VEGATRADE Web Agency approfondisce il GDPR “General Data Protection Regulation”

07 Set VEGATRADE Web Agency approfondisce il GDPR “General Data Protection Regulation”

Da un po di tempo si sente spesso parlare della nuova normativa sulla privacy e di come bisogna applicarla su tutti i siti web, anche quelli di 3 pagine per le piccole aziende. Nello specifico come bisogna avvisare l’utente e renderlo “partecipe” con la possibilità di flaggare (spuntare) ogni casella per ciascuna tipologia di profilazione.

GDPR: Sito web con Google Analytics
Un caso molto comune: sito web che non acquisisce dati personali di alcun tipo ma che ha Google Analytics installato.
Tutti i cookie di terzi e di profilazione, incluso Analytics in forma anonima, devono essere accettati singolarmente dall’utente con una spunta alla prima visita.

Utilizziamo il termine cookie per capirci, in realtà il GDPR si estende a tutti i servizi che raccolgono dati personali, anche senza cookie.

Singolarmente significa che non posso fare un bottone del tipo “Accetto tutti i cookie” ma devo creare una LISTA di singoli cookie/servizi, le cui singole spunte devono essere SPENTE di default.

Se i checkbox sono accesi di default, c’è una violazione del GDPR.

L’anonimizzazione dell’IP su Analytics è inutile nei confronti del regolamento, dato che avviene comunque una pseudonimizzazione, per cui l’utente è comunque tracciato.

L’utente in sostanza:

1. Atterra sul mio sito
2. Vede il banner della cookie policy / privacy GDPR
3. Vede una lista di cookie/servizi NON spuntati
4. Ha la possibilità di spuntarne uno, tutti o nessuno
5. Fatto ciò può cliccare su “Accetta” per darmi il consenso
6. Al posto di “Accetta” deve avere anche la possibilità di rifiutarsi ed eventualmente revocare un consenso precedentemente ottenuto
7. In futuro, può anche chiedermi di eliminare i suoi dati personali (anche da Analytics)

Quindi, ragionando un pò, siamo giunti a delle conclusioni:

1. Avremo un calo (come minimo) degli accessi mostrati su Analytics, dato che l’utente deve accettare esplicitamente di essere tracciato facendo due azioni (deve cliccare il checkbox di Analytics e poi deve fare Accetta, cosa che praticamente nessuno farà dato che siamo abituati a levarci di torno il banner il prima possibile cliccando “Accetta” senza leggere)
2. L’utente ha la facoltà in qualsiasi momento di REVOCARE il consenso.Puoi anche avere WordPress, Joomla, CMS personalizzato e così via, ma dovrai per forza creare un database esterno in cui inserirai tutti gli identificativi degli utenti e il tipo di consenso che hanno espresso. Esatto, anche se hai un sito di 3 pagine per il tuo ristorante e non sai nulla di web, se hai Analytics dovrai creare un database a mano.
   Quando l’utente visita il sito e compie una scelta (nessun checbox, uno solo, più di uno o tutti), questa scelta la devi inserire in questo database (questa è la “prova” che serve al GDPR per documentare la raccolta dei dati)
   E se l’utente vuole revocare il consenso? Devi trovare il modo di rintracciarlo nel database, e modificare “si” in “no” oppure “true” in “false” o “1” in “0”.
   E come faccio a tracciare l’utente nel database se torna da me dopo 30 giorni? Non si è mica registrato al sito con user e pass, ha solo visitato… Beh C’è bisogno di programmazione con i cookie in questo caso… Ogni volta che un utente visita il sito, inoltre, dovresti fare una query a questo database personalizzato per sapere se è la prima visita o se è già passato. Se l’utente ha già visitato, allora devi rintracciare quale consenso ti ha dato e eventualmente fai partire il javascript di Analytics altrimenti NO.
3. L’utente non solo può revocare il consenso precedentemente dato, può anche richiedere la cancellazione dei dati personali che hai raccolto. Parlando di Analytics, infatti, l’utente può chiedere a TE di cancellare i SUOI dati presenti nel TUO Google Analytics e starà a TE trovare il modo di toglierli. Da quello che ho letto, Google sta implementando un sistema per poter fare questo, ma la parte del “come faccio a rintracciare questo tizio, che mi ha visitato 2 anni fa, dentro Google Analytics?” spetta a te.
4. I vari Cookiebot,  ecc, possono aiutarvi solo con il punto 1, e nemmeno al 100%. Loro possono predisporre il testo di una privacy policy, possono pensare a un banner con tutti gli elementi, ma non possono intervenire lato programmazione sul tuo sito.
   – Se l’utente non seleziona i checkbox, quei tali cookie/servizi non possono partire.
   – Il database dove tracci i consensi lo devi comunque creare tu.
   – Quando l’utente ti chiede la cancellazione dei dati personali, i Cookiebot non entrano sicuro nel tuo Google Analytics per cancellare i dati di quell’utente..
   – I Cookiebot , in realtà, gestiscono la parte più semplice di tutto il processo, ossia “quello che vede l’utente” (policy, banner, ecc). Tutta la programmazione, il database, le query, ecc, non possono ovviamente farla loro.

Per concludere: dopo esserci studiato le implicazioni di quanto detto, noi crediamo di essere in grado di svilupparci tutto l’ambaradan da soli, ma questo è possibile solo perché abbiamo esperienza con creazioni di database, costruzione delle query SQL/PHP/ecc, hit condizionale dei vari script (Analytics, Pixel FB, ecc), e siamo certi che ci vorrà un bel po’ di tempo per ogni singolo sito.

Solo per siti importanti, e per i clienti, si può pensare di implementare tutta questa cosa, altrimenti non vale proprio la pena.

PS. La multa per violazione del GDPR va dal 4% del tuo fatturato annuo fino a 20 milioni di euro. Se la violazione è “lieve” ci può essere una semplice diffida di tipo amministrativo