GDPR sbagliata: siti italiani con privacy policy non a norma

Continua il viaggio alla scoperta della situazione dell’applicazione del GDPR e della cookie law in Italia. In questa sesta puntata (qui l’elenco di tutte le puntate) vediamo come anche le aziende italiane a capo dei 25 siti italiani più popolari in Italia possono sbagliare, scrivendo privacy policy non a norma e sbagliando di fatto l’implementazione della normativa GDPR.

Il video della puntata alla fine dell’articolo.

I siti italiani

Dei 50 siti che ho rilevato durante l’analisi, 25 erano italiani. Erano cioè appartenenti ad aziende italiane. Ho analizzato tutte le 25 policy di questi siti.

Come ne escono? Decisamente non bene.

Certo, l’ho detto nel video e lo ribadisco anche qui: non ho una formazione in giurisprudenza (per la serie “mettere le mani avanti” 😉).
Tuttavia la mia analisi si basa sulla documentazione specifica a GDPR e Cookie Law. Soprattutto quella di iubenda, ma non solo.

i 25 siti italiani analizzati secondo GDPR e Cookie Law
Il punteggio che ho assegnato alle policy dei 25 siti italiani

Sulla base di questa documentazione emerge ad esempio quali debbano essere degli elementi di base necessariamente presenti sulla privacy policy. O come debba essere implementata la cookie law a livello tecnico sul sito (con, tra gli altri, il blocco preventivo dei cookie).

Purtroppo sono questi aspetti di base a non essere presenti sulle policy dei siti analizzati… la maggior parte.

Ma se la mia analisi dovesse essere errata e le policy analizzate dovessero invece essere corrette, ne sarei felice. Oltre ad imparare qualcosa di nuovo (e a condividerlo qui su questo stesso articolo), significherebbe che la situazione dei siti italiani non sarebbe così negativa come l’ho rilevata.

Se hai qualcosa da segnalare, scrivimelo pure. Prenderò attentamente in considerazione le segnalazioni per aggiornare eventualmente questo articolo.

Ho analizzato le policy basandomi sulle caratteristiche della privacy policy che ho descritto in questo video “GDPR: 10 caratteristiche della privacy policy” e su altre quattro caratteristiche della cookie policy (presenza della policy, elenco dei cookie, presenza del banner e il blocco preventivo dei cookie).

Il blocco preventivo dei cookie

Ad eccezione del sito dell’agenzia delle entrate, nessuno degli altri 24 siti analizzati implementa correttamente il blocco preventivo dei cookie.

Ricordo che la Cookie Law obbliga i siti a rilasciare i cookie solo dopo aver ottenuto il consenso dall’utente.
Ecco, tutti i siti analizzati presentano il cookie banner (il classico banner che compare al primo accesso e che avvisa che il sito che stai navigando rilascerà dei cookie sul tuo dispositivo). Tuttavia nessuno dei 24 sopra citati attende il consenso dell’utente per rilasciarli.

Esempio di cookie banner sul sito omarventuri.it
640Il cookie banner (in basso) deve essere un “elemento di discontinuità”. Ecco quindi che sul mio sito ho utilizzato un colore “vagamente” visibile 😲.

Apri il sito e, anche senza fare nulla, i cookie vengono depositati sul tuo dispositivo. Cookie Law violata quindi.

GDPR e dato personale: che confusione!

Leggendo le privacy policy, per molti dei siti analizzati sembra che non sia chiaro il concetto di dato personale. Concetto definito direttamente dal GDPR (ne ho parlato in più occasioni come in questo articolo e anche in questa intervista con Martina Medri di iubenda).

I dati di navigazione (tra cui l’indirizzo IP) sono dati personali. La privacy policy non si deve quindi limitare a proteggere solo i dati che un utente invia tramite il classico modulo di contatto o tramite un modulo d’ordine.

Anche un sito senza modulo di contatto acquisisce verosimilmente dati personali che vanno gestiti in maniera adeguata, come richiesto dal GDPR appunto.

Trasferimento dei dati al di fuori dell’Europa 🤦‍♂️

Altro tema di grande confusione, quello del luogo di trattamento dei dati degli utenti del proprio sito. Molte policy riportano che i dati non verranno trattati fuori dall’Europa o addirittura fuori dalle “mura” dell’azienda.

Peccato però che poi installano sul sito decine di tag che hanno sede negli Stati Uniti, luogo di trattamento dei dati.

Privacy policy (GDPR) e Cookie policy (Cookie Law)

Anche di questo ne ho già parlato: privacy policy e cookie policy sono due documenti diversi che – soprattutto – fanno capo a normative differenti.
La privacy policy è un documento che è richiesto dal GDPR, mentra la cookie law è un documento che è richiesto dalla Cookie Law.

Possono essere un documento unico? Sì, è possibile scrivere queste due policy come un unico documento, ma le due sezioni devono contenere tutto quello che è richiesto dalle singole normative.

Il video della puntata

Nel video della puntata trovi anche l’analisi di un paio di aziende con l’implementazione sbagliata del GDPR relativamente alla privacy policy.

Il materiale dell’analisi

Nel video mostro una sintesi della mia analisi. Qui ti lascio il documento (in formato Excel) dove puoi trovare tutti i dettagli: gli indirizzi delle policy analizzate, cosa ho analizzato e il punteggio di ognuno dei 25 siti analizzati.

Scarica l’analisi completa (formato Microsoft Excel)

Conclusioni

La mia resta un’analisi parziale e ovviamente il fatto che le aziende più grandi (o quantomeno i siti più popolari) non abbiano implementato correttamente GDPR e Cookie Law sui loro siti web, non implica alcunché.

Non significa che anche i siti più piccoli non siano in regola.

Come dico anche nel video, non si tratta di una questione economica, ma di sensibilità. Di quanto le aziende reputino importante l’implementazione di queste norme.

Dopotutto, mettersi in regola è davvero alla portata di tutti.