eCommerce e protezione dei dati personali: le scelte iniziali per essere conformi alla legge | Agenda Digitale

la guida

eCommerce e protezione dei dati personali: le scelte iniziali per essere conformi alla legge

Un’attività di eCommerce richiede l’adozione di scelte oculate prima ancora di effettuare un trattamento di dati personali dei clienti o visitatori del sito web. Le criticità pratiche legate alla scelta dei partner e ai sistemi di traccianti online detti cookie

15 Apr 2021
Luciana Capo

Commissione privacy dell’Ordine dei dottori commercialisti ed esperti contabili di Salerno

Sotto la lente della normativa sulla protezione dei dati personali, un’attività di eCommerce richiede l’adozione di scelte oculate prima ancora di effettuare un trattamento di dati personali dei propri clienti o visitatori del sito web. Nel seguito di questo articolo discuteremo di alcune criticità pratiche legate alla scelta dei partner e ai sistemi di traccianti online detti cookie.

eCommerce grande spinta all’Italia digitale: ecco le prospettive 2021

Il principio di Privacy by design

Il titolare di un eCommerce, precedentemente allo svolgimento dell’attività, deve stabilire quali finalità intende raggiungere con il trattamento dei dati personali dei propri clienti e visitatori del sito.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Il Regolamento UE 2016/679, infatti, non consente di accumulare tutti i dati possibili, in mancanza di una determinata finalità. I dati personali possono essere trattati solo per finalità determinate, esplicite e legittime e devono essere adeguati, pertinenti e limitati a quanto necessario per realizzare gli obiettivi dichiarati.

Nel concreto sarà il modello di business a guidare il titolare nelle scelte dei dati da trattare.

Il modello di business permette di disegnare una mappa delle misure aziendali che contribuiscono a creare valore, focalizzando gli elementi fondamentali e collegandoli tra di loro. Il modello di business si è dimostrato capace di accompagnare la piccola e media impresa nel ridisegnare strategicamente la propria attività anche in un’ottica digitale.

Tale modello permette di applicare nel modo migliore la normativa sulla protezione dei dati personali a partire dal principio di privacy by design secondo il quale già al momento di determinare i mezzi del trattamento occorre scegliere le misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

La scelta dei partner

Uno dei nodi critici di un eCommerce è rappresentato dalla scelta dei partner, poiché con l’attività verranno trattati, anche in modo automatico, dati personali di clienti e visitatori del sito. I partner del titolare, a iniziare dal provider per finire al corriere per le consegne a domicilio, rappresentano dei contitolari o dei responsabili del trattamento con tutte le conseguenze di legge.

La scelta cadrà sul partner che fornisce le migliori garanzie di protezione dei dati personali, per le misure di sicurezza di cui dispone ma anche per i suoi suoi modelli organizzativi, l’approccio etico e il comportamento collaborativo. Un avviso informativo privacy per quanto teoricamente ben fatto non può sanare le inesattezze e le omissioni causate da un atteggiamento ostruzionistico o poco collaborativo di un soggetto che tratti i dati per conto dell’impresa.

Ci sono cose che è meglio fare prima che dopo e tra queste cose rientra senz’altro il dare istruzioni, ad esempio, a un’agenzia web a cui vogliamo affidare il compito di creare un sito di eCommerce.

Il rapporto con l’agenzia dovrà essere regolato da un contratto scritto a norma dell’art. 28 del Regolamento UE 2016/679. Il titolare proprietario del sito deve dare le istruzioni necessarie al fine di impiantare l’attività in modo conforme alla normativa sulla protezione dei dati personali e di gestirla poi al meglio. L’agenzia web dovrà informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il regolamento UE 2016/679 o altre disposizioni nazionali o dell’Unione, relative alla protezione dei dati.

L’agenzia si dovrà impegnare, tra l’altro, a:

  • adottare tutte le misure di sicurezza richieste per il trattamento di dati personali;
  • assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo che ricade sul titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dei clienti e visitatori del sito web.

L’impianto dei cookie

Una specifica istruzione dovrà riguardare l’impianto dei cookie.

Consideriamo, ad esempio, un piccolo e medio eCommerce che vorrebbe sfruttare la possibilità di conoscere dati statistici riguardanti il proprio sito, come alcuni attributi delle visite ricevute in un certo arco di tempo. L’imprenditore non vuole o non può sviluppare propri sistemi di rilevazione statistica e dunque si rivolge ai fornitori di sevizi web. Il primo fra tutti sarà Google che offre un servizio di analytics molto usato in Italia.

A questo punto normalmente si dà incarico all’agenzia web di impiantare sul sito i cookie di Google analytics che servono a scopo di statistiche.

L’operazione richiede delle attenzioni, un’idonea informativa, un consenso libero, così come delineato nelle ultime linee guida, un banner a norma di legge e così via.

Ma vi è di più, poiché da quando, solo pochi anni fa, potevamo affermare che i cookie analitici potevano essere un minus rispetto ai cookie di profilazione è passata molta acqua sotto i ponti.

Ad esempio, Google oggi utilizza le funzionalità degli Analytics collegabile ai siti anche come strumento di tracciamento e profilazione di persone fisiche individuate.

Supponiamo che la nostra impresa titolare del sito di eCommerce non conosca esattamente gli strumenti tecnici di Google; supponiamo ancora che l’agenzia web possegga una conoscenza superficiale della normativa sulla protezione dei dati personali. Non sono ipotesi troppo astratte.

La mancata conoscenza da parte del titolare potrebbe dipendere anche dal fatto che le informazioni pubbliche che Google fornisce con riferimento ai propri trattamenti non sono complete, mancano ad esempio le norme contrattuali su particolari cookie analitici che sono messi a disposizione solo nel momento di impiantare la funzionalità sul sito, impianto che in generae è affidato a un’agenzia web.

La scarsa conoscenza della normativa da parte dell’agenzia web, d’altro canto, potrebbe dipende dalle nozioni apprese continuamente attraverso i tanti corsi di formazione gratuita offerti da Google.

In questi corsi potrebbe aver appreso la definizione di dati personali fornita da Google piuttosto che quella stabilita dalla normativa. I due concetti non coincidono. I dati personali per Google, o PII, come vengono chiamati, consistono nelle “informazioni che consentono l’identificazione personale quelle che possono essere utilizzate per identificare, contattare o localizzare con precisione un individuo. Queste includono: indirizzi email, indirizzi postali, numeri di telefono, posizione esatta, ad esempio le coordinate GPS, nomi completi o nomi utente”. Sono esclusi dai PII i dati che descrivono ID cookie pseudonimi, ID pubblicità pseudonimi, indirizzi IP, altri identificatori dell’utente finale pseudonimi.

Tuttavia, anche questi dati sono dati personali rientranti nella definizione fornita dal Regolamento UE. Per quanto concerne poi, in particolare, i dati pseudonimi, dobbiamo tener presente che l’aggettivo pseudonimo potrebbe non coincidere con la tecnica di pseudonimizzazione di cui parla il Regolamento Ue. Inoltre, la pseudonimizzazione rappresenta già essa stessa un trattamento di dati personali come tale soggetto al Regolamento.

Google precisa “che i dati non interpretati da Google come PII possono comunque essere considerati dati personali ai sensi del GDPR o informazioni personali ai sensi del California Consumer Privacy Act (CCPA) e potrebbero quindi essere soggetti a queste leggi”. Tuttavia, la formulazione non precisa nel contesto tra l’altro di una nota informativa pubblica molto ampia e strutturata come la ramificazione di link potrebbe facilitare l’errore sull’individuazione della materia rientrante o meno nell’ambito di applicazione del Regolamento UE. In effetti, nell’esperienza pratica capita spesso di rilevare un equivoco sul significato di dato personale.

Dunque, nel prendere accordi con l’agenzia web dobbiamo considerare il possibile gap informativo e precisare quali siano i dati personali soggetti alla normativa.

ID user e pubblicità personalizzata

Gli ID (numeri identificativi) oggi rappresentano il perno della strategia di profilazione e monitoraggio delle grandi big tech che offrono servizi web.

Google usa due tipi di ID: user e client.

L’ID “utente”, secondo Google, è “una stringa ID univoca, persistente che rappresenta un utente”.

L’ID utente potrebbe descrivere, quindi, un dato identificativo di una determinata persona.

Google precisa che mentre il “client ID” rappresenta un’istanza di browser o un dispositivo pseudonimo, lo “user ID” coincide con “un utente singolo, come un account utente a cui è stato eseguito l’accesso, che può interagire con contenuti su uno o più dispositivi e/o una o più istanze di browser”.

L’ID utente è usato da Google per le pubblicità personalizzate e dal singolo sito web per ottenere dati statistici del sito stesso.

Google ottiene gli ID utente dai siti e dalle app; ogni sito collegato agli Analytics e abilitato alla funzionalità ID utente genera i suoi ID univoci, assegna coerentemente gli ID agli utenti e include questi ID ogni volta che si inviano i dati ad Analytics.

La funzione ID utente identifica tutte le azioni compiute da una persona su diversi dispositivi correlati e collega dati apparentemente indipendenti. Di conseguenza, per fare un esempio fornito da Google, la ricerca eseguita su un telefono, l’acquisto effettuato su un laptop, e l’attività di ri-coinvolgimento eseguita su un tablet, che in precedenza sembravano tre azioni non correlate poiché effettuate su dispositivi indipendenti, ora, attraverso l’ID utente, sono riconosciuti come un’unica interazione di una determinata persona.

Google per ricevere gli ID utente deve far leva sulla collaborazione dei siti e delle app che possono aderire alla funzione.

Il meccanismo prevede che “gli ID possono essere generati mediante il sistema di autenticazione, trasferiti a un account quando un utente effettua l’accesso e successivamente inviati a Analytics”

L’ID utente è un dato personale, per di più invasivo perché finalizzato alla personalizzazione della pubblicità e alla raccolta sistematica e continua degli interessi di una persona. Oltretutto l’ID utente una volta che sia trasmesso a Google Analytics potrebbe essere usato anche per altri siti e altre app non solo per il sito che ha contribuito a crearlo: non vi è alcuna garanzia che sia usato solo per il sito che ha contribuito a crearlo e per la sua pubblicità.

Trattare un ID utente potrebbe non essere opportuno o essere addirittura vietato quando il sito si occupi ad esempio di farmaci e trattamenti sanitari o di altri beni e servizi facilmente collegabili alle particolari categorie di dati sanitari e altri dati cosiddetti sensibili.

Dunque, il titolare dell’eCommerce non può con leggerezza abilitare sul proprio sito i cookie che rilevano l’ID utente, né può rimettere la scelta all’agenzia web: deve scegliere se sia il caso o meno di abilitarli, in base a una valutazione del rischio.

L’evoluzione dei cookie

In senso più generale, la funzionalità dell’ID utente dimostra il superamento del concetto di cookie come stringa di testo che traccia l’individuo a partire da un dispositivo o terminale. In molti casi le informazioni sono legate ad un identificativo univoco contenuto in un tracker che permette di seguire nel tempo uno specifico utente, a prescindere dal dispositivo.

Google ha dichiarato che nel 2022 sopprimerà i cookie di terze parti, cioè i cookie che non appartengono al sito, proprio come i cookie di Google sui siti. La dichiarazione, da molti erroneamente giudicata come una misura più idonea a realizzare la normativa sulla protezione dei dati personali, in realtà non significa la fine del tracciamento personale, anzi. Google ha dichiarato che si avvarrà di altri sistemi fondati sull’intelligenza artificiale e il machine learning. Si tratterebbe, come risulta da alcuni articoli giornalistici, di un sistema di machine learning non supervisionato, che è quindi in grado di portare alla luce correlazioni ignote e neanche attese o presumibili e che di contro non prevede una metrica chiara per valutare la congruità dei risultati ottenuti. Quindi un sistema potente e continuo di profilazione che può determinare danni come quelli da discriminazione se, ad esempio, venga usato anche indirettamente per selezionare il personale, attribuire dei benefici ecc.

Addio ai cookie di terze parti: come cambia il mercato pubblicitario

Questi traccianti di nuovissima generazioni sono in grado di produrre profili di una determinata persona e un quadro completo della sua personalità e possono addirittura rivelare informazioni che la persona vorrebbe non esporre, come dati relativi alle opinioni politiche che possono essere ricavate ad esempio dall’analisi delle letture sui siti di notizie.

I maggiori attori dei servizi web si stanno orientando verso questi tipi di traccianti, che riescono a individuare un utente a partire da più azioni, nei tanti modi in cui una persona può interagire direttamente con un sito, come creare un account personale o inviare una e-mail.

Il Garante per la protezione dei dati personali francese ci ricorda che l’ascesa della profilazione è legata allo spostamento, più di un decennio fa, verso la pubblicità personalizzata a livello individuale. Le vecchie tecniche di targeting pubblicitario infatti si rivolgevano a un pubblico definito solo in via generale (ad esempio donne sotto i 35 anni) acquistando spazi pubblicitari su siti che probabilmente sarebbero stati frequentati da questo pubblico. Successivamente, sono sati messi a punto sistemi di traccianti di dispositivi e browser. Oggi, infine, si è giunti a un tracciamento diretto della persona identificata attraverso un ID.

I rischi connessi a queste nuovissime funzionalità sono inimmaginabili e non confrontabili con eventi del passato. Sappiamo però che sistemi meno potenti di quelli attuali hanno provocato le gravi conseguenze ipotizzate nel 2017 per il caso Cambridge Analytica.

Casi simili possono accadere ancora, con più facilità, e possono rimanere del tutto nascosti, pur influenzando enormemente scelte individuali, collettive, politiche sociali e economiche.

Mettere un limite alla profilazione delle persone non è un vezzo o una psicopatologia da tecnofobi ma serve a proteggere le persone, i diritti fondamentali e il sistema democratico.

Obiettivo: sviluppo sostenibile

Oggi i business model possono rappresentare un focus sia sui fattori di successo che garantiscono la creazione di valore economico-finanziario nel lungo termine sia sulle leve di creazione di valore sociale.

Lo sviluppo sostenibile rappresenta un obiettivo delle organizzazioni di successo che puntano sull’etica, come molte aziende del settore della moda.

La reputazione, il parco clienti, il know-how e la ricerca, ma anche altri aspetti, quali il business model stesso e il modo di fornire delle informazioni agli stakeholder, compresa la cosiddetta informativa privacy, incidono in misura sempre più rilevante sul successo aziendale e sulla capacità di attrarre finanziamenti e partner prestigiosi.

La definizione di sviluppo sostenibile è sintetizzabile nei 17 obiettivi e 169 traguardi indicati dall’Onu nell’agenda 2030, che mirano a realizzare pienamente i diritti umani e a raggiungere l’uguaglianza di genere e l’emancipazione di tutte le donne e le ragazze. Sono obiettivi interconnessi e indivisibili e bilanciano le tre dimensioni dello sviluppo sostenibile: la dimensione economica, sociale e ambientale.

Nella definizione di sviluppo sostenibile rientra anche la protezione dei dati personali che mira proprio a garantire tutti i diritti umani fondamentali, come stabiliti nella Carta di Nizza e nella Costituzione italiana, non solo il diritto alla riservatezza.

Digital event, 15 giugno
CyberSecurity360Summit: come rispondere alle necessità di aziende e PA?
@RIPRODUZIONE RISERVATA

Articolo 1 di 4