Nonostante il GDPR sia entrato in vigore lo scorso 25 maggio, si stima che il 65% circa delle aziende non siano ancora in regola. Il nuovo quadro normativo fa assumere particolare rilievo al trattamento dei dati, alla tematica dei cookies e a tutte le tecnologie assimilabili (come i web beacon o clear gift) per la tracciatura e il monitoraggio degli utenti on line.
L’utilizzo di queste tecnologie su web è già stata in precedenza oggetto della normativa detta “ePrivacy”, tuttavia l’entrata in vigore del GDPR impone ai gestori dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche, in particolare sul tema del consenso dell’utente, per rendere il proprio sito GDPR compliant.
La compliance del sito web al GDPR è una tematica delicata visto richiede molta attenzione e l’integrazione di competenze sia tecniche che normative. In realtà, l’attenzione del legislatore europeo verso il tema dei cookie iniziò già nel 2002, con un susseguirsi di normative che hanno più volte affrontato e aggiornato questo tema.
Ma come mai i cookies sono presi così di mira anche dal GDPR?
I cookies sono dei file di testo inviati sul computer dell’utente nel momento in cui sta visitando un sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza dell’utente.
Ben presto, tuttavia, i cookies iniziarono ad essere utilizzati anche per identificare, riconoscere e classificare il visitatore del sito. Le aziende ne compresero il potenziale e insieme ai “cookie tecnici” (necessari per il funzionamento del sito) iniziarono a sviluppare cookie statistici (per analizzare le visite al sito) e anche cookies di profilazione, con il fine di creare annunci personalizzati e aderenti ai gusti del visitatore.
La tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziano ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) che tracciavano gli utenti durante tutta la loro navigazione online, per poi mostragli annunci personalizzati sui vari siti.
“Questo è un aspetto sottovalutato da molti web master” – osserva Delia Caraci, consulente e owner di Digitalsfera, agenzia specializzata in web marketing – “per questo da quando è entrato in vigore il GDPR, stiamo affiancando un team di consulenti privacy sugli aspetti tecnologici legati al web, ed in particolare relativi ai cookie. In più occasioni, negli ultimi 4 mesi, ci siamo imbattuti in siti web che non erano stati adeguati correttamente al GDPR, in quanto i webmaster stessi non sapevano esattamente cosa fare, esponendo così ad un alto rischio il titolare dello stesso sito web.”
Ed è l’uso dei cookie di “profilazione” ad essere preso di mira soprattutto dalle diverse normative, e non meno dal GDPR, perché questi cookie tracciano il percorso di navigazione di una persona fisica anche su siti differenti, acquisendone a sua insaputa informazioni comportamentali, tracciandone il profilo e usando queste informazioni a fini di marketing.
“Oggi molti siti web devono integrare obbligatoriamente procedure di analisi delle performance e dei cookies di profilazione pubblicitari che però devono richiedere il consenso del visitatore web, in mancanza del quale il titolare del sito rischia pesanti sanzioni” conclude Caraci.