GDPR per webmaster e siti web

GDPR sui siti web? Leggendo la normativa sembra proprio che il tempo della profilazione inconsapevole sia terminato! Senza il consenso esplicito e informato del visitatore non sarà più possibile tracciare alcunché se non in forma del tutto anonima e, quindi, inutile.

Partiamo dalla fine? Ok.
Dopo aver letto e riletto e riletto e… ok, studiato la normativa di riferimento, mi pare di poter dire che l’obiettivo finale del GDPR sia duplice: impedire il tracciamento inconsapevole delle persone e tutelarne i dati se rilasciati con consenso. Il problema è che se io (proprietario di un blog, di un e-commerce, io Twitter, io Facebook, io Google Analytics…) non posso tracciare i miei visitatori, crolla tutto il mio business perché non posso utilizzare il marketing basandomi sui dati che avevo a disposizione prima del GDPR.
Entriamo nel dettaglio con qualche esempio.
Immaginiamo il SEM o la pubblicità su Facebook o la registrazione di dati analitici tramite Google Analytics…
Il marketing tramite questi canali si differenzia pesantemente da un cartellone pubblicitario 4×6 metri nel centro di Roma per diversi motivi, ma il principale è sicuramente quello che i nostri annunci vengono mostrati esclusivamente ad un pubblico che cerca esattamente quello che noi vendiamo e che rientra in un target preciso, ad esempio: uomo, nerd, 25 anni. Come fanno Google, Facebook e Analytics a sapere a chi mostrare i nostri annunci? Tramite la profilazione! Ma profilare un utente, dopo il 25 maggio, sarà estremamente complicato. Anzi, senza un esplicito consenso… potrebbe essere impossibile. Non solo. Chi è già stato profilato in passato può richiedere di non esserlo più! 😯
Messa in questo modo si comprende meglio la portata di questo cataclisma chiamato GDPR?

Prima di leggere milioni di parole, vi lascio un… bonus! Ossia il codice JavaScript (scritto interamente da me) che, nel caso di piccole realtà (blog, siti vetrina e simili) rende compatibile il proprio sito con l’avvio dei soli script autorizzati dall’utente (come previsto dalla normativa). Questo è il link all’articolo in cui trovate il codice e in cui provo a spiegare come usarlo:
https://blog.alessandrostella.it/programmazione/client/javascript/gdpr-codice-javascript-per-popup-cookie/

Bene, ora partirà un lunghissimo post con il fine di giustificare tale catastrofica interpretazione e utile per capire cosa fare per non farsi multare (e le multe sono salatissime! Fino a 20 milioni di euro!).
Alla fine vorrei che mi rispondeste: sono l’unico al mondo ad aver compreso la reale portata di questo “coso” chiamato GDPR?
Sebbene un sito come Cookiebot si sia impegnato a creare una roba del genere:

e quindi mi faccia capire che forse non ho poi interpretato così male questo mostro, le decine di articoli letti sull’argomento non mi sembrano sulla mia stessa linea.
Osservando quanto realizzato da Cookiebot, dovrebbe essere chiaro cosa accade se l’utente preme “OK” lasciando le checkbox non spuntate: non c’è verso di tracciarne i movimenti! E sapete cosa significa questo per un sito web che fa del digital marketing la propria forza? Significa… morte!
Come vi dicevo, ho letto e continuo a leggere articoli su articoli circa il GDPR, ma… studiando la normativa… non c’è molto da “capire”. Il GDPR parla chiaro: puoi raccogliere dati del visitatore se e soltanto se sono essenziali al funzionamento del tuo sito. In tutti gli altri casi, ossia se lo stai profilando per fini statistici, pubblicitari e compagnia bella… non puoi raccogliere alcunché senza il suo esplicito e informato consenso. Sottolineo esplicito e informato.
Proprio oggi leggevo le nuove norme di Twitter sul GDPR di cui, oltre al link diretto, vi lascio anche uno screenshot (ma lo stesso discorso vale per tutti gli altri colossi).

GDPR per Twitter

Implicita accettazione???
Ma… qualcuno… all’interno del team di Twitter l’ha letta la normativa? 😯
Il GDPR ha rimosso dal vocabolario il concetto di “implicito”!
Tecnicamente parlando le uniche informazioni che sono necessarie al funzionamento di Twitter (o Facabook, Google, Amazon e così via…) sono quelle contenute nel cookie di sessione. Fine. Tutti gli altri dati raccolti da qualunque sito web sono inerenti alla pecunia, al commercio, alla pubblicità o a quello che vogliamo ma non sono essenziali per il funzionamento del sistema. Pertanto, in base a quanto riportato al punto 1. dell’articolo 6, tutte le altre misure di profilazione devono essere disattivate per impostazione predefinita e attivate se e soltanto se l’utente, dopo essere stato adeguatamente informato, acconsente alla loro attivazione.
Questo è quello che ho capito.
Se qualcuno mi può smentire, per favore, lo faccia! Altrimenti il GDPR è la tomba del web marketing come lo conosciamo oggi! Ed è anche la tomba di Twitter, Facebook, Google…

Del resto non credo sia un caso che l’ultimo aggiornamento di Windows 10, quello distribuito a metà maggio, al primo avvio richieda un bel po’ di “permessi” che, evidentemente, prima del GDPR venivano acquisiti in modo “tacito” o implicito (direbbe Twitter). Ci avete fatto caso? Credete sia una casualità? Personalmente non lo ritengo affatto. L’hanno dovuto fare. Non si fanno mai certe cose per libera scelta.

I controlli

Naturalmente questa normativa prevede dei controlli.
L’Organo competente in Italia è il Garante per la Privacy.
È mia opinione personale (quindi non prendetela come una certezza!) che i controlli ci saranno, ma partiranno dai grandi hosting provider, dai grandi e-commerce e dai grandi gestori social. Per i “piccoli” l’unico vero rischio è la concorrenza che potrebbe segnalare al Garante l’inadempienza. Ossia, è poco, davvero poco probabile che il Garante invii la guardia di finanza a controllare che un e-commerce con 200 clienti sia o meno compliant. Questo però non toglie che… bisogna essere compliant. C’è poco da fare…

Introduzione al GDPR

In tutti i casi… il GDPR incombe!
GDPR sta per General Data Protection Regulation, ossia Regolamento Generale per la Protezione dei Dati.
Per chi, come me, gestisce siti web pieni zeppi di codici di tracciamento e/o pubblicitari – comunque NON strettamente necessari al funzionamento del sito – sono momenti difficili 😀
Nel vano tentativo di evitare la lettura di 88 pagine di regolamento (!!!), ho letto moltissimi articoli sull’argomento, soprattutto in lingua inglese… niente! Tutti troppo concentrati a definire dettagli teorici o discussioni etiche di cui non so cosa farmene.
Quindi, mio malgrado, sono andato sul sito del Parlamento Europeo e ho scaricato il PDF della normativa (santa pazienza).
E dopo che l’hai scaricato… te lo devi pure leggere. Tutto! Sai che gioia??? 😀
È chiaro che non sono un avvocato, ma a leggere e a interpretare quello che leggo ho imparato tanto tempo fa…

Ho quindi scritto questo articolo per pubblicare quello che ho capito con esplicito riferimento ai codici (tipicamente javascript) presenti sui siti web. Codici che sono spesso molteplici e dalle molteplici finalità (statistiche, di marketing, pubblicitarie, ecc.). I commenti a questo articolo sono aperti. Se vorrai dire la tua sarà di certo un arricchimento alla mia interpretazione della normativa…
Comunque sia, questo articolo resterà in costante aggiornamento…

Lo studio della normativa

In questa sezione cercherò di prendere come riferimento i singoli articoli della normativa per provare a comprenderne il significato e a trasporlo nella raccolta dei dati online.

Le definizioni nel GDPR

L’articolo 4 si occupa di dare alcune definizioni di precisi termini che verranno poi utilizzati nei successivi articoli della normativa.
Al punto 1) di tale articolo viene data la definizione di “dato personale” (e di “identificabilità” di un soggetto) esattamente come segue (copia/incolla). Per “dato personale” deve intendersi:

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o social.

Ora, per quanto ne sappiamo, i sistemi di tracciamento degli utenti, ad esempio Google Analytics (GA), non sono in grado di collegare direttamente tutte le informazioni che memorizzano ad una persona fisica. Il visitatore non è né identificato né identificabile come singola persona fisica, con nome, cognome, codice fiscale o altri sistemi di identificazione certa. Ossia, sapere che il visitatore del sito sia una donna, di 25 anni, della zona di Milano, non è sufficiente a definire univocamente quella persona con un nome e un cognome (o altro che la renda univocamente identificabile). Tuttavia… nell’articolo possiamo anche leggere “[…] con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online […] “. La frase è subdola! Se infatti è vero che GA non dovrebbe essere in grado di risalire al nome e cognome di un visitatore, è altrettanto vero che, però, tale visitatore è senza dubbio identificato univocamente tramite un… numero di identificazione e un identificativo online (basti pensare all’indirizzo IP). Quindi si dovrebbe concludere che GA raccoglie dati personali del visitatore sebbene, con ogni probabilità (ma questo può saperlo soltanto Google), non sia in grado di dare un nome e un cognome a tale visitatore.
Procediamo.
Al punto 2) dello stesso articolo, viene poi data la definizione di “trattamento“:

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Si, in questo caso non ci sono dubbi: GA “tratta” i dati del visitatore.
Punto 4), il concetto di “profilazione“:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Punto 7), il “titolare del trattamento“:

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Quindi il titolare del trattamento non è colui che fisicamente gestisce i dati, ma colui che “determina le finalità e i mezzi del trattamento di dati personali”. Infatti al punto successivo troviamo la definizione del “responsabile del trattamento“:

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Punto 17), il “rappresentante“:

La persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.

Quindi… dobbiamo avere almeno 3 figure professionali: il titolare del trattamento dei dati, il responsabile del trattamento dei dati e, infine, il rappresentate 😀 No, non è per niente uno scherzo…
L’articolo procede con ulteriori definizioni che, per il momento, tralasciamo.

I principi applicabili ai dati personali

L’articolo 5 si occupa di delineare quelli che sono e devono essere i principi applicabili al trattamento dei dati personali.

L’articolo chiarisce per bene che i dati personali devono essere trattati rispettando i criteri di “liceità”, “correttezza” e “trasparenza” (punto 1. lettera a). La loro raccolta deve inoltre avere una “finalità ben delimitata” (punto 1. lettera b). Se ne devono raccogliere il minor numero possibile (“minimizzazione dei dati”, punto 1. lettera c). Devono essere esatti e aggiornati (“esattezza”, punto 1. lettera d). Devono essere conservati per il minor tempo possibile (“limitazione della conservazione”, punto 1. lettera e). Infine devono essere trattati e conservati in modo sicuro (“integrità e riservatezza”, punto 1. lettera f).
Il punto 2. recita poi la seguente frase mortale per tutti i micro blog, freelance, ecc: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).”
Un articolo composto da appena due punti che però sono in grado di mettere in croce migliaia di blogger, di freelance, oltre ai professionisti, alle aziende e tutti coloro che raccolgono dati online.
Non soltanto bisogna conservare i dati seguendo i vari criteri elencati. E no! Ora bisogna pure… comprovarlo!!!
Cioè? Cioè ti devi inventare un modo per dimostrare (a fronte di un controllo) che i dati da te memorizzati rispettino tutte le lettere del punto 1 😀
Ve lo dico sin da subito: se memorizzi i dati dei tuoi visitatori e non sei un programmatore, ma soltanto un “utilizzatore” di CMS come WordPress, Joomla! et similia, non sarai mai in grado di rispettare tutte le regole che vengono richieste dal GDPR. Potrai utilizzare tutti i plugin che vuoi, ma se ti arriva un controllo e tu non sai cosa sia un DB, dove vengono memorizzare le informazioni, non sai cosa sia un protocollo di sicurezza, una chiave a doppia cifratura… sei non compliant!
Andiamo avanti.

La liceità del trattamento dei dati

L’articolo 6 riguarda la liceità del trattamento dei dati.

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Tutto chiaro?
In tutte le lettere del punto 1. si parla di “è necessario“, tranne che nella lettera a).
Quindi, altra bomba del GDPR per noi che gestiamo i siti web:
a meno che i dati raccolti non siano strettamente necessari all’avvio del nostro sito web ( o del nostro servizio), noi non possiamo raccogliere alcun dato! Come detto all’inizio di questo articolo, gli unici dati che sono sicuramente “necessari al funzionamento” di un sito web sono i cookie di sessione. Se invece vogliamo raccogliere dati non necessari, allora vale la lettera a): dobbiamo richiedere il consenso e dobbiamo dire anche per quale motivo (specifiche finalità) stiamo raccogliendo tali dati.
Cioè… sono l’unico a capire quello che capisco? 😯
Qui c’è scritto… niente Analytics, niente pubblicità traccianti, niente di tutto il resto senza consenso esplicito del visitatore.
L’articolo procede poi con altri 3 punti, per un totale di 4, che non sono al momento utili.

Consenso si, consenso no: le condizioni

L’articolo 7 fornisce la linee guida per ottenere il consenso al trattamento dei dati.

Copio e incollo tutti i 4 punti che compongono tale articolo:

  1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
  2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
  3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
  4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

In pratica?
Il visitatore del nostro sito deve esplicitamente spuntare una voce per consentire la raccolta dei dati analitici, pubblicitari e tutti gli altri. Deve essere informato in modo chiaro e puntuale su cosa accade mettendo la spunta. Non basta più la famosa pressione sul tasto “OK”. Senza la spunta esplicita, niente raccolta dati non necessari! Ma i dati “non necessari al funzionamento del sistema” sono tutti i dati! E se per caso si cercasse di obbligare l’utente a mettere la spunta per usufruire del nostro sito… vale il punto 4 che qui ripeto per maggiore chiarezza: “[…] si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.“. Altro “implicita accettazione” di Twitter, Facebook e tutti gli altri! Non possiamo “forzare” l’utente a mettere la spunta per poter usufruire del nostro sito! Inoltre deve essere possibile, in ogni momento, revocare il consenso. Quindi in ogni momento il visitatore deve poter accedere alla spunta messa in precedenza e toglierla.

Come ho già detto, non sono un avvocato, ma non mi pare si possa fraintendere in alcun modo.
E se le cose stanno come mi pare di capire… è un massacro!

I dati sensibili

L’articolo 9 al punto 1 recita:

È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In verità non mi sembra ci sia niente da commentare.
Una domanda però a me sorge spontanea: chi ci garantisce che le nostre impronte digitali, che sempre più spesso utilizziamo per accedere ai nostri dispositivi mobili, restino criptate e assolutamente immobili dentro il nostro dispositivo e non viaggino, invece, in giro per la rete? E il nuovo riconoscimento facciale di Apple?
Sono domande lecite, no? 😉

Cosa scrivere nell’informativa

L’articolo 12 indica al Titolare del trattamento quali sono le modalità con cui deve consentire all’interessato di esercitare i propri diritti. In particolare l’articolo afferma che:

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori

L’articolo 13 è molto importante perché elenca tutte le informazioni che dobbiamo inserire nella nostra informativa. In particolare:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

In aggiunta alle informazioni appena indicate, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Accessibilità ai dati

L’articolo 15 impone al titolare del trattamento (come definito nell’articolo 4) di fornire copia dei dati trattati a colui che ne faccia richiesta. In particolare bisogna fornire:

a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

È chiaro che per poter consegnare tutte queste informazioni al richiedente, il titolare dei dati deve avere un modo abbastanza veloce per poterci accedere. E come fa un blogger che utilizza un CMS senza avere idea di cosa sia un DB o PHP o la programmazione in generale a fornire tali informazioni? Una buona domanda…

Diritto di rettifica e cancellazione dei dati

L’articolo 16 (diritto di rettifica), l’articolo 17 (diritto alla cancellazione o diritto all’oblio), l’articolo 18 (diritto di limitazione del trattamento), l’articolo 19 (obbligo di notifica) e l’articolo 20 (diritto alla portabilità dei dati) si occupano di chiarire quali sono i diritti sulla rettifica o cancellazione (anche totale!) dei dati che possono essere richiesti dall’interessato e a cui il titolare del trattamento deve fare fronte.

Secondo le prime statistiche, che iniziano a girare sulla rete, soltanto il 10% dei visitatori fornirà esplicitamente il consenso all’utilizzo di dati “non strettamente necessari”. Il 90% non lo farà! Avete idea di cosa significa? Significa che tutte le strategie delle campagne di marketing… vanno a farsi friggere! No data? No party!
E la pubblicità a pagamento con tracciamento?
L’utente deve esplicitamente rilasciare l’autorizzazione anche per quella. Senza tracciamento niente PPC.
Pertanto… lo ripeto ancora una volta, o non ho ben compreso quello che ho letto, oppure… questa normativa è un’apocalisse!
La sensazione che però abbia “ben compreso” la portata di questa normativa, mi viene confermata da alcuni famosissimi siti che… si sono adeguati in modo assolutamente fasullo rischiando pesantissime multe. Ad esempio… guardate questo sito cosa ha fatto:

<!-- This code is added by WP Analytify (2.1.15) !-->
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})
(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-48299057-8', 'auto');ga('set', 'forceSSL', true);
ga('require', 'displayfeatures');ga('send', 'pageview');
</script>
<!-- This code is added by WP Analytify (2.1.15) !-->

<script type="text/plain" data-cookieconsent="statistics">
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||
function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();
a=s.createElement(o),m=s.getElementsByTagName(o)[0];a.async=1;
a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script',
'//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-00000000-0', 'auto');
ga('send', 'pageview');
</script>

Il primo script è quello “vero” e utilizza un plugin per far partire, SENZA CONSENSO ESPLICITO del visitatore, il tracciamento di GA.
Il secondo script, invece, tramite l’attributo type modificato in “text/plain ” e l’attributo data-cookieconsent=”statistics”, fa partire lo script soltanto dopo l’esplicito consenso, ma in tal caso fa partire il tracciamento sul codice “UA-00000000-0” che è notoriamente… inesistente.
Questo comportamento (di un sito estremamente famoso) mi fa pensare che la mia interpretazione del GDPR… sia molto realistica!
E tu?
Cosa ne pensi?
Ti sei adeguato?
E come?

Hai letto questi articoli?

2 Commenti

  1. … piccolo sito, senza cookie di terze parti, ma c’è Analytics e il modulo contatti. Quindi volente o nolente devo mettere quella orribile pezza che hai creato… orribile non perchè sia brutta:)) ma perchè detesto mettere banner:((
    EVVIVA LA PRIVACY!!!!

    1. Ciao Corrado,
      temo proprio di si… O almeno dopo aver letto e rieletto la normativa, a me sembra di interpretarla così.
      Ho comunque chiesto espliciti chiarimenti al Garante. Prima o poi spero mi risponda perché se il sito non è “piccolo” e vive di marketing e tracciamenti vari… la normativa è un’apocalisse!
      Se mai mi risponderà, pubblicherò la risposta anche se spero che il Garante pubblichi sul proprio sito una nota esplicativa in merito perché la questione è molto importante.
      In bocca al lupo 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *