Non di rado si pensa che con la “prepotente” viralità dei social sia inutile un sito o laddove ne esista uno, “basta e avanza… come sta? Chissene, tanto non mi serve!“.
E’ vero: spesso è inutile (per come è), ma non di rado, anzi spesso, è addirittura pericoloso! Non solo perché molto spesso non è aggiornato, non tanto e non solo nei contenuti, bensì in termini di sicurezza (è uno degli aspetti più sottovalutati e pertanto insidiosi). Certo, non ti morderà, ma potrebbe costarti parecchi “soldini”!
“ESAGERATO!!! Ma io non ci spendo sopra un euro!!!”
Ma è in regola per quanto riguarda il regolamento europeo sulla protezione dei dati personali? Possiedi un’informativa della privacy policy e della politica di gestione dei cookie?
“I biscotti?!”.
Sì, ma non quelli dolci!!!!
Con il Regolamento Ue 679/2016 sono previste sanzioni salatissime – fino al 4% del fatturato annuo! -per il mancato adeguamento alle norme contenute nello. Si tratta di un regolamento che nasce per tutelare dagli abusi delle multinazionali in materia di trattamento dei dati personali i consumatori (e quindi anche gli utenti che visitano il tuo sito) e finisce per diventare una “rogna” – se la questione non è gestita correttamente – per il tuo innocente sito… Che però ospita gli script dei social, che contiene un form di contatto, tool di sharing degli articoli e pagine… E tu ne sei responsabile in qualità di proprietario di un dominio che “ospita” dei visitatori: si parla del principio di accountability. Cliccando sul termine potrai leggere un interessante articolo sul sito del garante della privacy che parla approfonditamente, esaustivamente ma anche piuttosto chiaramente di questo aspetto fondamentale del GDPR (acronimo che sta per General Data Protection Regulation).
A tale proposito è il caso di fare riferimento – sia ben chiaro, senza intento alcuno di allarmare volendo ricorrere ad un subdolo e strisciante terrorismo psicologico – alle nuove linee guida in materia di cookies emanate dal Garante il 10 giugno 2021 cui tutti i siti web debbono essere conformi dal 9 gennaio 2022..
La ratio, fondamentalmente, è il rafforzamento del potere decisionale degli utenti per quanto riguarda l’uso dei propri dati personali nella navigazione nel web… E fin qui siamo tutti d’accordo e a tal proposito il garante giustamente va in questa direzione mettendo dei paletti, alcuni – forse non tutti, a nostro modesto parere – ovvi.
Ma cosa stabilisce, di fatto, concretamente, il garante delle privacy rispetto ai cookie dei siti web?
Innanzitutto viene evidenziato come per i cookie non tecnici, vale a dire per i cookies profilanti o di profilazione – quelli che hanno per scopo la creazione di profili personalizzati degli utenti per finalità pubblicitarie – è richiesto il consenso esplicito dell’utente il quale deve essere informato attraverso un’informativa breve contenuta nel cookie banner (informatica che deve spiegare che sulle pagine del sito viene fatto uso di cookie tecnici, di profilazione, di cookie di terze parti e rimando attraverso un link ad un’informativa estesa) e di un’informativa estesa che spieghi puntualmente quali sono i cookie installati, la relativa tipologia, la durata dei cookies e la possibilità modificare le proprie preferenze in modo semplice e in qualsiasi momento l’utente decida di variare il proprio consenso (in relazione ai cookie installati) o revocarlo.
L’utente dovrà anche avere modo di accettare i cookies totalmente – attraverso un pulsante che attivi tutti i cookies, in un solo colpo, presente sul banner – possibilità di accettazione di quelli selezionati (vale a dire di una personalizzazione selettiva) che di default deve essere inizializzata – in modo peraltro immodificabile, chiaramente – per i soli cookie tecnici e infine dovrà poterli rifiutare tutti – eccezion fatta, ribadiamo, per quelli tecnici – attraverso un apposito comando (leggasi un pulsantino che rechi la dicitura “rifiuta tutti” o “disabilità tutti i cookie” e/o una “x” presente in alto a destra del banner o un equivalente pulsantino “continua senza accettare“).
Il cookie banner deve poi contenere un ulteriore link ad una apposita sezione dedicata ai fornitori – o soggetti terzi – che li elenchi e i relativi cookies, i quali cookie possono raggruppati per categorie omogenee, con possibilità di selezionarli o deselezionarli uno a uno o in blocco (in sostanza, l’utente può decidere che di un tale fornitore può accettare l’installazione dei cookies, di un altro no). E viene anche sottolineato dal garante il fatto che non sia appropriato, per usare un eufemismo, ricorrere a font, dimensioni del testo e colori differenziati con lo scopo di enfatizzare – e sostanzialmente influenzare più o meno subliminalmente l’utente per fargli accettare o propendere per un’opzione anziché per un’altra.
Non è ritenuto valida l’accettazione implicita dei cookies tramite scrolling, per cui la navigazione del sito non è intesta come una valida accettazione dei cookie, sono dichiarati illeciti i cookie wall – meccanismi che attraverso dei layers, una sorta di cookie invasivo che copre la pagina web, che impediscono la navigazione e la fruizione dei contenuti del sito previa accettazione di tutti i cookie – e tutti i sistemi di tracciamento passivi come l’uso del fingerprinting e il pixel di facebook non possono essere installati se non previo acquisizione di consenso informato dell’utente.
Salvo una variazione sostanziale il banner non dovrà essere riproposto all’utente – salvo, lo ribadiamo, che per sua richiesta di revisione del proprio consenso che dovrà essere attivabile tramite link o pulsantino nel footer del sito – se non passati 6 mesi dal giorno della espressione del consenso dell’utente.
Ma un’altra cosa fondamentale – è bene sottolinearlo, lungi da noi terrorizzare gli utenti – è che ad avere obbligo di attenersi a tali linee guida – e quindi a dover ottemperare alla normativa vigente in materia di trattamento dati personali prevista anche per un sito web – non sono solo le persone giuridiche – aziende, partite iva, associazioni, enti e organizzazioni – ma anche le persone fisiche, quindi se l’intestatario – o registrante – è il Sig. Mario Rossi (pensiamo al caso di un blog di cucina o di fotografia, un sito personale) dovrà mettere in regola il proprio sito rispetto al GDPR.
Tutelarsi non è affatto difficile ma diffida dei cialtroni o di chi con superficialità, magari, ti dice “ma non ti riguarda, stai tranquillo“. Contattaci senza impegno per una consulenza.