A un anno dall’entrata in vigore della normativa non tutti si sono adeguati, sottovalutando gli elevati rischi connessi al mancato trattamento dei dati degli utenti.
Mettersi in regola è imprescindibile ma non si può improvvisare.
Navigando nel web spesso accade, dopo aver visitato taluni siti internet – in particolare a seguito della ricerca di prodotti o servizi – che nelle successive sessioni di riconnessione appaiano messaggi pubblicitari a mezzo banner o sotto forma di notizie “mascherate” o video su prodotti o servizi analoghi a quelli precedentemente cercati.
Gli “spot” si palesano navigando sui portali di informazione, sui social networks e persino in testa o in calce ai messaggi di posta elettronica.
Si tratta di una vera e propria forma di pubblicità, nota come “remarketing” che si “attiva” in automatico anche quando l’utente-navigatore non compie azioni specifiche rispetto al bene-servizio cercato, ossia quando né faccia richiesta di informazioni aggiuntive né tantomeno proceda all’acquisto. Lo scopo di tale forma di pubblicità è tenere alta l’attenzione dell’utente sul bene-servizio in questione per indurlo all’acquisto o per tentare una forma di “interazione” attraverso visite reindirizzate su specifici siti proposti come di potenziale interesse.
COME FUNZIONA IL REMARKETING
Tecnicamente, ogni qualvolta si accede alla home page di siti programmati per il “remarketing“, viene “rilasciato” un cookie (un file di testo) – invisibile all’utente – in grado di tracciare le operazioni compiute e quindi di fatto di “spiare” seppur in anonimato (il cookie non è in grado di capire chi sia l’utente-navigatore) le varie attività compiute in Rete. Ecco, ad esempio, che quando si accede al proprio profilo Facebook appariranno pubblicità di un bene-servizio in precedenza cercato attraverso Google o altri siti. E nel caso dei social networks il “remarketing” viene sempre più utilizzato anche per proporre notizie “correlate” ai propri interessi e persino post di utenti in qualche modo considerati dalla piattaforma più “in linea” con le proprie attitudini. Un fenomeno “borderline” che ha scatenato polemiche e persino indagini da parte delle Autorità di regolazione in particolare in merito alla diffusione di messaggi di tipo politico, specie a ridosso delle sessioni di voto elettorale.
Se tale attività, prima del Regolamento Ue 679/2016, alias del Gdpr, veniva svolta in maniera indisturbata senza particolari conseguenze e, molto spesso, senza informare il singolo utente, oggi risulta molto più “rischiosa” viste le pesanti sanzioni previste dalla nuova normativa. Ma a un anno dall’entrata in vigore del Gdpr – era il 25 maggio 2018 – non tutti i titolari di trattamento dei dati che gestiscono siti web hanno provveduto a conformarsi alla normativa, alcuni coscientemente per continuare ad agire indisturbati in modo illecito, altri per negligenza o perché non hanno compreso appieno i rischi conseguenti al mancato recepimento della norma.
METTERSI IN REGOLA, ECCO COME PROCEDERE
Il titolare del trattamento dei dati personali – proprietario o gestore di un sito internet – intenzionato ad avvalersi del “remarketing“, per essere in linea con il Gdpr, deve andare ad agire sulle impostazioni del sito in questione. È doveroso sottolineare però che non esiste una “ricetta” valevole erga omnes, neanche nelle situazioni che appaiono similari (ad esempio nel caso dei portali e-commerce che si occupano esclusivamente della vendita di beni o servizi). Prima di passare all’azione è infatti necessaria una “mappatura” dei dati utilizzati di volta in volta e, a seconda di come sia stato programmato il sito, prendere in esame aspetti quali plugin, pixel, social plugin, per poi andare a verificare le finalità del trattamento. E si tratta solo di alcune delle varianti in gioco. Va da sé dunque che non ci si può improvvisare e che l’ausilio di un esperto si rende necessario in ogni caso, anche in quelli apparentemente più semplici. Sicuramente però si possono fornire alcune indicazioni in ordine alle problematiche che un titolare del trattamento deve porsi per risultare compliant alla normativa europea laddove intenda avvalersi del “remarketing“.
LA COMPLIANCE È UNA ROADMAP A STEP
Anzitutto è necessario prestare attenzione al tipo di strumento utilizzato per raccogliere i dati e nel caso specifico quale tipologia di cookies. Questi ultimi, infatti, devono necessariamente essere indicati in maniera specifica e deve essere consentito all’utente di poter decidere se accettarne la loro esecuzione.
La richiesta di consenso dell’interessato-utente al rilascio dei cookies, unitamente alle informazioni ai sensi dell’art. 13 del Reg. UE 679/2016, è il primo step imprescindibile per raccogliere i dati attraverso tali strumenti. La richiesta deve essere esplicita e non è ammesso ad esempio che le caselle di flag (le cosiddette “spunte” ove previste come strumento di richiesta) siano già automaticamente attivate. Per ogni tipologia di cookie utilizzato, dunque, l’utente deve essere messo nelle condizioni di eseguire consapevolmente un’azione specifica, positiva ed inequivocabilmente attraverso il suo diretto consenso o accettazione.
Ottenuto il consenso e resa l’informativa il titolare del trattamento dovrà occuparsi della questione dei tempi di conservazione dei dati (la cosiddetta Data Retention) e delle modalità di conservazione stessa nonché provvedere a porre in essere tutte quelle misure tecniche e organizzative adeguate a garanzia della sicurezza dei dati personali trattati ai sensi degli articoli 25 e 32 del Reg. Ue 679/2016. E in relazione alle misure di sicurezza, andranno analizzati tutti i singoli aspetti atti a rendere il sistema compliant alla normativa. La metodologia è la medesima che in altre analoghe situazioni, ovvero quella di applicare al caso pratico i principi generali del Gdpr. Bisogna dunque porsi gli stessi interrogativi relativamente alla modalità di archiviazione dei dati raccolti e trattati: se si tratta di dati pseudonomizzati o anonimizzati, se sono protetti e in che modo, se minimizzati relativamente alle finalità del trattamento, se è stato individuato il tempo di conservazione.
In ordine poi ai soggetti che vengono in contatto con tali dati oltre al titolare del trattamento, sarà necessaria l’individuazione e nomina dei designati – incaricati al trattamento, dei responsabili del trattamento, dell’eventuale Data Protection Officer.
Aggiornare e redigere il registro dei trattamenti nonché rendere possibile la gestione delle richieste degli utenti relativamente a modifica e/o cancellazione dei dati sono altre operazioni imprescindibili.
ANCHE L’UTENTE È RESPONSABILE DEI DATI
Come fa un utente che non vuole essere “tracciato” a tutelarsi? Anzitutto l’utente deve prestare attenzione e diffidare dai siti che non consentono alcuna opzione di scelta in ordine all’esecuzione dei cookies. Come già rilevato, non tutti i siti risultano essere conformi alla normativa e verosimilmente molte azioni vengono gestite in maniera automatica senza che l’utente possa decidere il da farsi. In tali casi è opportuno che l’utente imposti il proprio web browser in modo tale da non consentire l’esecuzione automatica dei cookies (eccetto quelli tecnici indispensabili). Ove invece la scelta è consentita è bene che l’utente legga attentamente quali tipi di cookies potrebbero essere eseguiti. Spesso la profilazione non avviene solo dal sito che si è visitato ma anche dai siti partner commerciali o di soggetti in qualche modo collegati alla piattaforma di partenza.
La consapevolezza delle azioni che si compiono o non compiono sul web è certamente lo strumento numero uno per “difendersi” da indesiderati trattamenti di dati.
Giuseppe Fiordalisi Replica
Come avevo rappresentato nell’articolo in commento, segnalo per esaustività che in data odierna, 1 ottobre 2019, si è espressa la Corte di Giustizia Europea ( https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125en.pdf Case 673/17) nel senso di confermare che non è possibile attivare cookies di profilazione in maniera automatica con caselle preflaggate. E’ necessario sempre il consenso espresso ed esplicito dell’utente.