima parte dei plugin propone soluzioni che non rispondono ai requisiti del GDPR e del Garante. Affidarsi ad una di queste soluzioni rischia di ingigantire il problema, aumentando le violazioni e, contemporaneamente, dando la falsa impressione di aver sistemato tutto a dovere.

Prima di installare una soluzione di questo tipo è bene verificare con un esperto l’adeguatezza del prodotto rispetto alle aspettative e alla normativa.

La gestione dei cookie in una intranet

I cookie, i tracciatori e ogni strumento di tracciamento, anche se attivi su una rete interna ad una azienda e non accessibili da chiunque ma solo da un ristretto numero di soggetti, rientrano a pieno titolo nell’ambito di applicazione delle linee guida del Garante sui cookie.

Anche se la intranet aziendale ha una funzione puramente operativa e l’accesso è riservato ai dipendenti o ai collaboratori, i cookie e gli strumenti di tracciamento devono essere gestiti secondo le indicazioni del Garante: devono essere descritti nell’informativa, attivati unicamente dopo l’espressione di un consenso, limitati a ciò che è effettivamente necessario. Unica eccezione, come sempre, le funzioni tecniche necessarie che non richiedono consenso e, di conseguenza, nemmeno il cookie banner.

Probabilmente, questa pare una brutta notizia, anche perché, trattandosi di un sistema chiuso, interno e riservato, ci si potrebbe aspettare una forma di semplificazione.

Al contrario, non solo non esistono semplificazioni, ma si incontrano addirittura delle complicazioni.

Il fatto che l’interessato, cioè la persona di cui trattiamo i dati, sia un lavoratore richiede l’applicazione, oltre che del GDPR, anche dello statuto dei Lavoratori e, con esso, delle norme che disciplinano il controllo a distanza.

Questa valutazione riguarda certamente i cookie e ogni altra tecnologia di tracciamento presente nella intranet oppure nella App aziendale in uso al personale. In questa sede accenno solo al fatto che questi strumenti, se non necessari per rendere la prestazione lavorativa, sono soggetti ad autorizzazione e, in mancanza, possono qualificare illeciti di tipo penale che si aggiungono alle sanzioni previste dal GDPR.

La gestione dei cookie in un’app

Le App commissionate a sviluppatori esterni potrebbero non essere completamente documentate e potrebbero non essere visibili molte delle funzionalità tecniche che presuppongono strumenti di tracciamento o condivisione dati.

Anche app sviluppate internamente potrebbero “ereditare” strumenti di tracciamento indesiderati, invisibili ma inscindibili dall’ambiente di sviluppo.

Il primo passo potrebbe essere la verifica di ciò che la App contiene. Esistono semplici e potenti tool online che possono dare una prima idea del numero e della tipologia dei tracciatori inclusi in una app.

A titolo di esempio, il sito Exodus permette di analizzare le app Android e scoprire cosa è celato al loro interno. Le informazioni ottenute saranno preziose per programmare le attività di messa a norma.

Ecco alcuni esempi casuali relativi a tre note applicazioni diffusamente utilizzate in Italia:

Just Eat

Popolare servizio di home delivery

Analisi su Exodus

Illimity

Banca online

Analisi su Exodus

Radio24

Emittente radiofonica privata

Analisi su Exodus

13 tracker riportati

8 tracker

10 tracker

Adjust

analytics

Braze (formerly Appboy)

analytics advertisement location

Facebook Analytics

analytics

Facebook Login

identification

Facebook Share

Google Analytics

analytics

Google CrashLytics

crash reporting

Google Firebase Analytics

analytics

Google Tag Manager

analytics

Huawei Mobile Services (HMS) Core

analytics advertisement location

Instabug

crash reporting

Optimizely

analytics

Snowplow

analytics

Adjust

analytics

AppsFlyer

analytics

Facebook Flipper

analytics

Google Analytics

analytics

Google Firebase Analytics

analytics

Google Tag Manager

analytics

Huawei Mobile Services (HMS) Core

analytics advertisement location

Facebook Analytics

analytics

Facebook Login

identification

Facebook Places

Facebook Share

Gigya

analytics

Google AdMob

advertisement

Google Analytics

analytics

Google CrashLytics

crash reporting

Google Firebase Analytics

analytics

Google Tag Manager

analytics

Sono presenti molti tracciatori di terzi con finalità di Analytics, molti dei quali acquisiscono dati personali e li condividono con soggetti terzi. Questi devono essere rimossi oppure attivati unicamente previo esplicito consenso dell’utente.

I tracker con finalità di marketing richiedono un distinto e separato consenso e anche questi sono utilizzabili unicamente se l’utente esprime il proprio consenso.

I tracciatori finalizzati al crash reporting potrebbero essere considerati strumenti tecnici e , con le opportune garanzie, potrebbero essere semplicemente documentati ma non chiedere consenso.

Una App per l’acquisto di cibi e il delivery permette di trattare dati comuni come nome, cognome, indirizzo, importo pagato, giorno e ora della consegna;

ma anche dati sensibili come: cibo kosher, cibo halal, cibo senza glutine, intolleranze varie ecc..

Questi dati, se trattati, richiedono ulteriori adempimenti ed un distinto e specifico consenso. La difficoltà maggiore potrebbe essere evitare che i tracciatori (o i cookies) trattino anche questa categoria di dati.

La app di una banca online, utilizzata per autenticare gli accessi ad approvare ogni transazione, deve distinguere nettamente le funzioni necessarie al proprio funzionamento dalle funzioni accessorie. Il provvedimento del Garante impone, anche a questa App, di disattivare ogni funzione non tecnicamente necessaria e, per attivarla, chiedere uno specifico ed informato consenso a ciascun proprio utente/correntista.

Finalità di analytics sull’uso della app non sono in alcun modo identificabili come necessarie, specialmente se sono effettuate tramite servizi esterni che, quindi, condividono tali dati con Google e Facebook.

Le finalità di marketing, come evidenziate nell’ultimo tracker, difficilmente possono essere definite necessarie, a stento paiono opportune nell’ambito di una App di banking online.

In questo contesto, la trasparenza e la comprensibilità dell’informativa, le modalità di conferimento del consenso e l’assenza di trucchetti grafici (dark pattern) diventano critiche e determinanti per l’adempimento rispetto alle linee guida del Garante.

La app è nata per profilare l’utenza, studiarne abitudini, preferenze, gusti, per elaborare dettagliate analisi sul gradimento di programmi e di contenuti trasmessi.

Queste finalità diventano evidenti osservando il numero e la tipologia di tracker presenti.

Il ricorso a provider esterni (Google Facebook Gigya) comporta la condivisione dei dati e, soprattutto, l’interconnessione con database esterni e, di conseguenza, l’arricchimento dei profili utente.

Questi trattamenti, anche se connaturati alle finalità originarie, non possono essere definiti necessari e non possono essere attivati senza un espresso e specifico consenso dell’utente.

In questo caso, per esempio, all’utente deve essere data la possibilità di escludere la condivisione dei dati con Google, con Facebook, con Gigya, a proprio insindacabile giudizio e piacimento.

Questo non impedisce ovviamente che, se l’utente acconsente, ogni aspetto dell’uso della app possa essere analizzato, registrato, condiviso, monetizzato e utilizzato per le finalità dichiarate.

Regole cookie per le e-mail con tracciamento di lettura messaggi

Chiunque abbia un client di posta desidera una funzione per verificare la ricezione delle email. Questa funzione effettivamente c’è, è gestita da ogni programma di posta elettronica ed è molto rispettosa della privacy del destinatario che può scegliere, a proprio piacimento e per ogni messaggio, se inviare o meno la ricevuta di lettura. Si tratta di una cortese richiesta, nulla di più.

Naturalmente spesso questo non è sufficiente e si è tentati di avventurarsi nell’insidioso terreno dei sistemi evoluti di tracciamento delle email.

Sono servizi che permettono di monitorare l’effettiva ricezione dei messaggi di posta elettronica e, generalmente, utilizzano un sistema molto semplice: nei messaggi viene incorporato almeno un elemento grafico univoco (anche invisibile) residente su un server esterno. Aprendo l’email l’elemento sarà visualizzato, generando traffico che sarà registrato ed analizzato. In breve, si tratta di un semplice strumento di tracciamento, esattamente come quelli descritti dal Garante Privacy nelle linee guida sui Cookie e, di conseguenza, soggetto alle medesime regole.

La complicazione sta nel fatto che in una email non si può inserire un cookie banner, non si può dare al destinatario la possibilità di manifestare il consenso al tracciamento e, certamente, le finalità maliziose sottese a questi sistemi sarebbero compromesse se diventassero palesi.

E’ certamente vero che ogni client di posta permette di disabilitare il caricamento dei contenuti remoti, bloccando il funzionamento dei tracciatori grafici, tuttavia il Garante non ammette questa come una possibilità per adempiere a quanto richiesto dal GDPR. Anche questo trattamento richiede che il mittente acquisisca il consenso libero, preventivo, espresso, esplicito, inequivocabile, specifico ed informato da parte del destinatario delle email.

In ambito commerciale si potrebbe ipotizzare una gestione separata del consenso, informando i propri clienti/fornitori e documentando in modo opportuno. In questo caso, tuttavia, questi sistemi di tracciamento non potranno essere utilizzati verso i destinatari che non abbiano espresso il proprio consenso. Ancora una volta, si rischia di mortificare la funzionalità dell’intero meccanismo.

Questi sistemi di monitoraggio possono trovare spazio negli invii periodici a sottoscrizione volontaria: newsletter, sistemi informativi, Direct Email Marketing, email collegate a landing page e simili. In questi ambiti è ipotizzabile che, all’atto dell’iscrizione al servizio, l’utente possa essere informato e possa esprimere il proprio consenso al trattamento che si intende effettuare, incluse le funzionalità analitiche del traffico, del numero di aperture e dei dettagli di tempo e luogo oltre che di elementi tecnici di fingerprinting, degli eventuali forward e condivisione dei messaggi, delle interazioni con la landing page, eccetera.

In questi ambiti è effettivamente realizzabile un cookie banner, un popup, lo spazio per un’informativa, una serie di caselle di selezione che permettano di adempiere alle linee guida del Garante e ai requisiti del GDPR.

Conclusioni

Il GDPR, e di conseguenza il Garante stesso, solo all’apparenza sembrano porre dei limiti alla fantasia e all’imprenditorialità. In realtà la norma è estremamente liberale e permissiva: in ultima analisi, chiede solo di essere onesti, trasparenti e agire in buonafede, considerando i dati personali degli utenti come una responsabilità che ci si accolla e non come un bene da accumulare.

Lascia la possibilità di fare qualsiasi cosa, purché lo si faccia per una finalità precisa, predeterminata e condivisa e nel rispetto di pochi, semplici principi che, a onor del vero, nessuno può giudicare come irragionevoli, complessi, esoterici o sbilanciati.

Chiedere di saper governare e di documentare le proprie scelte e le proprie azioni non è scandaloso, non è particolarmente oneroso e, provandoci, ci si rende conto velocemente che il titolare del trattamento è il soggetto che ne trae maggior beneficio.

Il provvedimento del Garante sarà presto affiancato dall’enforcement: ispezioni e provvedimenti che, seppur punitivi nei confronti di chi ha commesso illeciti, saranno di grande aiuto per tutti nell’attività quotidiana di gestione di siti web, di app, nella redazione di informative e, più in generale, nel difficile percorso di messa a norma rispetto al GDPR.

Concludo con un pensiero personale: a volte i dettagli fanno la differenza e basta una virgola per cambiare tutto. Citando Pat Walshe @PrivacyMatters, “We take your privacy seriously!” facilmente può diventare “We take your privacy, seriously!”.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2