Tag: garante

Gianni Dell’Aiuto

La CNIL è l’equivalente francese del nostro Garante per la Privacy e si sta dimostrando particolarmente attenta all’applicazione del GDPR; in particolare ha posto la propria attenzione sui cookie.
I “biscottini” infatti sono il primo e più sottovalutato strumento che può essere utilizzato per la raccolta dati e la profilazione dei visitatori di un sito.

Tra le numerose sanzioni comminate ne spiccano in particolare due, sia per l’importanza dei soggetti vittima del provvedimento sia per gli importi commisurati al fatturato delle stesse. Cento milioni di euro ad Amazon e trenta milioni a Google. Si tratta di sanzioni di cui non si trovano precedenti per violazione dei consensi Cookie  e che, necessariamente, dovranno indurre web designer e operatori di siti web a rivedere le proprie policy, magari iniziando dall’informare i propri clienti dei rischi che corrono per mancati adeguamenti.

Una breve premessa. I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web. Salvano i dati dell’utente durante la visita di un sito web e migliorano la capacità di navigazione  ad esempio memorizzando i dati di login sul browser e le preferenze. Peraltro spesso i cookie non sono conciliabili con la protezione dati poichè tracciano precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Un chiaro sistema di profilazione, particolarmente i cookie di tracciamento e di targeting.

Chiaro come questo apparentemente insignificante particolare sia viceversa il primo aspetto da considerare per ogni azienda nella creazione di un indispensabile sito web. L’utente deve essere messo in condizione di sapere a che cosa presta il consenso e non, come purtroppo accade, avere solo la possibilità di accedere al sito accettando ogni possibile cookie e, di conseguenza, ogni trattamento dei suoi dati. Divieto assoluto, ad esempio, di caselle pre-spuntate che per la revoca del consenso richiedono un opt-out.

Con il termine inglese opt-out (in cui opt è l’abbreviazione di option: opzione), traducibile in italiano come rinuncia o deroga, ci si riferisce ad un concetto della comunicazione commerciale diretta secondo cui il destinatario di una comunicazione commerciale non desiderata ha la possibilità di rifiutare di ricevere ulteriori invii in futuro

Il GDPR ha reso rigorosa la definizione di cookie, per cui un banner di consenso cookie per essere a norma deve contenere un testo chiaro che informi l’utente sull’utilizzo dei cookie. Deve informare inoltre l’utente che può accettare o rifiutare i cookie e permettergli di prestare il consenso per ogni finalità separatamente. Divieto quindi di dare maggior rilievo ai pulsanti di accettazione.

Perché la sanzione ad Amazon? Semplicemente perché non è stata in grado di auto-bloccare i cookie: su amazon.fr, i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’avviso nel banner era incompleto e non chiaro: il banner non menzionava in nessuna parte del sito che gli utenti potevano rifiutare i cookie. Inoltre, le finalità di questi non erano esplicite: per esempio i cookie erano utilizzati per mostrare annunci personalizzati all’insaputa dell’utente stesso.

Google invece ha ricevuto la sanzione anch’essa perché non era stata capace di auto-bloccare i cookie su google.fr, e perché i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’’avviso nel banner era incompleto poiché rilasciava un promemoria con le opzioni “accedi ora” e “ricordamelo più tardi” ma non informava l’utente sui cookie che venivano caricati sul browser e l’uso di questi.

Due piccole bucce di banana su cui sono scivolati due grandi colossi e che impongono a tutti un’attenta revisione dei siti e delle cookie policy.