GDPR status quo della stampa online in Italia

GDPR status quo della stampa online in Italia

Quale è lo stato di avanzamento dei lavori circa l’adeguamento al GDPR dei maggiori quotidiani italiani?

Una buona domanda, no?
Mancano appena 48 ore. Si saranno adeguati già tutti! O almeno i più grossi…
Per prima cosa, facciamo un bel giro sul sito del Garante della Privacy. Non sia mai che proprio quel sito…
No, traquilli, il Garante è stato attento!
In verità, arrivati sulla home page del sito non ci viene presentata alcuna richiesta di approvazione sull’utilizzo dei cookie. Questo fa pensare decisamente al peggio. Ma osservando poi l’elenco dei cookie creati dal sito, scopriamo che ne vengono salvati soltanto due: quelli di sessione. Tutto assolutamente regolare. O meglio… quasi tutto. Sarebbe infatti decisamente auspicabile che il sito del Garante implementi un sistema di cifratura end-to-end di tipo TLS o SSL e che reindirizzi automaticamente lì tutte le richieste. Invece, come possiamo osservare dallo screenshot, il sito viaggia su HTTP standard. Bisogna però anche dire che non sembra esserci un’area riservata, ossia un luogo accessibile solo a utenti autenticati. In quel caso sarebbe stato quasi obbligatorio viaggiare in HTTPS, quindi la mancanza di TLS/SSL non dovrebbe essere, in effetti, un grosso problema… Tuttavia anche su questo blog che stai leggendo gli utenti non si possono registrare… eppure viaggia tutto su HTTPS 😉
GDPR Garante della Privacy

Passiamo quindi ai nostri giornali…
Avete presente quando si ha la netta sensazione che nessuno abbia capito nulla di un certo regolamento?
Ecco, è la sensazione che provo io quando penso al GDPR. Entrerà in vigore in tutta Europa tra poche ore e ho la forte sensazione che in pochi, molto pochi, troppo pochi abbiano compreso di quale cataclisma si stia parlando.
Ma le sensazioni sono soltanto sensazioni. Senza riscontri pratici, restano fumose e poco utili.
Così, preso da questa profonda “sensazione”, ma in assenza di dati certi, mi sono fatto un giro sui siti web dei maggiori quotidiani italiani alla ricerca dei… dati 🙂
Risultato?
TRAGEDIA!
ASSOLUTA TRAGEDIA!
A poche ore dall’entrata in vigore di una normativa così stringente, i nostri quotidiani sono completamente NOT COMPLIANT!
Vi faccio ripercorrere insieme a me, il percorso che ho fatto alla scoperta del… non compliant.
Per prima cosa ho scelto l’elenco dei quotidiani che volevo visitare/controllare.
Per non sapere né leggere né scrivere, mi sono fatto dare l’elenco direttamente dal Ministero degli Esteri 🙂
Sul sito del Ministero, esiste una pagina ufficiale che elenca, in ordine alfabetico, le principali testate italiane. Sono ben 29! Un po’ troppe! 😀
Ho quindi cercato le 5 testate maggiormente lette. E come le ho cercate? Mi sono recato sul sito di ADS Notizie e ho effettuato una banale ricerca per marzo 2018 (al momento aprile non è ancora caricato).
Secondo ADS Notizie le prime 5 (in ordine di vendite totali) sono:

  1. Corriere della sera [218.948 copie vendute]
  2. La Repubblica [172.275]
  3. La Gazzetta Dello Sport [150.013]
  4. La Stampa [118.224]
  5. Il Messaggero [90.771]

Ho quindi iniziato a studiare i singoli siti web verificando che fosse possibile:

  1. impedire al sito di tracciarci/profilarci
  2. modificare in ogni momento la nostra decisione

Ciò è richiesto dal GDPR.

Il sito web del “Corriere della Sera”

Come possiamo facilmente osservare, il popup di colore grigio scuro sulla parte superiore della home page è ancora attivo, ossia non abbiamo eseguito alcuna azione di scelta. In mancanza di una esplicita scelta del visitatore i cookie traccianti non devono essere caricati.
Tuttavia il sito ha già scaricato le bellezza di 42 cookie!
GDPR Corriere Della Sera

Un momento però!
Prima di saltare alle conclusioni dobbiamo verificare che non siano “cookie necessari” al funzionamento del sito web stesso! Quindi vediamoli nel dettaglio.
GDPR Corriere Della Sera
Niente…
Le conclusioni erano corrette 🙁
A meno che non si vogliano dichiarare “necessari al funzionamento della pagina” i cookie di Facebook e Google… no, direi che la pagina non è compliant!
Ma la gravità della situazione non è ancora esplicitata fino in fondo.
Se infatti proviamo a scorrere la pagina, senza effettuare nessuna scelta, quello che accade è che la pagina viene ricaricata e scompare il popup grigio come se avessimo premuto sul pulsante “ok”. In altre parole il sito web del più venduto quotidiano italiano scarica implicitamente tutti i cookie senza chiedere niente al visitatore. Semplicemente scorrendo la pagina tutti i cookie traccianti vengono scaricati in automatico! Follia pura!
E non è finita qui! Sapete quanti sono i cookie che il sistema scarica senza autorizzazione? Duecentosedici! Lo riporto in lettere a scanso di equivoci!
GDPR Corriere Della Sera cookie
No, decisamente non ci siamo!
Ma non è ancora finita! Incredibile! Infatti per legge, su ogni pagina del sito web, deve comunque esserci il link alla pagina in cui è possibile leggere l’informativa e da cui deve essere possibile rimuovere le autorizzazioni.
Il link in effetti esiste (https://www.corriere.it/privacy.shtml), ma non c’è modo di rimuovere il proprio consenso. Per farlo si viene rimandati a pagine esterne di terze parti.
NO, Il Corriere della Sera è NOT COMPLIANT!
Forse una segnalazione al Garante il 25 potrebbe essere una buona idea… 😉

Il sito de “La Repubblica”

Procedo e mi sposto sul sito de “La Repubblica”.
Anche in questo caso, il famoso popup di colore grigio scuro sulla parte superiore della home page è ancora attivo, ossia non abbiamo eseguito alcuna azione di scelta.
Tuttavia il sito ha già scaricato le bellezza di 27 cookie!
GDPR LaRepubblica
Dobbiamo però verificare che non siano “cookie necessari” al funzionamento del sito web. Vediamo anche questi nel dettaglio.
GDPR LaRepubblica cookie
Ipotizzando che Facebook non sia esattamente qualcosa di necessario per un giornale… si può concludere che… la pagina carica cookie di tracciamento senza la previa autorizzazione del visitatore. E non ci siamo per niente!
Verifichiamo ora cosa accade scorrendo la pagina verso il basso…
Tadà!!!
Esattamente come per il Corriere, anche qui il popup scompare e con la sua scomparsa viene ricaricata la pagina acquisendo implicitamente il nostro consenso! Ma proprio NO!
E indovinate quanti sono ora i cookie caricati dal sito? Sono diventati ben 85!!! Si, si, avete letto bene: ottantacinque! 😀
E tutti senza la benché minima autorizzazione da parte del visitatore! Per evitare fraintendimenti di ogni tipo, chiarisco che “scorrere la pagina non può essere in nessun caso considerato come implicita accettazione delle informative”.
E se io adesso volessi cambiare tali impostazioni?
La norma dice che deve esserci su tutte le pagine del sito il link alla normativa da cui deve essere possibile modificare le impostazioni.
In coda alla pagina c’è il link all’informativa sulla privacy 🙂
E lì troviamo la possibilità di negare il consenso.
Scegliamo di negarlo e premiamo “Conferma”. Vediamo cosa accade…
GDPR LaRepubblica informativa privacy
Viene ricaricata la pagina… con ben 81 cookie!
Ahahahahahahahahahah
NO, La Repubblica è NOT COMPLIANT!

Ok, l’andazzo lo avete capito, inutile proseguire… vi annoierei soltanto.
Ci rivediamo il 25 mattina 🙂
Sarà mia premura verificare che questi “signori” (e non soltanto loro!) si siano adeguati e sarà sempre mia premura inviare n-mila raccomandate A/R nel caso non lo fossero!

Deve essere chiarissima una cosa, signori: il tempo del tracciamento selvaggio è finito.
Mettetevi l’anima in pace.
Amen.