In effetti i cookie non vengono menzionati in modo specifico dalla normativa, la parola ‘cookie’ compare solo una volta in tutto il Regolamento, tuttavia, in quelle poche righe dell’articolo 30 si cela un impatto significativo sul loro coinvolgimento nella conformità con il GDPR.
Il tema è il controllo della protezione delle persone fisiche in merito al trattamento dei dati personali e relativa libera circolazione:
Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono
essere utilizzate per creare profili delle persone fisiche e identificarle.”
I cookie pertanto sono in grado di identificare un individuo e, che siano di prima parte o installati da servizi terzi tramite codici erogati sul sito, è importante classificarli in base alle loro finalità. Si tratta in generale di file salvati nel browser dell’utente, tuttavia possono essere distinti tra quelli meramente necessari al funzionamento del sito e quelli ad uso statistico o di marketing e profilazione. A quest’ultima categoria di cookie appartengono quelli ad alto potere identificativo o che permettono di seguire le attività online dell’utente.
Alcune domande a questo punto possono nascere spontanee:
- cosa viene monitorato?
- chi mi sta monitorando?
- dove sono conservate le mie informazioni?
- per quale finalità le stanno raccogliendo?
- per quanto tempo i miei dati saranno utilizzati?
Solitamente a questo punto riesco a convincere, chi mi ha fatto l’osservazione descritta a inizio articolo, che il legame tra i cookie e il GDPR non è così nascosto come poteva sembrare. Con questa consapevolezza l’interesse di chi gestisce un sito web si sposta sul capire cosa serve per mettersi a norma, sia per sé stesso evitando il rischio di vedersi recapitare multe salate in caso di controllo, sia per il rispetto degli utenti che visitano il sito e che danno fiducia al senso di responsabilità di chi lo gestisce.
A maggior ragione se vengono elaborati dati personali, o che potrebbero essere combinati con altre informazioni al fine di identificare un individuo.
Inizia quindi la caccia al cookie banner. La ricerca in molti casi è estetica, in altri economica, in altri ancora basata sull’osservazione di quella utilizzata dai grandi marchi ovvero, il concetto di “se ce l’hanno loro significa che è quella giusta”.
Il freno che metto sempre a questa ricerca compulsiva si riassume con una semplice frase secca: “Non esistono cookie banner miracolosi, la barra dei cookie da sola non è sufficiente!”. Si tratta infatti di uno strumento che ha bisogno di essere gestito affinché vengano mantenuti i requisiti definiti dalla GDPR, che ruotano attorno al termine “consenso”.
Non a caso, due siti che hanno una cookie bar apparentemente identica con stesso fornitore di servizio, stesso formato, stesso tipo di usabilità e contenuto, non hanno necessariamente lo stesso grado di conformità alla normativa. Possono essere entrambi conformi, non conformi oppure un sito può essere completamente adeguato mentre l’altro essere inconsapevolmente soggetto a sanzione.
Il consenso infatti richiede tutta una serie di requisiti da applicare che non sempre riescono ad essere valutati e validati da una sola figura. Il legale può prendersi cura dei testi e di definire la struttura grafica e logica di come le informazioni vengono comunicate all’utente, garantirà quindi che il consenso sia informato, chiaro e basato su una scelta reale e volontaria.
Tuttavia, non necessariamente sarà in grado di capire se effettivamente quello che viene comunicato dall’informativa è realmente quanto effettuato dal sistema in uso.
Allo stesso modo un tecnico informatico potrà mettere a punto un sistema sulle indicazioni dei legali, ovvero che consenta di selezionare e deselezionare i vari tipi di cookie, di offrire la possibilità di modificare o revocare il consenso da parte dell’utente ma non necessariamente sarà in grado di gestire i codici di tracciamento e pixel erogati dal sito e che installano cookie di marketing/profilazione.
Per questo è necessario il supporto di un analista o una figura tecnica orientata al marketing digitale. E chi tiene traccia di tutti i consensi? La normativa lo richiede, serve all’utente che può chiederne la visione in qualunque momento così come al proprietario del sito web per dimostrare lo stato di accettazione delle varie classificazioni dei cookie da parte dell’utente in uno specifico momento nel tempo.
Qualcuno ha pensato inoltre ai cookie che nessuno strumento è in grado di catalogare? I cosiddetti cookie non classificati possono essere potenzialmente profilanti e allo stesso tempo sfuggire al controllo di gestione e mettere a rischio il sito o l’intera azienda.
Sono necessari molti occhi e molte braccia diverse per poter dormire tra due guanciali.
Grazie alla sensibilità al tema, con il supporto di legali che operano nel settore digitale, e all’alta qualità dell’esperienza nel settore digitale dei suoi dipendenti, Fortop è riuscita a costruire un pacchetto all-in-one capace di coprire tutte le esigenze finora descritte.
Con un’ottimale definizione della governance digitale e grazie a strumenti proprietari di monitoraggio e manutenzione, è in grado di certificare la conformità GDPR di qualunque sito e garantirne la stabilità nel tempo.
Per un checkup e un piano di azione immediato non esitare a contattarci.
Da non dimenticare inoltre, scusate il gioco di parole, del diritto ad essere dimenticati. Su richiesta dell’utente infatti, tutti i suoi dati personali che sono stati salvati devono essere eliminati. Tra questi fanno parte anche gli identificativi, rigorosamente anonimizzati, presenti in Google Analytics.
Nella piattaforma di analisi possono tuttavia essere erroneamente raccolte informazioni personali in chiaro, questo, tra le altre cose, invalida i termini di servizio di Google Analytics e può portare fino alla chiusura dell’account e la perdita di tutti i dati presenti fino a quel momento.
Non preoccupatevi, abbiamo un protocollo anche per questo tipo di situazione, ma ne parleremo nel prossimo articolo.
