Panoramica
Cosa sono i software GDPR?
In questi ultimi anni, i governi di tutto il mondo stanno legiferando all’unisono – dal GDPR paneuropeo al CCPA californiano alla LGPD brasiliana, le leggi sulla privacy dei dati stanno prendendo forma, emergendo in ondate e contribuendo a quella che sembra essere una rivoluzione tecnologica di portata mondiale.
Il principale elemento in comune tra le varie leggi sulla privacy è una chiara attribuzione di responsabilità.
Il GDPR dell’UE è molto chiaro: la responsabilità giuridica della legalità del trattamento dei dati personali ricade sui proprietari e sugli operatori dei siti internet.
Ne consegue, quindi, che le tecnologie necessarie per realizzare gli intenti delle leggi sulla privacy debbano essere implementate dai proprietari dei siti web, non dagli utenti – un software GDPR che risponda ai cambiamenti strutturali che il GDPR sta producendo, non soluzioni palliative di autodifesa per ogni singolo utente in circolazione.
Dunque, i software GDPR (o software di conformità al GDPR o strumenti per il consenso al GDPR) sono soluzioni che rendono possibile la conformità al GDPR.
Software GDPR per il consenso e i cookie
Le piattaforme di gestione del consenso sono software GDPR essenziali.
Se hai un sito web, probabilmente ti serve una piattaforma di gestione del consenso per tenere sotto controllo i cookie e i tracker che processano dati personali sul tuo dominio, attività che richiede il consenso dell’utente secondo il GDPR.
I cookie sono il modo più comunemente utilizzato dai siti web per trattare i dati personali dei loro utenti, e accertarti che il tuo sito usi i cookie rispettando i requisiti di consenso del GDPR può essere piuttosto difficile, considerando che:
Il 72% dei cookie sui siti web è posizionato da altri cookie di terze parti.
Il 18% dei cookie sui siti web è caricato da una profondità di addirittura altri otto cookie.
Il 50% di questi cookie nascosti cambia da una visita all’altra.
Fonte: Beyond the Front Page, uno studio del 2020 sui cookie e il tracciamento dei siti web.
Controlla il tuo sito con il test gratuito di Cookiebot per la conformità al GDPR.
Un sito nell’UE o un sito che tratta dati di cittadini dell’UE (indipendentemente dal luogo in cui è basato tale sito) deve come minimo rispettare una delle condizioni per il corretto trattamento, specificate all’Articolo 5 del GDPR.
Secondo il GDPR, il consenso è la prima condizione per il trattamento delle informazioni personali, il che significa che i siti web devono ottenere il benestare chiaro e inequivocabile dei loro utenti prima che qualsiasi raccolta o trattamento dei dati di questi ultimi possa essere effettuata.
EDPB guidelines on valid consent in EU
Il Comitato europeo per la protezione dei dati (EDPB) è l’autorità più importante per l’applicazione del GDPR nell’UE.
Le linee guida e le decisioni da loro adottate costituiscono la base di come ciascuna autorità nazionale per la protezione dei dati in ogni stato membro dell’UE applica e fa rispettare il Regolamento generale sulla protezione dei dati (GDPR).
Le linee guida dell’EDPB sul consenso valido adottate il 4 maggio 2020 chiariscono dettagliatamente cosa può essere considerato un consenso valido nell’UE – e quindi stabiliscono anche come il tuo sito web deve ottenere il consenso dell’utente, per assicurarti che ciò venga fatto in modo pienamente conforme.
Le linee guida dell’EDPB specificano che:
Il tuo sito web può trattare i dati personali delle persone nell’UE solo dopo aver ottenuto un’indicazione libera, specifica, informata e inequivocabile dei desideri degli utenti.
Ciò significa che le caselle preselezionate sui cookie banner non sono valide, vale a dire che i cookie devono essere presentati deselezionati, in modo tale che l’utente possa scegliere di selezionarli chiaramente e affermativamente per dare il suo consenso.
Significa anche che la continuazione dello scorrimento e della navigazione sul tuo sito non può essere considerata un consenso valido.
Analogamente, il tuo sito non è autorizzato a utilizzare cookie wall (ovvero rendere il consenso una condizione per l’accesso al tuo dominio), in quanto questo consenso sarebbe forzato e quindi non libero (non valido).
Per saperne di più sulle linee guida dell’EDPB sul consenso valido nell’UE, clicca qui.
Cookiebot come software GDPR
Cookiebot è la piattaforma di gestione del consenso più usata al mondo.
Cookiebot è un gestore del consenso che i siti web utilizzano per conformarsi al GDPR dell’UE, all’ePrivacy e ad altre simili legislazioni sui dati, nell’ambito di cookie e tracker, per garantire la privacy dei loro utenti finali ed evitare le salate multe comminate la non conformità.
Cookiebot è una soluzione semplice di tipo plug-and-play che crea un equilibrio tra il tuo sito e la privacy degli utenti – implementata direttamente dal cloud senza bisogno di intervento manuale o installazione in loco.
L’impareggiabile scanner di Cookiebot esamina il tuo dominio in profondità e individua tutti i cookie e i tracker in funzione. Cookiebot esegue scansioni mensili che aggiornano la tua dichiarazione dei cookie e la rendono affidabile per i tuoi utenti.
Cookiebot blocca poi automaticamente tutti i cookie e vieta la raccolta, l’elaborazione e la condivisione dei dati personali. Questo significa che le informazioni private dei tuoi utenti non saranno raccolte da grandi aziende tecnologiche, né elaborate e utilizzate per la pubblicità comportamentale..
Cookiebot presenta infine ai tuoi utenti un banner di consenso ai cookie che li informa di tutti i tracker, inclusi i relativi utilizzi e finalità, permettendo loro di controllare l’attivazione dei cookie in base alle loro scelte sul consenso. Solamente i cookie necessari saranno sempre preselezionati e impossibili da disattivare per gli utenti.
La soluzione software GDPR di Cookiebot agisce attraverso:
- Uno scanner che rileva tutti i cookie e le analoghe tecnologie di tracciamento presenti sul tuo sito web;
- Il blocco automatico di tutti i cookie fino all’ottenimento del consenso dell’utente;
- Il consenso granulare che garantisce la scelta libera, consapevole e specifica da parte di ciascun utente;
- Banner di consenso che permettono agli utenti di concedere o revocare il loro consenso ai tracker;
- La documentazione del consenso degli utenti;
- La periodica richiesta di rinnovo del consenso.
Grazie a queste funzioni fondamentali del nostro prodotto, alcune delle quali sono pionieristiche e uniche nel settore della privacy, siamo in grado di offrire una soluzione per la conformità semplice e immediata, in modo che i siti web siano all’altezza del nuovo panorama mondiale delle leggi sulla privacy dei dati.
Prova ora Cookiebot gratis per 14 giorni… o per sempre, se hai un sito web di piccole dimensioni.
Software GDPR in dettaglio
Altri software GDPR
I software GDPR vanno a coprire diverse disposizioni contenute nel GDPR, tra cui:
- Riduzione al minimo dei dati
- Anonimizzazione e pseudonimizzazione
- Violazioni dei dati
- Archiviazione sicura dei dati
- Documentazione delle attività di trattamento
- Integrità e riservatezza
Ne è un esempio il Motivo 26 del GDPR, che afferma che i principi della protezione dei dati non si applicano ai dati anonimizzati o pseudonimizzati, ovvero non riconducibili a una persona fisica identificabile. In altri termini, il GDPR non riguarda le informazioni anonime – ad esempio quelle raccolte a fini statistici o di ricerca.
Esempi di software GDPR specializzati in questo aspetto sono:
- Boxcryptor – che cripta i dati da popolari servizi cloud quali Google Drive e Dropbox;
- Tokenex – Tokenizzazione cloud per la sicurezza dei dati e la conformità normativa.
In questo modo, le aziende e le organizzazioni possono garantire la conformità al GDPR nelle loro attività di trattamento dei dati personali sensibili.
Un altro esempio è l’obbligo per le aziende, previsto dall’Articolo 35 del GDPR, di effettuare valutazioni d’impatto sulla protezione dei dati nel momento in cui una tipologia di trattamento possa comportare rischi per i diritti e le libertà dei cittadini dell’UE.
Software GDPR specializzati nella conformità a questa parte del GDPR sono per esempio:
- PrivIQ, che si occupa dell’archiviazione sicura dei dati per le esigenze di protezione;
- Logicgate, che si occupa dell’archiviazione sicura dei dati secondo i requisiti di protezione, oltre a gestire la reazione dell’azienda in caso di violazione dei dati (in relazione all’Articolo 33).
La privacy non è responsabilità degli utenti
Tutti noi amiamo la tecnologia. Migliora la nostra vita in mille modi e non siamo disposti a rinunciarvi. Ecco perché l’amico che abbandona Facebook di solito fa marcia indietro poco dopo.
La tecnologia non è una moda. Plasma le nuove infrastrutture digitali che stanno trasformando il modo in cui ci colleghiamo, ci incontriamo, parliamo, mangiamo, dormiamo, viviamo e moriamo.
La maggior parte degli utenti dei siti web non ha il tempo nè le competenze tecniche per informarsi sulle proprie possibilità di autodifesa: proprio per questo motivo sosteniamo che gli strumenti di autodifesa (come i browser che migliorano la privacy o i filtri pubblicitari) non sono una soluzione percorribile, se paragonati ai software GDPR per la privacy, per mettere in pratica il cambiamento strutturale necessario.
La maggioranza degli utenti non è disposta a rinunciare alla tecnologia che nel frattempo critica, il che si traduce in questo strano limbo in cui gli utenti, a ragione, temono per la loro privacy, ma continuano a utilizzare le stesse tecnologie che sono la causa primigenia di tale loro paura.
Strumenti di autodifesa vs “Privacy by Design”
Non è difficile trovare su internet strumenti che danno agli utenti la possibilità di gestire personalmente la privacy dei loro dati.
Questi strumenti includono:
- Browser che migliorano la privacy, quali Tor, Epic, Brave e Firefox;
- VPN (reti virtuali per la privacy) che celano gli indirizzi IP degli utenti;
- Ad blocker o estensioni del browser, come Ghostery e AdBlock, che bloccano i tracker.
Sono utili e hanno buone intenzioni: permettere alle persone di opporsi al tracciamento pervasivo e all’abuso dei dati, attività di cui il web pullula.
Il problema è che questi strumenti di autodifesa non rappresentano una vera e propria minaccia per i giganti tecnologici, coloro che ci tracciano e abusano dei nostri dati.
Al contrario, promuovono l’idea che spetta agli utenti decidere di non essere tracciati (opt-out), mentre invece spetta loro decidere, eventualmente, di esserlo (opt-in).
Questo va contro la nozione di ”privacy by design” del GDPR, che impone alle aziende di sviluppare software che abbiano la privacy come impostazione predefinita, in modo che gli utenti debbano innanzitutto scegliere di accettare i cookie di marketing e le altre tecnologie di tracciamento – e non di rinunciarvi.
“Più una connessione a internet diventa indispensabile, meno scelta abbiamo, il che significa che abbiamo sempre meno autonomia, un elemento chiave per poter essere in controllo della nostra vita. È difficile aspettarsi che qualcuno prenda il controllo su qualcosa che, sin da principio, non ha mai avuto la possibilità di controllare” – Colin Horgan, collaboratore della rivista tecnologica OneZero.
Non osservare la clausola sulla “privacy by design” del GDPR, lasciando invece che la responsabilità di fare opt-out dalle attività di tracciamento ricada sugli utenti finali, costituisce dunque un problema da non sottovalutare.
Libera le aziende tecnologiche dal dover cambiare prassi e dall’assumersi le proprie responsabilità, visto che gli utenti sono costretti a cavarsela da soli.
Gli strumenti di autodifesa non sono altresì completi e solidi nelle loro attività di protezione, in quanto siti di informazione come il New York Times bypassano esplicitamente le impostazioni di “non tracciare” in browser quali Safari e Firefox.
Ecco perché gli strumenti di autodifesa sono solo soluzioni temporanee – una sorta di cerotto che gli utenti finali possono utilizzare come protezione aggiuntiva, ma che non può costituire un vero e proprio cambiamento strutturale.
Ed è qui che entrano in gioco il software GDPR e le soluzioni per un consenso conforme.
Cookiebot esiste per proteggere la privacy degli utenti su tutto il web, in tutto il mondo. Siamo convinti che sia assolutamente vitale garantire un futuro in cui internet sia libero e riservato e lottare affinché diventi realtà.
Cookiebot consente al proprietario di un sito web di rispettare e proteggere i propri visitatori dal tracciamento indesiderato. Offriamo questo servizio perché le normative sulla privacy sono di difficile comprensione per la maggior parte dei proprietari dei siti.
Prova Cookiebot gratis per 14 giorni… o per sempre, se il tuo sito ha dimensioni contenute.
Software GDPR e monitoraggio sui siti di informazione: USA vs UE
La percezione dell’impatto del GDPR sul panorama della privacy su internet diventa chiara quando si considera la differenza tra Stati Uniti e Unione Europea nella quantità di tracciamento che ha luogo online nei portali di notizie.
Timothy Libert, creatore dello scanner di tracciamento open-source webXray e membro della facoltà di informatica della Carnegie Mellon University, ha utilizzato questo strumento per esaminare un articolo del New York Times intitolato “Can An Abortion Affect Your Fertility?” sia negli Stati Uniti che nell’UE.
La scansione ha evidenziato che negli Stati Uniti l’articolo conteneva oltre 100 cookie di terze parti, con quasi 50 diverse società di ad tech presenti e pronte a tracciare i lettori dell’articolo. Tra queste, aziende come Oracle BlueKai, che accumulano enormi quantità di dati degli utenti in categorie sensibili (come “condizioni di salute” e “termini medici”), poi impiegati per offrire servizi simili a quelli di Cambridge Analytica allo scopo di attuare campagne di marketing mirate e personalizzate.
Ma la scansione ha anche rilevato una seconda significativa scoperta: l’articolo, quando è stato caricato all’interno dell’UE, conteneva “solo” 28 cookie di terze parti di 16 diverse aziende pubblicitarie. Comunque ancora troppi per un articolo che può rivelare le convinzioni politiche o la situazione medica dei lettori.
Tuttavia, ciò dimostra anche la rilevanza che il GDPR sta avendo sullo scenario globale di internet, in continua evoluzione.
Il GDPR sta letteralmente cambiando questo scenario, e la tecnologia che ne deriva deve essere un software GDPR che supporta tali cambiamenti strutturali.
Internet è un paesaggio in continua trasformazione
Vent’anni fa Internet era una cosa, ora è tutt’altro.
La “scintilla” universale che ha pervaso internet negli anni ’90 è stata sostituita da una fitta commercializzazione e da strutture a più livelli, dove gli utenti sono la merce di un grande e nascosto apparato ad tech che opera in penombra su innumerevoli livelli, risucchiando i loro dati a scopo di lucro e con svariate altre finalità a noi ignote.
Questa evoluzione si coglie forse più chiaramente se si confronta la missione originale di Google, formulata alla fine degli anni ’90 come “organizzare le informazioni del mondo, rendendole universalmente accessibili e fruibili” con la stessa azienda nel 2020 e le sue pratiche di pubblicità comportamentale e di profilazione – la loro principale fonte di reddito che è stata considerata illegale e fuori controllo dall’ICO, l’autorità britannica per la protezione dei dati.
Dal sogno di un Internet equo, piatto, infinito e universalmente democratico, siamo piombati in un internet commerciale intriso di abusi e violazioni massicce dei dati, di disinformazione e di casse di risonanza controllate da algoritmi.
Da un panorama pianeggiante e aperto a un terreno accidentato e pericoloso: tutti gli utenti ora si avventurano con i loro strumenti di autodifesa, destreggiandosi su strapiombi scoscesi e faglie di roccia aguzze, senza mai sapere quale temibile creatura potrebbe annidarsi nelle grotte che attraversano, pronta a divorare la loro vita privata e interiore.
Cookiebot e il futuro di internet
Questa non è la visione di Cookiebot sul futuro di internet.
Vediamo chiaramente, piuttosto, che la responsabilità di salvaguardare la possibilità di vivere una vita privata e indipendente è proprio nelle mani di coloro che in primo luogo la mettono a repentaglio: le industrie tecnologiche.
Pensiamola così: in queste lande digitali temibili e selvagge nelle quali viviamo è responsabilità dei governi e dei legislatori regolamentare e imporre alle industrie tecnologiche di cambiare le loro prassi. È loro responsabilità scolpire queste rocce taglienti e affilate portando alla luce nuove strutture che possano proteggere gli utenti che percorrono questi scenari.
Il Regolamento generale sulla protezione dei dati fa proprio questo, e il futuro Regolamento ePrivacy – con il suo specifico riguardo alla comunicazione elettronica – si spingerà indubbiamente oltre.
Il GDPR è cristallino nello stabilire di chi è la responsabilità di proteggere la privacy – non è agli utenti stessi, ma ai proprietari dei siti web, agli operatori, ai gestori, ai responsabili del controllo, così come all’industria tecnologica nel suo insieme, che spetta sviluppare la “privacy by design”.
Le leggi sulla privacy che stanno emergendo in tutto il mondo rispecchiano il GDPR. Sono i proprietari dei siti internet e le aziende tecnologiche a dover plasmare un futuro di riservatezza, non gli utenti.
Le tecnologie che guidano internet verso una maggiore privacy, autonomia, democrazia e universalità devono poi riflettere queste leggi e gli intenti che perseguono.
È molto difficile dire come sarà esattamente il panorama di Internet tra dieci o vent’anni. Ma se non facciamo nulla, è facile immaginare un paesaggio impenetrabile ai più, in mano a pochi, costoso e insicuro.
Tuttavia, ci sono altri possibili scenari futuri per il mondo digitale. Cookiebot li promuove attivamente. È nel nostro DNA impegnarci per arrivare a pianure digitali più ampie, libere e sicure.
Scenari in cui i rischi e le disuguaglianze sono stati domati e ridefiniti per riportare il “terreno” all’antico splendore – omogeneo, aperto, infinito.
Scenari in cui l’umanità può prosperare nelle sabbie digitali.
FAQ
Cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea che disciplina il trattamento dei dati personali da parte dei siti web, delle aziende e delle organizzazioni di tutto il mondo. Se il tuo sito web ha utenti all’interno dell’UE, sei tenuto a ottenere il loro consenso prima di poter attivare sul tuo sito web cookie e tracker che raccolgono, elaborano o condividono i loro dati personali.
Cos’è un software GDPR?
I software GDPR per gestire il consenso e l’uso dei cookie sui siti web sono spesso chiamati “piattaforme di gestione del consenso” o CMP. Le CMP agiscono scansionando il tuo sito web per rilevare e controllare i cookie e i tracker in funzione, e poi permettendo agli utenti di interagire con un banner di consenso che permette loro di selezionare o deselezionare quali cookie intendono attivare.
Per saperne di più sulle piattaforme di gestione del consenso, clicca qui.
In che modo il software GDPR aiuta il mio sito web a diventare conforme?
Il GDPR prevede che il tuo sito web debba ottenere un’indicazione libera, specifica, informata e inequivocabile della volontà dell’utente prima di essere autorizzato ad attivare cookie e tracker che trattano dati personali. Un software GDPR che gestisce il consenso e il controllo dei cookie aiuta il tuo sito web a soddisfare i requisiti del GDPR che proteggono gli utenti dalla raccolta di dati senza consenso da parte di tracker di terze parti.
Per saperne di più su GDPR e consenso ai cookie, clicca qui.
Quali sono i requisiti del GDPR per i cookie sui siti web?
Il GDPR richiede che il tuo sito web informi gli utenti sul tipo di cookie e sul tipo di dati personali trattati da questi cookie, nonché sul loro scopo, sui loro fornitori e sul tempo in cui rimangono attivi. Il GDPR stabilisce che il tuo sito web debba acquisire il consenso dell’utente prima di attivare qualsiasi cookie che non sia strettamente necessario per il funzionamento di base del sito stesso.
Risorse
Il Regolamento generale sulla protezione dei dati (GDPR)
Il GDPR e il consenso ai cookie
Le linee guida dell’EDPB sul consenso valido
Il California Consumer Privacy Act (CCPA)
Il CCPA e i cookie (in inglese)
L’UK-GDPR e la conformità grazie a Cookiebot (in inglese)
Il Data Protection Act 2018 britannico e la conformità con Cookiebot (in inglese)
Timothy Libert, creatore di webXray, sul tracciamento degli utenti e il GDPR (in inglese)
Ho provato a lasciare Facebook. Non ci sono riuscito. (in inglese)
Non c’è alcun contraccolpo tecnologico (in inglese)
La privacy non è tua responsabilità (in inglese)
La tecnologia non è vulnerabile – Ma tu lo sei (in inglese)
La pubblicità comportamentale è fuori controllo, il monito del watchdog britannico ICO (in inglese)