Coloro che, a vario titolo, hanno a che fare con il mondo della Privacy saranno certamente interessati agli sviluppi che il Regolamento Europeo porterà anche sul piano digitale.
Ho deciso quindi di scrivere un articolo sul tema dei cookie e in particolare sulla corretta applicazione delle prescrizioni del Garante in materia.
Per farmi un’idea della situazione ho messo la faccenda dei Cookies sotto la mia rigorosa e spietata lente di ingrandimento, predisponendo una personale e accurata check-list appositamente studiata per verificare i siti dei nostri clienti. L’esito di questa impietosa analisi ha restituito uno scenario davvero terribile, in virtù del quale ho già ordinato un’assortita gamma di strumenti di tortura per quanti non vorranno prendere in seria considerazione gli adeguamenti necessari.
Neppure un’azienda del nutrito campione analizzato è risultato conforme alla norma al cento per cento con l’aggravante che i titolari del trattamento sono la maggior parte delle volte completamente disinformati sulle conseguenze di tale mancanza.
Lo sentite questo suono terribile? No, non è vostra suocera ma il mostruoso grido di allarme che si leva sulle imprese italiane e che più o meno dice: attenzione ai biscottini indigesti!!
Il nome Cookies, biscotti appunto, ci richiama alla memoria le materne raccomandazioni che ci ammonivano dall’accettare caramelle e dolcetti vari dagli sconosciuti, tuttavia, nell’era digitale, questi biscottini sono all’ordine del giorno.
Ma cosa sono? Ecco una definizione abbastanza digeribile, al di là dei tecnicismi:
I Cookies sono utilizzati per memorizzare informazioni specifiche riguardanti le interazioni tra il pc ed il sito web. Tali informazioni possono essere usate in seguito quando l’utente tornerà a fargli visita, permettendo di riconoscerlo recuperando una serie di dati che lo contraddistinguono.
Ed ecco entrare in campo la Privacy. Infatti questi dati raccolti richiedono un determinato trattamento, normato e ben definito. Ciò nonostante la stragrande maggioranza dei siti che rilasciano questi cookies nei computer di chi li visita non riportano le informazioni necessarie.
Spesso non esiste un contratto dettagliato che specifica di chi è il sito, se viene garantita la portabilità, dove risiedono i server che alloggiano il sito, se esistono delle SLA (accordi sul livello del servizio), se vengono applicate le misure minime di sicurezza, le responsabilità in caso di sanzioni, ecc….
Insomma un disastro epocale se consideriamo che con l’imminente giro di vite sul tema Privacy che l’Europa attuerà nei primi mesi del 2018, certe leggerezze saranno punite non con sadica intransigenza. Ho a questo punto esteso la mia analisi anche altri siti aziendali imbattendomi con angoscia crescente in situazioni addirittura più drammatiche e preoccupanti.
Ad esempio ho scoperto centri radiologici che avevano messo a disposizione dei pazienti i referti on line attraverso l’accesso ad un’area riservata, senza preoccuparsi di come venivano gestiti i dati dal responsabile del sito, di come li conservava e come li proteggeva in occasione dei frequenti e necessari Backup.
In diversi casi sono stato costretto a ricordare che esiste un Art. 2250 del Codice Civile che dispone che il sito web debba rendere informazioni societarie obbligatorie (Ragione sociale, sede legale, capitale sociale, numero REA, Iscrizione alla Camera di Commercio).
Con un semplice tool dotato della funzione “ispeziona elemento” del browser, ho eseguito uno screening dei cookie installati dai siti web visitati sul mio computer, ricavandone la tipologia e da quale dominio provengono. Con sorpresa ho visto apparire il banner di informativa breve con la consueta richiesta di consenso ma i cookies spesso erano già stati installati precedentemente, prescindendo quindi dal mio consenso.
Anche l’analisi delle informative (quando presenti) mi ha riservato spiacevoli sorprese, trovandomi in diversi casi davanti a dei copia-incolla clamorosamente asinini, con elencati una serie di cookie non installati dal sito web. In alcuni casi nel copia-incolla non è stato neanche modificato il nominativo del Titolare del trattamento, riportando i riferimenti di perfetti sconosciuti.
Ho anche scoperto siti che riportavano la richiesta di consenso nonostante non venisse installato alcun cookie. Così, tanto per non farsi mancare nulla.
Anche l’analisi di siti di importanza rilevante come testate giornalistiche nazionali, produttori di automobili, grosse catene commerciali, non ha dato esito incoraggiante. Ho infatti rilevato infatti che sono veramente poche le aziende che hanno una gestione dei cookie conforme a tutti i precetti del Provvedimento, esponendosi a sanzioni che prevedono cifre importanti, capaci di arrivare sino alla cifra annunciata di circa 120.000 €.
In attesa di riprendermi da questo incubo sento il dovere di darti due energici consigli:
- Il primo. Verifica di persona la situazione leggendo con attenzione le informative privacy dei siti che visiti, andando anche a controllare la presenza delle Notifiche nell’apposito registro.
- Il secondo. Se hai un sito aziendale preoccupati immediatamente di metterti in regola, da un lato per evitare di subire onerosi scherzetti da parte delle autorità competenti, dall’altro per rendere un servizio trasparente e sicuro ai tuoi utenti.
Buon appetito e … buona digestione.
More privacy, Smart privacy!
