Cookie free: nessun "biscotto" per spiare i lettori

E il web non si adegua alle nuove norme sui dati personali

Privacy e sicurezza - Andrea Gelpi*  - 11 giugno 2018

La prima conseguenza dell'applicabilità del GDPR, il 25 maggio scorso, è stato il bombardamento di posta elettronica per inviare nuove informative (spesso non dovute). A chi, come me, si occupa degli aspetti tecnici, sono arrivate molte lettere di errata nomina a "responsabile del trattamento" (vedi Attenzione: il tecnico non è "responsabile del trattamento" di Manlio Cammarata).

Anche la pirateria informatica ha approfittato della situazione, inviando varie email con i soliti tentativi di convincere l'utente a fare click da qualche parte o andare su un qualche sistema a verificare qualche cosa. In realtà niente di nuovo o di strano, compreso il fatto che molti degli IP di provenienza di queste email sono russi.

Colpisce il fatto che molti siti web non risultano ancora aggiornati. Su molte pagine si trovano ancora frasi del tipo: "Letta l'informativa, acconsento...". Ma l'informativa è disponibile in una pagina a sé stante e il titolare non può dimostrare che l'interessato ha dato il consenso a quanto scritto in quella pagina. Senza contare che buona parte delle informative cita ancora esclusivamente il Codice della privacy e non il Regolamento europeo.

Ci sono poi informative dove arrivati alla fine l'unica possibilità è "accettare", e qui forse c'è un problema linguistico. Se devo "accettare", sto dando un consenso a qualche cosa, se invece c'è scritto "continua", mi è difficile capire se sto dando il consenso o semplicemente passo alla prossima pagina.

I cookie sono un altro discorso. Su molti siti c'è l'usatissimo Google Analytics, che raccoglie dati personali (l'IP del visitatore e l'identificativo della macchina) e permette di raccogliere informazioni sulle visite fatte. È un trattamento di dati personali, ma non si dice se la gestione del cookie è stata modificata, anonimizzando almeno l'IP del visitatore.

Su moltissimi siti è rimasta la vecchi dicitura che dice in sostanza: "Questo sito utilizza i cookie, fai click qui per proseguire o vai qui" che rimanda ad una pagina che spiega che cosa sono i cookie, suddividendoli in quelli tecnici, che non pongono problemi, e negli altri che potrebbero raccogliere dati personali.

A me sembra che tale "informativa" non vada più bene. Se ci sono elementi che raccolgono dati, che poi servono per profilare la mia visita o altro, al di là di dirlo nell'informativa, l'unico criterio di liceità dovrebbe essere il consenso. Ci dovrebbe essere la possibilità di dire di no, non usare quel cookie. I componenti che permettono di fare queste cose esistono, almeno per i siti web più comuni, e costano anche molto poco.

Un altro tema che sta creando non pochi grattacapi è la "data di scadenza" dei dati personali, cioè l'obbligo di cancellare i dati che non servono più e che non devono essere più conservati per un qualche motivo. I dati su carta ad un certo punto vengono eliminati perché non c'è più un posto dove conservarli, mentre quelli digitali no, non vengono cancellati, tanto basta cambiare il disco fisso con uno di dimensione maggiore e il problema è risolto.

In qualche caso c'è un'altra difficoltà, perché ci sono programmi che ancora non prevedono una funzione di cancellazione massiva dei dati che non servono più, ad esempio i dati contabili e fiscali dei clienti, trascorsi i 10 anni di conservazione obbligatoria. Ma anche per motivi "culturali". L'obiezione più frequente è: "Li conservo perché non si sa mai. E' capitato che siano venuti a chiedermi dati anche molto vecchi".

Esiste poi il problema pratico di eliminare i messaggi di posta elettronica contenenti dati personali che non servono più. Molti utenti tengono tutto in un unico calderone e fare a distanza di tempo una cernita di che cosa tenere e che cosa va buttato via non è per niente facile.

In conclusione, il 25 maggio è passato, alcune cose stanno cambiando, ma c'è ancora moltissimo lavoro da fare, come aveva saggiamente previsto il legislatore europeo quando aveva stabilito due anni di tempo per aggiornarsi. Peccato che tutti, autorità comprese, abbiano dormito per oltre un anno e mezzo, svegliandosi solo quando era ormai troppo tardi.

* Ingegnere