COMPLIANCE

Privacy policy e cookie law, troppe ombre dopo il Gdpr: ecco i problemi per le imprese

L’adeguamento al Gdpr pone ancora molti ostacoli alle aziende. In particolare trattamento dei dati personali e regole sui “marcatori” stentano a trovare un’integrazione: complicando in questo modo la gestione dei consensi. Ecco stato dell’arte e best practice

Pubblicato il 13 Mar 2019

Francesca Bonora

Senior Advisor ICT Security & ICT Governance

cookie wall giornali garante privacy

La compliance al Gdpr, il General Data Protection Regulation approvato dall’Europa, pone ancora molti ostacoli alle aziende. In particolare Privacy Policy e Cookie Law stentano a trovare un’integrazione nella struttura dei siti: complicando in questo modo la gestione dei consensi. Ecco lo stato dell’arte e gli esempi virtuosi.

Uno degli argomenti più gettonati del capitolo operativo dei progetti di Compliance GDPR è stata la revisione delle sezioni dei siti web dove sono ospitati i contenuti informativi obbligatori e le modalità utente per attivare determinate procedure. Tema questo che quasi spontaneamente si è congiunto a quello della normativa sull’utilizzo dei Cookie.

Questo matrimonio ha portato, rispetto all’epoca della chiacchierata “Cookie Law” (2015), alcuni lati oscuri a diventare ancor più impenetrabili, ma anche a dei bei miglioramenti di cui tutte le aziende potrebbero fare tesoro.

Questo matrimonio s’ha da fare

In verità, non c’è una linea sottile che separa la Privacy Policy da quella dei Cookie, poiché hanno in comune parte dei dati cui si riferiscono.

Se oggi dedicassimo qualche ora a navigare su siti diversi per scopo (siti vetrina, eCommerce, news, social network, etc), per geografia target, per volumi di traffico, ecc. ecc. scopriremmo che quasi tutti hanno obbedito al diktat e hanno unito, sul loro sito web, i due argomenti in modo da fornire un quadro completo su entrambi i temi e sulle componenti in comune.

Solo i siti più piccini, quelli che dispongono di poche (o nulle) risorse per la loro gestione, possono senz’altro essere (ancora) manchevoli dell’una e/o dell’altra componente, ma non mi sembra che questa parte residuale del mondo web possa essere presa a riferimento.

Dicevamo, praticamente tutti hanno saputo (o dovuto) cogliere l’opportunità di scrivere una sezione sola per indirizzare due necessità non solo normative. Questa sì che è sinergia!

Potremmo quindi aspettarci di poter accedere ad informative magari lunghe, ma di facile fruizione, di approdare ad uno spazio unico dove gestire in modo coerente e consistente i consensi previsti da GDPR e quelli previsti dalla Cookie Law… Macché, niente di tutto questo.

Questa aspettativa si è liquefatta di fronte alla onnipresenza di terze parti coinvolte nei servizi offerti dall’azienda in questione (per esempio un’azienda che commmercializza rimanenze di magazzino), riferite quindi dal sito della medesima poiché i dati richiesti (ed i cookie utilizzati) sono merito anche delle attività di queste terze parti (per esempio quelle che fanno servizi di analisi del traffico del sito in questione).

Anche i casi più virtuosi, infatti, riescono ad essere semplici e chiari solo alle prime battute di informative e guida alle procedure. Dopo di esse, infatti, anche loro cadono in un ginepraio di link in cascata che talvolta si chiudono in riferimenti circolari (un deadlock di link, insomma) e che sembrano avere lo scopo di costringere l’utente a rinunciare alla sua necessità di comprensione o, che il ciel ci aiuti, di selezionare certosinamente i soli consensi necessari scartando tutti gli altri.

Insomma, più che un matrimonio, sembra una associazione… Non voglio dire “a delinquere”, ma almeno per fare antipatici dispetti sì.

Identitikit dell’utente che vuole capire fino in fondo

Le caratteristiche di un utente che non solo voglia, ma possa sperare di riuscire nell’impresa di (a) capire in modo organico e coerente le due policy e di (b) impostare in modo completo i consensi sia all’utilizzo del suo dato personale sia delle informazioni gestite dai cookie sono:

  • Giorni fatti di 48 ore, ovvero importante disponibilità di tempo da dedicare a questa impresa: le informative sono lunghissime, i link alle procedure non sono quasi mai disponibili a primo livello e occorre cliccare da uno a N bottoni successivi di “read more” altrimenti nel mezzo del cammin ci si ferma senza aver ottenuto nulla.
  • Sinapsi e Neuroni belli tonici, ovvero estrema facilità e velocità di comprensione su come probabilmente funzionano i servizi offerti non solo dal sito di iniziale interesse (per esempio un quotidiano online), ma anche quelli più o meno intrisecamente offerti dalle terze parti che il sito medesimo ha coinvolto (a beneficio del servizio all’utente stesso oppure pro domo sua). Perché serve questa caratteristica? Perché altrimenti è impossibile distinguere quando negando un dato consenso un certo servizio non è più disponibile e quando invece si tratta di una “prepotenza” del gestore del sito, tipo “se non mi dai il consenso a sapere tutto, non puoi accedere ad alcun servizio” anche quando non ci sono legami tra i dati richiesti ed il servizio in oggetto. NOTA: tale “prepotenza” sui dati personali è illegale: lo dico giusto per scrupolo eh, senza offesa.
  • Fluent English, almeno nella lettura e comprensione (anche se il sito iniziale è italiano, nell’80% dei casi già al secondo livello di link in cascata porta ad un sito di terza parte che propone informativa e strumenti in inglese). Avere sottomano un translator on line aiuta, ma alla quarta pagina da tradurre due volte (la seconda è la traduzione dal risultato del translator a qualcosa di sensato, step spesso necessario e per forza manuale!) sarebbero fiaccati forza e determinazione di chiunque, per cui non c’è verso, bisogna saper abbastanza bene l’inglese.
  • Una parte destra del cervello che ha prestazioni di altissimo livello. Assumendo infatti che la parte destra del nostro cervello è quella in grado di cogliere il quadro di insieme, per poter costruire questo benedetto quadro dopo due ore di navigazione su siti totalmente diversi tra loro occorre davvero che la parte destra del cervello dell’utente sia decisamente prestante.

Questa piccola parodia per mettere in luce il fatto che la famosa sinergia di scopo tra le esigenze derivanti da GDPR e quelle della Cookie Low non è stata sfruttata per rendere la vita più facile all’utente: nella migliore delle ipotesi è stata sfruttata solo per unificare le pagine di informativa al primo livello di navigazione.

Alcuni lati oscuri (per l’utente) di queste tematiche restano dunque ancora tali e di difficile gestione.

Ci sono ancora siti che danno solo l’opzione di “OK” o “Accetto” o “Agree” nei loro banner di informativa, altri che invece propongono il “KO” o “Decline” ma che tuttavia ignorano decisamente il fatto che l’utente abbia appunto negato il consenso e belli come il sole continuano a raccogliere info tramite cookie o obbligano a fornire dati in modo esplicito (ed incoerente rispetto alle policy tanto faticosamente scritte e pubblicate).

I vantaggi? Ecco quali sono

Un primo miglioramento, davvero in senso molto generale, è che la necessità di coprire in modo adeguato entrambi gli argomenti ha forzato le organizzazioni a farsi un minimo di cultura e quindi consapevolezza su quali sono i contenuti delle informative e quali sono le procedure che comunque restano le più importanti per l’utente da salvaguardare.

Come dicevo in apertura, c’è una generale predisposizione a far tesoro di schemi (anche pubblicati da altri) ben fatti e a coprire tutti gli aspetti nel modo, spesso, più efficace possibile. Mi viene in mente il punto di informativa relativo alla fruizione da parte di minori di 16 anni di servizi offerti da un provider americano per la profilazione on line degli utenti pro offerta customizzata di contenuti editoriali. I servizi sono offerti ovviamente ai maggiori di 16 anni, ma la cosa che mi ha colpito della loro nota informativa è la chiosa finale, che cito testualmente: “Se sei un bambino, vai a giocare in giardino, non usare o interagire con XYZ!” (l’ho copiato e incollato, parola d’onore ho solo tolto il nome dell’azienda e sostituito con XYZ).

Un altro punto pregevole è che, seppure ci sono tanti siti che offrono informativa piatta e noiosa, ce ne sono altrettanti che invece danno una buona rappresentazione di definizioni e concetti che non necessariamente sono alla portata di tutti.

Senza voler pretendere di dare a tutti quanti le basi per superare l’esame di Fondamenti di Informatica 1, ci sono davvero molti siti che si sono preoccupati di spiegare con chiarezza e sintesi cosa è un cookie, a cosa servono i diversi tipi di cookie così come anche alcune definizioni GDPR sono raccontate in modo da essere facilmente comprensibili ed in poco tempo. Alcune informative potrebbero tranquillamente esser prese a riferimento per dei piccoli tutorial.

Infine, un’altra cosa molto apprezzabile a mio modo di vedere è l’azione di supporto che l’utente trova in siti come ad esempio www.youronlinechoices.com. Il sito è dedicato principalmente a facilitare la gestione dei consensi relativi alla profilazione della navigazione per azioni pubblicitarie mirate, segnalazioni di contenuti profilati, eccetera. Per ogni sito riporta il tipo di ente associativo o certificativo cui il sito è inserito o iscritto e dà la possibilità di fare direttamente opt-in e opt-out per ciascuno.

Non è l’unico in rete, ce ne sono altri, ma questo mi sembra di riferimento visto che viene frequentemente riferito dai siti a maggior traffico.

Anche se in effetti l’efficacia vera di questi servizi è forse sotto l’aspettativa, trovo molto utile ed anche educativo che molti siti si siano preoccupati di indicare al proprio utente la possibilità di impostare personalmente i consensi a suo piaciment. Certo, forse l’hanno anche fatto per evitare di dover implementare queste logiche presso le proprie pagine, ma lo stesso lo trovo un meccanismo igienico e virtuoso.

Quali sono le conclusioni?

Eccoci nella parte finale dell’articolo dove cerchiamo di so-whattizzare le osservazioni e le riflessioni che pazientemente io ho scritto e voi avete letto.

Il so what è che iniziamo a vedere in rete alcune buone pratiche che finalmente possono contribuire a migliorare l’efficacia della gestione delle tematiche GDPR (e sì, pure i cookies) davvero a beneficio dell’utente. Intendo sia per la sua educazione che per la sua consapevolezza.

Poi certo, la giungla inestricabile di link che ancora soffoca la determinazione dei più a prendersi a cuore il tema è ancora un gigantesco problema, ma c’è speranza di iniziare presto a districarla un po’.

Le organizzazioni trovano in rete un buon numero di esempi positivi da seguire per assolvere ai propri doveri, basta avere presso di sé qualcuno che risponde all’identikit di questo articolo, in modo che possa trovare in rete l’esempio più efficace che meglio si adegua alla propria azienda.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati