GDPR: Sito web con Google Analytics
Un caso molto comune: sito web che non acquisisce dati personali di alcun tipo ma che ha Google Analytics installato. Abbiamo cercato articoli/discussioni in merito alla PRATICA ma abbiamo sempre trovato solo e unicamente TEORIA.
Un legale ci ha riferito a Danilo che tutti i cookie di terzi e di profilazione, incluso Analytics anonimizzato, devono essere accettati singolarmente dall'utente con una spunta alla prima visita.
(utilizzo il termine cookie per capirci, in realtà il GDPR si estende a tutti i servizi che raccolgono dati personali, pure senza cookie)
Singolarmente significa che non posso fare un tasto del tipo "Accetto tutti i cookie" ma devo creare una LISTA di singoli cookie/servizi, le cui singole spunte devono essere SPENTE di default.
Se i checkbox sono accesi di default, c'è un violamento del GDPR.
L'anonimizzazione dell'IP su analytics è inutile nei confronti del regolamento, dato che avviene comunque una pseudonimizzazione, per cui l'utente è comunque tracciato.
L'utente in sostanza:
- Atterra sul mio sito
- Vede il bannerone della cookie policy / privacy GDPR
- Vede una lista di cookie/servizi NON spuntati
- Ha la possibilità di spuntarne uno, tutti o nessuno
- Fatto ciò può cliccare su "Accetta" per darmi il consenso
- Al posto di "Accetta" deve avere anche la possibilità di rifiutarsi e eventualmente revocare un consenso precedentemente ottenuto
- In futuro, può anche chiedermi di eliminare i suoi dati personali (esatto, anche da Analytics!)
Quindi, ragionando un pò, siamo giunti a tre conclusioni: (non so quale ci faccia arrabbiare di più....)
- Avremo un calo del 95% (come minimo) degli accessi mostrati su Analytics, dato che l'utente deve accettare esplicitamente di essere tracciato facendo due azioni (deve cliccare il checkbox di Analytics e poi deve fare Accetta, cosa che praticamente nessuno farà dato che siamo abituati a levarci di torno il banner il prima possibile cliccando "Accetta" senza leggere)
- L'utente ha la facoltà in qualsiasi momento di REVOCARE il consenso. Qui la faccenda diventa complessa e FOLLE
Puoi anche avere WordPress, Joomla, CMS personalizzato e così via, ma dovrai per forza creare un database esterno in cui inserirai tutti gli identificativi degli utenti e il tipo di consenso che hanno espresso. Esatto, pure se hai un sito di 3 pagine per il tuo ristorante e non sai nulla di web, se hai Analytics dovrai andare su MySQL/Maria/Postgresql/ecc e creare un bel database a mano
Quando l'utente visita il sito e compie una scelta (nessun checbox, uno solo, più di uno o tutti), questa scelta la devi inserire in questo database (questa è la "prova" che serve al GDPR per documentare la raccolta dei dati)
E se l'utente vuole revocare il consenso? Devi trovare il modo di rintracciarlo nel database, e modificare "si" in "no" oppure "true" in "false" o "1" in "0".
E come faccio a tracciare l'utente nel database se torna da me dopo 30 giorni? Non si è mica registrato al sito con user e pass, ha solo visitato... Beh, auguri! <- C'è bisogno di programmazione con i cookie in questo caso (già mi immagino le bestemmie di Mario, ristoratore con un sito di 3 pagine...)
Ogni volta che un utente visita il sito, inoltre, dovresti fare una query a questo database personalizzato per sapere se è la prima visita o se è già passato. Se l'utente ha già visitato, allora devi rintracciare quale consenso ti ha dato e eventualmente fai partire il javascript di Analytics altrimenti NO - L'utente non solo può revocare il consenso precedentemente dato, può anche richiedere la cancellazione dei dati personali che hai raccolto.
Parlando di Analytics, infatti, l'utente può chiedere a TE di cancellare i SUOI dati presenti nel TUO Google Analytics e starà a TE trovare il modo di toglierli. Da quello che ho letto, Google sta implementando un sistema per poter fare questo, ma la parte del "come faccio a rintracciare questo tizio, che mi ha visitato 2 anni fa, dentro Google Analytics?" spetta a te. Anche qui, auguri di nuovo - I vari cookiebot, iubenda, ecc, possono aiutarvi solo con il punto 1, e nemmeno al 100%. Loro possono predisporre il testo di una privacy policy, possono pensare a un banner con tutti gli elementi, ma non possono intervenire lato programmazione sul tuo sito.
> Se l'utente non seleziona i checkbox, quei tali cookie/servizi non possono partire. Iubenda secondo te lo fa al posto tuo? Se io ho JS esterni, o funzioni jquery particolari per lanciare questi servizi ti pare che loro riescano a gestire la cosa?
> Il database dove tracci i consensi lo devi comunque creare tu. Ti pare che iubenda entri sul tuo phpmyadmin per crearti un DB e ti crei le query PHP (o qualsiasi altro linguaggio) per gestirti la comunicazione tra sito e db?
> Quando l'utente ti chiede la cancellazione dei dati personali, ti pare che iubenda entri nel tuo Google Analytics e trovi il modo di cancellare i dati di quell'utente?
> Iubenda&co, in realtà, gestiscono la parte più semplice di tutto il processo, ossia "quello che vede l'utente" (policy, banner, ecc). Tutta la programmazione, il database, le query, ecc, non possono ovviamente farla loro
Per concludere: dopo esserci studiato le implicazioni di quanto detto, noi crediamo di essere in grado di svilupparci tutto l'ambaradan da soli, ma questo è possibile solo perché abbiamo esperienza con creazioni di database, costruzione delle query SQL/PHP/ecc, hit condizionale dei vari script (Analytics, Pixel FB, ecc), e siamo certi che ci vorrà un bel po' di tempo per ogni singolo sito. Io davvero non ho idea di come possa fare il possessore di un sito web senza un programmatore a fianco...
Se la situazione rimane com'è e se il Garante non gestirà diversamente almeno i tool di analisi (tipo Analytics) noi molto probabilmente lo elimineremo da tutti i siti che gestiamo.
Se non strettamente necessario, a questo punto, elimineremo i commenti sui siti WordPress, i form di contatto (lasciando solo l'indirizzo mail visibile), e così via. Il web torna a 15 anni fa.
Solo per siti importanti, e per i clienti, si può pensare di implementare tutta questa cosa, altrimenti non vale proprio la pena
PS. La multa per violazione del GDPR va dal 4% del tuo fatturato annuo fino a 20 milioni di euro. Se la violazione è "lieve" ci può essere una semplice diffida di tipo amministrativo