GDPR: Il caso comune della nuova normativa

GDPR: Il caso comune della nuova normativa

AVdesignNewsGDPR: Il caso comune della nuova normativa

Da parecchi giorni si sente spesso parlare della nuova normativa sulla privacy e di come bisogna applicarla su tutti i siti web, anche quelli di 3 pagine per le piccole aziende. Nello specifico come bisogna avvisare l’utente e renderlo “partecipe” con la possibilità di flaggare (spuntare) ogni casella per ciascuna tipologia di profilazione.

GDPR: Sito web con Google Analytics

Un caso molto comune: sito web che non acquisisce dati personali di alcun tipo ma che ha Google Analytics installato. Abbiamo cercato articoli/discussioni in merito alla PRATICA ma abbiamo sempre trovato solo e unicamente TEORIA.

Un legale ci ha riferito a Danilo che tutti i cookie di terzi e di profilazione, incluso Analytics anonimizzato, devono essere accettati singolarmente dall’utente con una spunta alla prima visita.
(utilizzo il termine cookie per capirci, in realtà il GDPR si estende a tutti i servizi che raccolgono dati personali, pure senza cookie)
Singolarmente significa che non posso fare un tasto del tipo “Accetto tutti i cookie” ma devo creare una LISTA di singoli cookie/servizi, le cui singole spunte devono essere SPENTE di default.
Se i checkbox sono accesi di default, c’è un violamento del GDPR.
L’anonimizzazione dell’IP su analytics è inutile nei confronti del regolamento, dato che avviene comunque una pseudonimizzazione, per cui l’utente è comunque tracciato.

L’utente in sostanza:

  1. Atterra sul mio sito
  2. Vede il bannerone della cookie policy / privacy GDPR
  3. Vede una lista di cookie/servizi NON spuntati
  4. Ha la possibilità di spuntarne uno, tutti o nessuno
  5. Fatto ciò può cliccare su “Accetta” per darmi il consenso
  6. Al posto di “Accetta” deve avere anche la possibilità di rifiutarsi e eventualmente revocare un consenso precedentemente ottenuto
  7. In futuro, può anche chiedermi di eliminare i suoi dati personali (esatto, anche da Analytics!)

Quindi, ragionando un pò, siamo giunti a tre conclusioni: (non so quale ci faccia arrabbiare di più….)

  1. Avremo un calo del 95% (come minimo) degli accessi mostrati su Analytics, dato che l’utente deve accettare esplicitamente di essere tracciato facendo due azioni (deve cliccare il checkbox di Analytics e poi deve fare Accetta, cosa che praticamente nessuno farà dato che siamo abituati a levarci di torno il banner il prima possibile cliccando “Accetta” senza leggere)
  2. L’utente ha la facoltà in qualsiasi momento di REVOCARE il consenso. Qui la faccenda diventa complessa e FOLLE
    Puoi anche avere WordPress, Joomla, CMS personalizzato e così via, ma dovrai per forza creare un database esterno in cui inserirai tutti gli identificativi degli utenti e il tipo di consenso che hanno espresso. Esatto, pure se hai un sito di 3 pagine per il tuo ristorante e non sai nulla di web, se hai Analytics dovrai andare su MySQL/Maria/Postgresql/ecc e creare un bel database a mano
    Quando l’utente visita il sito e compie una scelta (nessun checbox, uno solo, più di uno o tutti), questa scelta la devi inserire in questo database (questa è la “prova” che serve al GDPR per documentare la raccolta dei dati)
    E se l’utente vuole revocare il consenso? Devi trovare il modo di rintracciarlo nel database, e modificare “si” in “no” oppure “true” in “false” o “1” in “0”.
    E come faccio a tracciare l’utente nel database se torna da me dopo 30 giorni? Non si è mica registrato al sito con user e pass, ha solo visitato… Beh, auguri! <- C’è bisogno di programmazione con i cookie in questo caso (già mi immagino le bestemmie di Mario, ristoratore con un sito di 3 pagine…)
    Ogni volta che un utente visita il sito, inoltre, dovresti fare una query a questo database personalizzato per sapere se è la prima visita o se è già passato. Se l’utente ha già visitato, allora devi rintracciare quale consenso ti ha dato e eventualmente fai partire il javascript di Analytics altrimenti NO
  3. L’utente non solo può revocare il consenso precedentemente dato, può anche richiedere la cancellazione dei dati personali che hai raccolto.
    Parlando di Analytics, infatti, l’utente può chiedere a TE di cancellare i SUOI dati presenti nel TUO Google Analytics e starà a TE trovare il modo di toglierli. Da quello che ho letto, Google sta implementando un sistema per poter fare questo, ma la parte del “come faccio a rintracciare questo tizio, che mi ha visitato 2 anni fa, dentro Google Analytics?” spetta a te. Anche qui, auguri di nuovo
  4. I vari cookiebot, iubenda, ecc, possono aiutarvi solo con il punto 1, e nemmeno al 100%. Loro possono predisporre il testo di una privacy policy, possono pensare a un banner con tutti gli elementi, ma non possono intervenire lato programmazione sul tuo sito.
    > Se l’utente non seleziona i checkbox, quei tali cookie/servizi non possono partire. Iubenda secondo te lo fa al posto tuo? Se io ho JS esterni, o funzioni jquery particolari per lanciare questi servizi ti pare che loro riescano a gestire la cosa?
    > Il database dove tracci i consensi lo devi comunque creare tu. Ti pare che iubenda entri sul tuo phpmyadmin per crearti un DB e ti crei le query PHP (o qualsiasi altro linguaggio) per gestirti la comunicazione tra sito e db?
    > Quando l’utente ti chiede la cancellazione dei dati personali, ti pare che iubenda entri nel tuo Google Analytics e trovi il modo di cancellare i dati di quell’utente?
    > Iubenda&co, in realtà, gestiscono la parte più semplice di tutto il processo, ossia “quello che vede l’utente” (policy, banner, ecc). Tutta la programmazione, il database, le query, ecc, non possono ovviamente farla loro

Per concludere: dopo esserci studiato le implicazioni di quanto detto, noi crediamo di essere in grado di svilupparci tutto l’ambaradan da soli, ma questo è possibile solo perché abbiamo esperienza con creazioni di database, costruzione delle query SQL/PHP/ecc, hit condizionale dei vari script (Analytics, Pixel FB, ecc), e siamo certi che ci vorrà un bel po’ di tempo per ogni singolo sito. Io davvero non ho idea di come possa fare il possessore di un sito web senza un programmatore a fianco…

Se la situazione rimane com’è e se il Garante non gestirà diversamente almeno i tool di analisi (tipo Analytics) noi molto probabilmente lo elimineremo da tutti i siti che gestiamo.
Se non strettamente necessario, a questo punto, elimineremo i commenti sui siti WordPress, i form di contatto (lasciando solo l’indirizzo mail visibile), e così via. Il web torna a 15 anni fa.
Solo per siti importanti, e per i clienti, si può pensare di implementare tutta questa cosa, altrimenti non vale proprio la pena

PS. La multa per violazione del GDPR va dal 4% del tuo fatturato annuo fino a 20 milioni di euro. Se la violazione è “lieve” ci può essere una semplice diffida di tipo amministrativo

Lascia un voto
[Totali: 5 Media: 5]
CHIUDI

Maggiori informazioni su:

Inviando la richiesta accetti termini e condizioni d'uso

Informativa privacy ai sensi dell’art. 13 D.Lgs 196/2003

I dati da Lei inseriti, quali i dati identificativi, indirizzi, numeri di telefono e indirizzo email, saranno trattati dall’impresa titolare del sito internet , con modalità elettroniche e in qualità di Titolare del trattamento, al solo fine di dare risposta alle Sue richieste e non verranno messi a disposizione di nessuno, né diffusi. Il trattamento di tali dati è necessario perché il titolare del sito internet possa evadere le Sue richieste. In qualità di interessato del trattamento, Le è garantito l’esercizio dei diritti di cui all’art. 7 del D.Lgs. 196/03, tra i quali il diritto di ottenere dal Titolare del trattamento la conferma dell’esistenza dei Suoi dati personali e la loro comunicazione in forma intelligibile, di conoscere le modalità e le logiche del trattamento, di richiedere l’aggiornamento e l’integrazione dei dati stessi, la loro cancellazione o trasformazione in forma anonima, in caso di violazione di legge, nonché, di opporsi al loro trattamento. Tali diritti potranno essere esercitati rivolgendosi in qualsiasi momento per iscritto al Titolare del trattamento, presso la sua sede indicata nel sito internet medesimo.

Completato
90%

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi Landing Page

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi Instagram Ads

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi AdWords

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi Facebook Ads

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi SEO

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi Un Sito E-commerce

2297€+3499€+4999€+9999€

Inviando la richiesta accetti termini e condizioni d'uso

Completato
50%

Richiedi Un Sito Web

897€+1499€+2290€

Inviando la richiesta accetti termini e condizioni d'uso

Completamento
50%

Inviando la richiesta accetti termini e condizioni d'uso

Tutti i prezzi si intendono IVA esclusa e a partire da