La compliance al Gdpr, il General Data Protection Regulation approvato dall’Europa, pone ancora molti ostacoli alle aziende. In particolare Privacy Policy e Cookie Law stentano a trovare un’integrazione nella struttura dei siti: complicando in questo modo la gestione dei consensi. Ecco lo stato dell’arte e gli esempi virtuosi.
Uno degli argomenti più gettonati del capitolo operativo dei progetti di Compliance GDPR è stata la revisione delle sezioni dei siti web dove sono ospitati i contenuti informativi obbligatori e le modalità utente per attivare determinate procedure. Tema questo che quasi spontaneamente si è congiunto a quello della normativa sull’utilizzo dei Cookie.
Questo matrimonio ha portato, rispetto all’epoca della chiacchierata “Cookie Law” (2015), alcuni lati oscuri a diventare ancor più impenetrabili, ma anche a dei bei miglioramenti di cui tutte le aziende potrebbero fare tesoro.
Questo matrimonio s’ha da fare
In verità, non c’è una linea sottile che separa la Privacy Policy da quella dei Cookie, poiché hanno in comune parte dei dati cui si riferiscono.
Se oggi dedicassimo qualche ora a navigare su siti diversi per scopo (siti vetrina, eCommerce, news, social network, etc), per geografia target, per volumi di traffico, ecc. ecc. scopriremmo che quasi tutti hanno obbedito al diktat e hanno unito, sul loro sito web, i due argomenti in modo da fornire un quadro completo su entrambi i temi e sulle componenti in comune.
Solo i siti più piccini, quelli che dispongono di poche (o nulle) risorse per la loro gestione, possono senz’altro essere (ancora) manchevoli dell’una e/o dell’altra componente, ma non mi sembra che questa parte residuale del mondo web possa essere presa a riferimento.
Dicevamo, praticamente tutti hanno saputo (o dovuto) cogliere l’opportunità di scrivere una sezione sola per indirizzare due necessità non solo normative. Questa sì che è sinergia!
Potremmo quindi aspettarci di poter accedere ad informative magari lunghe, ma di facile fruizione, di approdare ad uno spazio unico dove gestire in modo coerente e consistente i consensi previsti da GDPR e quelli previsti dalla Cookie Law… Macché, niente di tutto questo.
Questa aspettativa si è liquefatta di fronte alla onnipresenza di terze parti coinvolte nei servizi offerti dall’azienda in questione (per esempio un’azienda che commmercializza rimanenze di magazzino), riferite quindi dal sito della medesima poiché i dati richiesti (ed i cookie utilizzati) sono merito anche delle attività di queste terze parti (per esempio quelle che fanno servizi di analisi del traffico del sito in questione).
Anche i casi più virtuosi, infatti, riescono ad essere semplici e chiari solo alle prime battute di informative e guida alle procedure. Dopo di esse, infatti, anche loro cadono in un ginepraio di link in cascata che talvolta si chiudono in riferimenti circolari (un deadlock di link, insomma) e che sembrano avere lo scopo di costringere l’utente a rinunciare alla sua necessità di comprensione o, che il ciel ci aiuti, di selezionare certosinamente i soli consensi necessari scartando tutti gli altri.
Insomma, più che un matrimonio, sembra una associazione… Non voglio dire “a delinquere”, ma almeno per fare antipatici dispetti sì.
Identitikit dell’utente che vuole capire fino in fondo
Le caratteristiche di un utente che non solo voglia, ma possa sperare di riuscire nell’impresa di (a) capire in modo organico e coerente le due policy e di (b) impostare in modo completo i consensi sia all’utilizzo del suo dato personale sia delle informazioni gestite dai cookie sono:
- Giorni fatti di 48 ore, ovvero importante disponibilità di tempo da dedicare a questa impresa: le informative sono lunghissime, i link alle procedure non sono quasi mai disponibili a primo livello e occorre cliccare da uno a N bottoni successivi di “read more” altrimenti nel mezzo del cammin ci si ferma senza aver ottenuto nulla.
- Sinapsi e Neuroni belli tonici, ovvero estrema facilità e velocità di comprensione su come probabilmente funzionano i servizi offerti non solo dal sito di iniziale interesse (per esempio un quotidiano online), ma anche quelli più o meno intrisecamente offerti dalle terze parti che il sito medesimo ha coinvolto (a beneficio del servizio all’utente stesso oppure pro domo sua). Perché serve questa caratteristica? Perché altrimenti è impossibile distinguere quando negando un dato consenso un certo servizio non è più disponibile e quando invece si tratta di una “prepotenza” del gestore del sito, tipo “se non mi dai il consenso a sapere tutto, non puoi accedere ad alcun servizio” anche quando non ci sono legami tra i dati richiesti ed il servizio in oggetto. NOTA: tale “prepotenza” sui dati personali è illegale: lo dico giusto per scrupolo eh, senza offesa.
- Fluent English, almeno nella lettura e comprensione (anche se il sito iniziale è italiano, nell’80% dei casi già al secondo livello di link in cascata porta ad un sito di terza parte che propone informativa e strumenti in inglese). Avere sottomano un translator on line aiuta, ma alla quarta pagina da tradurre due volte (la seconda è la traduzione dal risultato del translator a qualcosa di sensato, step spesso necessario e per forza manuale!) sarebbero fiaccati forza e determinazione di chiunque, per cui non c’è verso, bisogna saper abbastanza bene l’inglese.
- Una parte destra del cervello che ha prestazioni di altissimo livello. Assumendo infatti che la parte destra del nostro cervello è quella in grado di cogliere il quadro di insieme, per poter costruire questo benedetto quadro dopo due ore di navigazione su siti totalmente diversi tra loro occorre davvero che la parte destra del cervello dell’utente sia decisamente prestante.
Questa piccola parodia per mettere in luce il fatto che la famosa sinergia di scopo tra le esigenze derivanti da GDPR e quelle della Cookie Low non è stata sfruttata per rendere la vita più facile all’utente: nella migliore delle ipotesi è stata sfruttata solo per unificare le pagine di informativa al primo livello di navigazione.
Alcuni lati oscuri (per l’utente) di queste tematiche restano dunque ancora tali e di difficile gestione.
Ci sono ancora siti che danno solo l’opzione di “OK” o “Accetto” o “Agree” nei loro banner di informativa, altri che invece propongono il “KO” o “Decline” ma che tuttavia ignorano decisamente il fatto che l’utente abbia appunto negato il consenso e belli come il sole continuano a raccogliere info tramite cookie o obbligano a fornire dati in modo esplicito (ed incoerente rispetto alle policy tanto faticosamente scritte e pubblicate).
I vantaggi? Ecco quali sono
Un primo miglioramento, davvero in senso molto generale, è che la necessità di coprire in modo adeguato entrambi gli argomenti ha forzato le organizzazioni a farsi un minimo di cultura e quindi consapevolezza su quali sono i contenuti delle informative e quali sono le procedure che comunque restano le più importanti per l’utente da salvaguardare.
Come dicevo in apertura, c’è una generale predisposizione a far tesoro di schemi (anche pubblicati da altri) ben fatti e a coprire tutti gli aspetti nel modo, spesso, più efficace possibile. Mi viene in mente il punto di informativa relativo alla fruizione da parte di minori di 16 anni di servizi offerti da un provider americano per la profilazione on line degli utenti pro offerta customizzata di contenuti editoriali. I servizi sono offerti ovviamente ai maggiori di 16 anni, ma la cosa che mi ha colpito della loro nota informativa è la chiosa finale, che cito testualmente: “Se sei un bambino, vai a giocare in giardino, non usare o interagire con XYZ!” (l’ho copiato e incollato, parola d’onore ho solo tolto il nome dell’azienda e sostituito con XYZ).
Un altro punto pregevole è che, seppure ci sono tanti siti che offrono informativa piatta e noiosa, ce ne sono altrettanti che invece danno una buona rappresentazione di definizioni e concetti che non necessariamente sono alla portata di tutti.
Senza voler pretendere di dare a tutti quanti le basi per superare l’esame di Fondamenti di Informatica 1, ci sono davvero molti siti che si sono preoccupati di spiegare con chiarezza e sintesi cosa è un cookie, a cosa servono i diversi tipi di cookie così come anche alcune definizioni GDPR sono raccontate in modo da essere facilmente comprensibili ed in poco tempo. Alcune informative potrebbero tranquillamente esser prese a riferimento per dei piccoli tutorial.
Infine, un’altra cosa molto apprezzabile a mio modo di vedere è l’azione di supporto che l’utente trova in siti come ad esempio www.youronlinechoices.com. Il sito è dedicato principalmente a facilitare la gestione dei consensi relativi alla profilazione della navigazione per azioni pubblicitarie mirate, segnalazioni di contenuti profilati, eccetera. Per ogni sito riporta il tipo di ente associativo o certificativo cui il sito è inserito o iscritto e dà la possibilità di fare direttamente opt-in e opt-out per ciascuno.
Non è l’unico in rete, ce ne sono altri, ma questo mi sembra di riferimento visto che viene frequentemente riferito dai siti a maggior traffico.
Anche se in effetti l’efficacia vera di questi servizi è forse sotto l’aspettativa, trovo molto utile ed anche educativo che molti siti si siano preoccupati di indicare al proprio utente la possibilità di impostare personalmente i consensi a suo piaciment. Certo, forse l’hanno anche fatto per evitare di dover implementare queste logiche presso le proprie pagine, ma lo stesso lo trovo un meccanismo igienico e virtuoso.
Quali sono le conclusioni?
Eccoci nella parte finale dell’articolo dove cerchiamo di so-whattizzare le osservazioni e le riflessioni che pazientemente io ho scritto e voi avete letto.
Il so what è che iniziamo a vedere in rete alcune buone pratiche che finalmente possono contribuire a migliorare l’efficacia della gestione delle tematiche GDPR (e sì, pure i cookies) davvero a beneficio dell’utente. Intendo sia per la sua educazione che per la sua consapevolezza.
Poi certo, la giungla inestricabile di link che ancora soffoca la determinazione dei più a prendersi a cuore il tema è ancora un gigantesco problema, ma c’è speranza di iniziare presto a districarla un po’.
Le organizzazioni trovano in rete un buon numero di esempi positivi da seguire per assolvere ai propri doveri, basta avere presso di sé qualcuno che risponde all’identikit di questo articolo, in modo che possa trovare in rete l’esempio più efficace che meglio si adegua alla propria azienda.