La barra dei cookie del tuo sito è adeguata al GDPR?

Giuro che prima di appassionarmi alla protezione dei dati e di capirne a fondo i presupposti normativi, ho installato una quantità importante di cookie bar talora inutili talora inadeguate: ero anch’io, come la stragrande maggioranza dei programmatori, delle software house e delle agenzie di comunicazione uno sviluppatore totalmente inconsapevole dell’importanza del mio ruolo in materia di protezione dei dati e di adeguamento alle normative in materia di protezione dei dati (DL 196/2003 ieri e GDPR – Regolamento UE 2016/679 oggi).

Poi un giorno ho capito che proteggere i dati delle persone non significa (solo) rispettarne la privacy: significa rispettare un loro diritto fondamentale, sancito dall’art.8 della Carta dei diritti fondamentali dell’Unione europea. E così ho deciso di mettermi a studiare.

L'accountability: dalla forma alla sostanza

Il 25 Maggio 2018 il vocabolario di ogni Titolare del trattamento (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, così recita l’art.4) si è arricchito di una parola nuova: accountability.

Che in realtà di nuovo non ha molto: accountability significa responsabilità sostanziale. Significa consapevolezza. Significa che devi avere piena coscienza delle cose che fai, dei rischi che corri e che fai correre ai terzi. Significa, infine, che devi prendere le necessarie precauzioni per garantire che questi rischi siano tenuti sotto controllo, nel limite del possibile.

Di fatto, di nuovo c’è che la normativa non ti dice più cosa devi fare: ti dice solo fai tu, perchè solo tu puoi essere pienamente consapevole della tua realtà e delle misure necessarie per proteggerla.
In materia di sviluppo software, era una posizione assolutamente necessaria: fornire delle regole stringenti su come si deve progettare una base dati avrebbe infatti significato l’impossibilità reale di sviluppare applicazioni, piattaforme o programmi gestionali di qualsiasi genere.

Ma come sempre succede quando ci viene concessa la grande libertà di agire secondo coscienza, veniamo investiti della grande responsabilità di dover giustificare le nostre scelte: che se saranno consapevoli, saranno probabilmente anche adeguate.

E’ da qui che deriva una domanda molto importante e di assoluta attualità: ti stai rivolgendo a un freelance, a una software house o a un’agenzia di comunicazione che ti offre adeguate garanzie in materia di protezione dei dati personali? So che è difficile rispondere, ma devi sapere che se ti affidi al partner sbagliato potresti avere non poche grane, sia dal punto di vista sanzionatorio che dal punto di vista delle violazioni sui dati che gestisci.

I cookie non sono virus

Balzati agli onori della cronaca nell’ormai lontano 2009 con la Direttiva 2009/136/CE e successivamente demonizzati in conseguenza dell’improvvisa diffusione di tutti quegli “inutili” messaggi che da un giorno all’altro diventarono la domanda più ripetuta del web (acconsenti?), i cookie in realtà non dei soggetti sono così antipatici. Non sono dei virus, come sembra passare in sottofondo.

Sono lo strumento principe della personalizzazione: dei piccoli contenitori di dati che vengono salvati in una cartella nascosta del tuo computer e che si autodistruggono alla scadenza prefissata (decisa dal programmatore). Se non ci fossero, nessun sito o applicazione ti farebbe entrare automaticamente nella tua area riservata ricordandosi chi sei, o selezionerebbe la tua lingua preferita senza che tu ti sia necessariamente registrato.

Senza i cookie nessun sito si ricorderebbe di te: abituati come siamo alla comodità non sarebbe uno scenario piacevole. Nonostante questo, la loro reputazione non è ai suoi massimi livelli, per buona parte proprio per colpa dell’indiscriminata diffusione della famosa barra che chiede agli utenti il consenso alla loro installazione. E’ il suo uso indiscriminato che li ha trasformati in qualcosa da cui doversi genericamente difendere.

In realtà, l’obiettivo era semplicemente quello di rendere il grande pubblico consapevole della loro esistenza e della loro utilità: non ci siamo ancora riusciti appieno, ma d’altronde la tecnologia è così complessa che non si tratta di passaggi facili.

Barra dei cookie: cos'è e a cosa serve

Per l’utente che entra in un sito è un messaggio fastidioso che compare quasi inevitabilmente all’inizio della navigazione e che lo avverte del fatto che se acconsente, nel suo computer verranno installati dei cookie.

Di solito, è composta da un messaggio che probabilmente nessuno ha mai letto davvero per intero, dal pulsante ACCETTA (o simili) e da un link che rimanda all’informativa sulla privacy, anche lui spesso snobbato.

Il suo compito è quello di offrire al visitatore la possibilità concreta di accettare che vengano installati cookie sul suo computer.

Barra dei cookie: quando è inutile

Hai installato la cookie bar solo perchè credi che sia obbligatoria? C’è la possibilità che sia assolutamente inutile:

  • Hai un sito vetrina, basato su WordPress, su Joomla o su un altro cms (Content Management System – Sistema di Gestione dei Contenuti) open source o proprietario e non hai mai installato o fatto installare nessuno script di tracciamento delle campagne promozionali (come quelle di Google Adwords, Facebook, ecc).
  • Usi Google Analytics e lo hai fatto anonimizzare (e se non lo hai fatto: qui ti spiego come si fa)
  • Il tuo sito non è collegato ad un crm (Customer Relationship Management, la materia che approfondisce le tecniche di fidelizzazione della clientela)
  • In generale, se nel tuo sito sono installati solo cookie di prima parte (cioè associati al tuo dominio) o cookie statistici anonimizzati

Se rientri in uno di questi casi, il consiglio che ti do è quello di (far) togliere la barra dei cookie dal tuo sito: è un inutile elemento di disturbo che ha l’unico compito di infastidire i tuoi visitatori (e tu non vuoi che i tuoi nuovi contatti pensino di te che sei un burocrate inconsapevole, giusto?)

Barra dei cookie: quando è inadeguata

In generale, la barra dei cookie è inadeguata quando installa cookie che richiedono il consenso dell’utente senza curarsi di averlo concretamente ottenuto.

So che è stupefacente, ma stiamo davvero parlando della stragrande maggioranza delle barre dei cookie presenti nel web: un esempio su tutti il sito Alitalia, che come si può vedere dall’immagine sotto installa cookie che richiedono il consenso (per esempio, quelli sul dominio facebook.com) nonostante la barra sia evidentemente presente e non abbia ancora ottenuto il “permesso” all’installazione.

Barra dei cookie e social network

Un dubbio molto frequente riguarda la necessità di ottenere il consenso da parte dell’utente all’installazione dei cookie quando sul sito sono presenti dei riferimenti ai social network.

In questo caso, i due scenari possibili sono:

  • i social network vengono inseriti nel sito attraverso l’utilizzo di un semplice link: è il caso più frequente e non richiede in alcun modo la raccolta del consenso attraverso la barra in quanto non vi è alcuna installazione di cookie.
  • i social network vengono inseriti nel sito attraverso degli script forniti da terze parti (in primis, la stessa piattaforma social): in questo caso è altamente probabile che tu stia permettendo a quest’ultima di profilare gli utenti attraverso il tuo sito, e quindi devi chiedere il consenso attraverso la barra dei cookie.

Le 2 regole fondamentali da non perdere di vista

  1. Assicurati che per il tuo sito la cookie bar sia davvero necessaria: se non lo è, eliminala
  2. Qualora tu abbia verificato che il tuo sito necessita di ottenere il consenso dell’utente per l’installazione di alcuni cookie, fatti garantire dal tuo programmatore che essi vengano installati solo ed esclusivamente dopo aver raccolto il consenso da parte dell’utente, NON A PRESCINDERE DA ESSO.