Pubblicato il 21/05/18 - aggiornato il  | 11 commenti :

GDPR: trattamento della Privacy da parte di Google, GA e Facebook

Come mostrare le informazioni sulla tutela della Privacy da parte di Google, Facebook e Google Analytics da usare per il GDPR.
Dopo il primo post in cui ho delineato le linee fondamentali del nuovo regolamento del GDPR (General Data Protection Regulation), passo a trattare più nello specifico i vari temi facendo però presenti alcune considerazioni iniziali, anche per togliere un po' di stress agli webmaster che forse sono eccessivamente preoccupati da questo nuovo regolamento.

Nella Gazzetta Ufficiale della UE è stato pubblicato il Regolamento del GDPR che potete leggere scaricandolo da qui in formato PDF. Nell'Articolo 2 Ambito di applicazione materiale si legge testualmente che:

Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Ma nello stesso articolo sono previste eccezioni. Al comma c) dello stesso articolo è scritto pure:

Il presente regolamento non si applica ai trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico

In sostanza se si ha un blog personale senza altri fini, per esempio pubblicitari, non si dovrebbe neppure essere interessati a queste norme. Rimangono comunque valide le disposizioni che abbiamo già visto per la Cookie Law. Naturalmente non sono un giurista e non mi prendo la responsabilità di dire con certezza che questa mia affermazione sia la giusta interpretazione del regolamento.

Un'altra cosa da mettere in chiaro sono le multe. Le aziende che non ottemperano in modo corretto a queste disposizioni possono essere multate fino a un massimo del 4% del loro fatturato. Per un sito dilettantistico o anche semiprofessionale, considerando come fatturato le entrate pubblicitarie, siamo veramente a livelli non preoccupanti specie per i molti che guadagnano solo pochi euro al mese.






L'amministratore del sito detiene personalmente pochissimi dati sugli utenti che lo navigano. La maggior parte delle informazioni che il lettore lascia, tramite il suo browser, finiscono sei server delle terze parti che li acquisiscono con tecnologie di vario tipo. Il compito del webmaster è quindi quello di mostrare al lettore come eventualmente negare il consenso all'archiviazione dei suoi dati tramite gli strumenti messi a disposizione. Oltre a questo è necessario altresì informare che si può sempre negare una autorizzazione che era stata concessa.

Avere nel proprio sito anche solo un contatore di visite come Shinystat, comporta un tracciamento dei visitatori di cui dovremo informare i lettori su tutte le possibili profilazioni a cui potrebbero essere sottoposti. Un discorso rilevante in questo contesto è quello della pseudonimizzazione, un neologismo che probabilmente si sono inventati i traduttori della UE. Per pseudonimizzazione si intende "il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile."  Tanto per fare un esempio se uso il mio username storico parsifal32, ho creato un mio pseudonimo ma, tramite opportune ricerche si può risalire al mio vero nome.

Quindi anche i dati degli pseudonimi ricadono nel campo del GDPR. I due player più importanti e che detengono la maggior parte delle informazioni degli utenti sono Google e Facebook. In questo articolo vedremo in dettaglio quali siano stati gli accorgimenti presi da questi due colossi del web per ottemperare alle disposizioni del GDPR per poi comunicargli ai lettori con le informazioni per scegliere il trattamento dei dati che desiderano.






LA PRIVACY DI GOOGLE


Google ha pubblicato una guida molte estesa e dettagliata sulla sua Policy Privacy e una sua versione aggiornata in funzione del GDPR. La gestione della nostra privacy si effettua principalmente accedendo al nostro account personale su Google. Segnatamente nella sezione Privacy, possiamo controllare quello che Google conosce sul nostro conto e il registro delle nostre attività. Ecco quello che può essere fatto in quest'area e di cui dobbiamo informare i lettori che arrivano nel nostro sito da loggati su Google.

GESTIONE ATTIVITÀ


In Gestione Attività possiamo scegliere le attività che possono essere salvate nel nostro account Google. Può essere salvata o meno la Cronologia della navigazione su Chrome e sui siti e le app che ne utilizzano servizi. Si clicca su 1) Gestisci Cronologia per prendere visione dell'attività su Chrome, Android o altro dispositivo. Si clicca su Cambia impostazione e si sposta il cursore per impedire a Google di tenere nota della nostra attività. 

Visualizzando l'area de 2) La mia attività si può visualizzare l'attività recente e eventualmente eliminarla. Ci sono dei cursori o controlli On/Off per gestire la cronologia delle posizioni, le attività web e app, la cronologia delle ricerche YouTube e altro ancora su tutti i dispositivi su cui ci siamo loggati con il nostro account.





CONTROLLO DI SICUREZZA E PRIVACY


Nella sezione Controllo di Sicurezza viene effettuato il check-up delle nostre attività nel web. Viene mostrato il numero di dispositivi con cui abbiamo effettuato l'accesso, le attività recenti sulla sicurezza, l'attivazione o meno della verifica in due passaggi e le app di terze parti a cui abbiamo concesso l'accesso all'account.

In relazione al GDPR, è particolarmente rilevante in Controllo della Privacy, di cui dobbiamo informare anche i lettori che arrivano nel nostro sito, se desiderano esserlo. Si va su Inizia ora per personalizzare la nostra esperienza su Google. La prima schermata riguarda le Attività Web e App e si visualizzerà l'informazione se questa impostazione sia attiva o meno. Google memorizza le ricerche e altre attività svolte da loggati. Memorizza pure attività quali le app che si utilizzano, la cronologia di Chrome e i siti visitati sul Web. Questa impostazione consente a Google di dare più velocemente i risultati completando automaticamente le ricerche, nonché di offrire esperienze più efficienti e personalizzate in Maps, nell'assistente e in altri servizi Google.

Si possono avere informazioni più dettagliate dalla pagina di istruzioni sulla Attività di ricerca. Per modificare le impostazioni si clicca su Gestisci l'attività Web e App -> Cambia impostazione.

IMPOSTAZIONE ANNUNCI E DISATTIVA ANNUNCI


Con Google si possono gestire o disattivare gli annunci con lo strumento Impostazioni Annunci e Disattiva Annunci. Si apre la pagina Personalizzazione degli annunci, per controllare le informazioni utilizzate da Google per mostrarci annunci più pertinenti quando si naviga per esempio sulla Ricerca Google o su Youtube. Possiamo mettere o meno la spunta su Utilizza anche i dati e l'attività dell'account Google per personalizzare gli annunci nei siti web e nelle app che lavorano come collaboratori esterni di Google.

argomenti-che-interessano

Più in basso ci viene mostrato un elenco degli argomenti che ci potrebbero interessare. Se ne troviamo qualcuno che invece non incontra i nostri gusti, clicchiamo sulla crocetta per inserirlo nella sezione Argomenti che non interessano. Ancora più in basso viene mostrato il nostro profilo, ovvero fascia di età e il sesso. Si possono visualizzare annunci personalizzati secondo le nostre preferenze anche quando non siamo loggati con Google con un apposito plugin per Chrome, per Firefox (scaricato come file .xpi) e per Internet Explorer

Google è solo una delle più di 100 reti pubblicitarie  che mostrano annunci personalizzati. Si può disattivare la personalizzazione degli annunci  di Google o di qualsiasi altra rete pubblicitaria nella pagina Le tue scelte.

attivare-disattivare-annunci-personalizzati

Si possono attivare gli annunci personalizzati per tutte le società oppure farlo singolarmente con i controlli On/Off. Nei prossimi mesi Google renderà più semplici e comprensibili queste opzioni e, a partire dal 25 Maggio 2018, entrerà in vigore una nuova Politica di consenso degli utenti appartenenti alla UE.

LA PRIVACY DI FACEBOOK


Anche Facebook ha messo a punto degli strumenti per ottemperare alle norme che entreranno in vigore il 25 Maggio 2018 con in GDPR.  Le norme seguite da Facebook sono sintetizzate nella pagina dedicata a GDPR.

I principi a cui si ispira Facebook sono quelli di trasparenza, controllo e affidabilità. Anche la piattaforma Messenger è interessata al GDPR. Il singolo webmaster, in linea di massima, ha molto meno a che fare con Facebook che con Google, visto che non implementa la pubblicità di Facebook nel proprio sito. Sostanzialmente non c'è molto da aggiungere per Facebook nella Policy Privacy che abbiamo già realizzato per la Cookie Law.

GOOGLE ANALYTICS


Abbiamo già visto come anonimizzare i dati di Google Analytics per non tracciare il singolo utente. Questo non è sufficiente. Se ancora non si aperto Google Analytics, visualizzeremo questo messaggio

conservazione-dati-utenti

Sarà impostato il numero di mesi che i dati di Analytics rimarranno nel nostro account. Si può scegliere da 14 a 50 mesi o senza una scadenza. Per modificare l'impostazione si va in basso a sinistra su Amministratore quindi si clicca sulla Proprietà, cioè sul sito su cui intervenire. Si va poi su Informazioni sul monitoraggio.

conservazione-dati

Si clicca su Conservazione dei dati. Dopo aver scelto la durata della conservazione si va su Salva. Questa impostazione dovrà essere comunicata agli utenti come pure il modo per non essere tracciati da Google Analytics che dovrebbe essere già presente nella Privacy Policy attuale. Si tratta comunque di un tracciamento anonimo. Tutte queste informazioni insieme ad altre che illustrerò in seguito, dovranno essere inserite in modo sintetico nella Informativa breve e più analiticamente nella Informativa estesa come vedremo in altri post.

DISCLAIMER: NON SONO UN AVVOCATO E QUESTE INFORMAZIONI  VANNO PRESE SOLO COME CONSIGLIO. SONO PRONTO A RECEPIRE CONTRIBUTI DI LETTORI CON SITI SU BLOGGER.
Tutte le info e i link sul GDPR li trovi in questo post e in quelli linkati in calce
GDPR per Blogger, come mettersi in regola


11 commenti :

  1. Salve Ernesto. Io ho realizzato un blog per un professionista (medico) nel quale, in una pagina, ho inserito un form da compilare, nel caso volesse essere contattato. In quel caso qual'è l'informativa da inserire? Grazie.

    RispondiElimina
  2. I moduli di contatto li tratterò in un prossimo post
    @#

    RispondiElimina
  3. Grazie Ernesto x qst interessanti aggiornamenti ma...in poche parole...cosa devo fare? Ovvero se lascio tutto com é ora non va bene ?

    RispondiElimina
  4. Risposte
    1. Quando termino la serie di post ci saranno anche le istruzioni su come modificare informativa breve e estesa e su come inserire altre info per gli utenti. Preciso però che non sono un avvocato e seguo soprattutto il buon senso
      @#

      Elimina
  5. Ernesto, grazie mille per il lavoro che stai facendo. E' estremamente chiaro, con quell'inimitabile approccio pragmatico che ti contraddistingue. Finalmente inizia ad essere più trasparente questo benedetto GDPR.

    Ho solo una domanda. Nel caso si utilizzi il blog per inserire anche link di affiliazioni, come ad esempio quelli di Amazon, anche questo va espressamente trattato nell'informativa estesa, oppure bastano i riferimenti che avevamo già introdotto con la Cookie Law ? In teoria l'utente non scarica alcun cookie di Amazon navigando sul sito. Il passaggio di dati sui server di Amazon avviene solo nel momento in cui l'utente clicca intenzionalmente su un link o un prodotto. Si tratta quindi di cookie necessari al fine dell'affiliazione, negli interessi dell'utente che entra volontariamente su Amazon.

    RispondiElimina
    Risposte
    1. Non te lo dire con certezza ma credo che basterà aggiungere qualche postilla alle righe che hai già dedicato a Amazon nella precedente Policy Privacy
      @#

      Elimina
  6. Ma avendo solo blog di blogger e quindi non personalizzato non verrà automatica la cosa?

    RispondiElimina
  7. Ciao Ernesto, grazie per ciò che fai! Sinceramente io sono un po' nel pallone perché non capisco cosa devo fare, ho un semplice blog dove recensisco prodotti senza nemmeno la pubblicità quindi mi chiedo se anch'io debba apportare delle modifiche in più avendo pulsanti come Facebook, Instagram, Pinterest ecc ecc.

    RispondiElimina

Non inserire link cliccabili altrimenti il commento verrà eliminato. Metti la spunta a Inviami notifiche per essere avvertito via email di nuovi commenti.
Info sulla Privacy