I dati sono il nuovo oro

In tempi di epidemie, i diritti fondamentali e civili non risultano essere così ampi: Libertà di movimento, libertà professionale, sviluppo personale: tutto limitato a favore della protezione della salute. L’elenco potrebbe allungarsi. Anche il diritto all’autodeterminazione informativa, cioè alla protezione dei dati, risente delle misure per combattere la pandemia. È quanto si evince dal rapporto annuale 2020, presentato all’inizio di questa settimana da Stefan Brink, Commissario di Stato per la protezione dei dati e della libertà di informazione (LfDI) nel Baden-Württemberg. (8.2.2021)

I dati sono il nuovo oro: il diritto all’autodeterminazione informale soffre non solo in tempi di epidemie. Tutti noi navighiamo nel grande mondo del web e lasciamo tracce.

Nel momento in cui si accede e si visita di un sito Web, ecco che un enorme blocco di testo compare sulla schermata: “Utilizziamo i cookie.” Compare anche una richiesta, ben scolpita a rilievo: “Accettare tutto”. L’alternativa, minuscola e poco appariscente che viene visualizzata di seguito, recita: “Altre impostazioni”. Gli utenti non intendono impostare nulla al riguardo, desiderano solo richiamare e visitare le pagine. Non c’è quindi da stupirsi che molti utenti clicchino semplicemente su “Accettare tutto”.

Può essere leggermente rassicurante: anche i grandi della Silicon Valley come Elon Musk sono irritati. In verità, gli utenti di Internet dovrebbero essere soddisfatti per la comparsa dei banner relativi ai cookie. Per molto tempo infatti, i siti web e gli inserzionisti hanno semplicemente salvato i Cookieche creavano i profili degli utenti senza nulla chiedere loro in anticipo.

Il flusso dei cookie è stato regolamentato: Il primo passo è stato l’introduzione del Regolamento generale sulla protezione dei dati (RGPD) che è entrato in vigore nel maggio 2018. In seguito a ciò, i banner hanno iniziato a comparire sui siti Web, recitando frasi del tipo: “Se navighi sul nostro sito web, accetti l’utilizzo dei cookie da parte nostra.” Questa forma di tacito consenso non è legale, come ha stabilito la Corte di giustizia europea nel 2019 (Az. C-673/17) e ha rinviato il caso alla Corte federale di giustizia (Az. I ZR 7/16), dalla quale il caso era originariamente pervenuto. A maggio 2020, la Corte federale di giustizia ha stabilito che, affinché un sito possa memorizzare i cookie, è necessario il consenso esplicito dell’utente.

Parliamo con il Dr. Klaus Meffert.
Lavora allo sviluppo di software da oltre 30 anni e dal 2017 si dedica intensamente alla protezione dei dati sui siti web. 

Qual’è la base sulla quale dobbiamo esaminare più da vicino, dall’estate 2020, la protezione dei dati sui siti web?

Esistono naturalmente alcune basi legali e sussiste inoltre un requisito personale che un soggetto, in qualità di imprenditore, deve trattare con attenzione i dati di potenziali interessati o clienti. Terza cosa: per quanto riguarda i servizi online, qui in Germania dipendiamo di fatto dall’America e ciò inizia con gli strumenti che vengono utilizzati per svolgere videoconferenze …
A tal proposito, devo dire: ciò non migliorerà in Germania senza ulteriori ritardi. Il motivo è semplice, fino a quando forniremo a Google e ad altri operatori più dati su di noi, non saremo in grado di recuperare lo svantaggio che abbiamo nell’area online. Ho proceduto con una nuova verifica: Google ora ha tre miliardi di cifre di vendite all’anno. Google riesce a raggiungere tale obiettivo, sostengo, in larga misura grazie ai dati che trattiamo così liberamente e che Google naturalmente sa bene come sfruttare in modo mirato.

Un semplice suggerimento facile da mettere in atto: Perché lo Stato non finanzia la creazione di una piattaforma video? Ciò consentirebbe a tutti gli operatori di siti web di risolvere il problema dell’integrazione dei video sui propri siti web nel rispetto delle normative sulla protezione dei dati. Una piattaforma di questo genere non deve offrire tutto ciò che YouTube può fare, ma solo quanto sia necessario per lo scopo principale. I costi per questo sistema sono notevolmente inferiori rispetto all’applicazione Corona, a meno che non vengano fatte operare due aziende di grandi dimensioni, in ciascuna delle quali ho lavorato per diversi anni.

Per quanto riguarda la base giuridica, questo dovrebbe effettivamente essere un motivo sufficiente. Le leggi vengono promulgate per essere rispettate. A volte è un po’ difficile, soprattutto quando si ricevono consigli errati.
Uno di questi è che gli indirizzi di rete, come ad es. gli indirizzi IP, sono dati personali che vengono trasferiti ogni volta che un utente chiama un sito Web e, nel caso in cui un sito Web integri strumenti di terze parti quali Google Maps, caratteri, video, ecc., l’indirizzo di rete di chi chiama il sito, ad es. l’utente, viene altresì  trasmesso alla terza parte coinvolta.. Inoltre, e di conseguenza, vengono trasmessi numerosi dati di connessione. Ciò è assolutamente necessario a causa del protocollo Internet, ma consente di tracciare gli utenti. Secondo il Regolamento generale sulla protezione dei dati, ciò non è permesso senza un esplicito consenso, inoltre, c’è una sentenza della Corte di giustizia europea datata 16 luglio 2020 sullo scudo per la privacy. Il successivo trasferimento dei dati personali negli Stati Uniti non è consentito senza una base giuridica. Le clausole contrattuali standard non possono essere efficaci neanche per gli USA, parola chiave: Cloud Act.

È possibile rispettare la protezione dei dati su Internet, soprattutto perché di solito ci sono buone alternative. A volte ha anche senso smettere semplicemente di usare determinati strumenti ed eliminarli senza sostituirli. Invece di integrare Google Maps, spesso è sufficiente un tasto “Pianifica percorso”. È anche possibile preimpostare l’indirizzo di destinazione.

Si nota che sempre più pagine visualizzano questi banner sui cookie nei quali è necessario cliccare singolarmente sui consensi.
Alcuni siti lo fanno in modo molto complicato e operano con colori diversi per invogliare l’utente a cliccare rapidamente.

I sostenitori della Privacy parlano della cosiddetta “spinta”, cioè di accettare la seduzione della selezione, perché di solito si tratta di un grande pulsante verde, mentre l’altro è un piccolo pulsante grigio su sfondo bianco. Ciò può essere consentito in singoli casi. Solo una cosa: se prima si deve guardare dove si può rifiutare, allora credo anche che questo sia illegale. Se il tasto “Rifiuta” è otticamente posizionato in modo arretrato, ha le stesse dimensioni dell’altro e può essere raggiunto anche con un clic, siamo di fronte a un caso limite. Non credo che neppure questo sia giusto, ma riduce il rischio per l’operatore. Ho visto un esempio in cui l’opzione di rifiuto era nascosta nel testo corrente, come collegamento di testo. Personalmente, penso che ciò sia palesemente illegale.

I banner dei cookie rappresentano di per sé quasi una garanzia per i siti web illegali. Lo dimostra la mia prova pratica, che ho pubblicato nel mio blog Dr. RGPD. Qui illustro anche che esistono ragioni dimostrabili per cui gli strumenti di consenso non possono mai funzionare in modo completamente affidabile.

A molti operatori di marketing sono cresciuti i capelli grigi perché vogliono davvero sapere di più sul gruppo target. In alcune aziende si accenderanno forti discussioni. Quale pericolo dovrai mai aspettarti se puoi concederti una certa salsiccia? Secondo il motto “Neanche gli altri lo fanno, nemmeno io …”?

Per me questo non è un argomento. Il soggetto responsabile è responsabile, cioè inizialmente l’operatore del sito web o l’organismo preposto come responsabile nella dichiarazione sulla protezione dei dati.

Di che ordine di grandezza di responsabilità parliamo?
Prima di tutto, responsabilità significa essere responsabili. Ciò si traduce in una grande mole di lavoro, stress e spesso anche in costi finanziari. Si va dal controllo da parte dell’autorità preposta relativo ad un reclamo (anonimo) all’avvertimento nei confronti di un soggetto privato o di un concorrente. In particolare, le aziende di maggiori dimensioni sono passibili di severe sanzioni pecuniarie, in quanto l’RGPD autorizza di elevare sanzioni in funzione delle vendite.

arola chiave: Integrazione di Google Analytics: è possibile integrarlo in modo legalmente sicuro?
Non è del tutto legalmente possibile utilizzare Google Analytics, questa è la mia opinione.
In caso di consenso, è necessario spiegare a cosa si deve effettivamente acconsentire. A lato pratico, sarebbe quindi necessario scrivere: “Acconsenti che i tuoi dati siano trasmessi a Google e che quest’ultimo faccia tutto ciò che vuole con i tuoi dati e li trasmetterà anche a chiunque ritenga opportuno”. Se formulato in questo modo, potrei immaginare che sarebbe legalmente sicuro se l’RGPD non richiedesse che le finalità siano chiaramente definite … Inoltre, va detto che tale consenso deve essere comprensibile per l’utente normale, che non è un dottore in informatica, che deve essere altresì completo tutto ciò a cui si acconsente e che siano stati rispettati tutti i requisiti formali. In questo modo, Google Analytics viene caricato solo dopo aver dato il proprio consenso. Penso che ciò sia praticamente impossibile con Google Analytics. A parte ciò, va detto che la maggior parte dei siti Web non ha così tanti visitatori e che Analytics produce dati davvero buoni. Se venisse configurato un banner di consenso, che è assolutamente necessario con Google Analytics, ci sarebbero ancor meno visitatori. Risulterebbe altresì ancor meno utile usare Google Analytics.

Parole chiave alternative: Matomo
Può essere configurato in modo tale da non richiedere nemmeno il consenso e comunque è possibile trovare molte informazioni sui propri utenti. Qui è possibile fare davvero molto.
Ad esempio, è possibile abbreviare l’indirizzo IP, configurare in modo che non vengano impostati cookie o che, ad esempio, gli utenti possano essere riconosciuti come utenti di ritorno solo per 24 ore. Gli esperti di protezione dei dati, ad esempio di BW, affermano che sia ancora ok se un utente può essere riconosciuto come ritornato entro 48 ore. Le autorità per la protezione dei dati sono di solito un po’ più accomodanti della giurisprudenza. Direi che il lasso di tempo massimo che potrebbe resistere in tribunale sia di 24 ore. Questa è comunque la mia valutazione personale. Sicuramente non una settimana, stiamo parlando di un giorno o due. … È possibile vedere il comportamento di un determinato utente pseudonimizzato sul sito, ad esempio quali percorsi ha intrapreso, quali pagine, quali argomenti sono interessanti per costui.

Ciò significa che, in questo modo, io posso vedere quali termini di ricerca ha utilizzato l’utente, da dove proviene e che cosa lo interessa particolarmente. Non riesco però a leggere quale sia l’indirizzo IP e, inoltre, se l’utente è il signor/la signora XY di Z.
Parola chiave: Google Search Console: se si vuole sapere con quali termini di ricerca è stato eseguito l’accesso al proprio sito web, è possibile utilizzarlo molto bene e si è altresì al sicuro in termini di legge sulla protezione dei dati.

Incorporazione di parole chiave dai social media – Facebook, Instagram, Youtube –
Se si imposta un solo collegamento, non c’è alcun problema con la legge sulla protezione dei dati. Tuttavia, se sono integrati plug-in speciali in cui è possibile leggere gli ultimi commenti sull’account Facebook sul sito Web, ad esempio, ciò non può essere consentito senza previo consenso.
Con il plug-in Shariff, l’integrazione dei plug-in dei social media può essere implementata in modo ragionevolmente sicuro. Quando si tratta di puro collegamento, è possibile eseguirlo tranquillamente nel modo in cui si preferisce.

Integrazione di “Recaptcha” nei moduli di posta: come la vede rispetto alla legge sulla protezione dei dati?
Si tratta di uno strumento di Google. È uno strumento assoggettato all’obbligo del consenso solo per l’elevato numero di cookie che vengono trasferiti. Ciò è assolutamente obbligatorio ed è imposto dalla Direttiva ePrivacy, che, ai sensi di una sentenza del 2020, emessa dal Tribunale federale, si applica anche in Germania.
Ci sono alternative. È però necessario prendere in considerazione il relativo sistema. Con WordPress, ad esempio
Ccontactform Image reCaptcha. È possibile integrarlo ed eseguirlo sul proprio server. 

Quali sono le avvertenze più comuni che dovrebbero essere evitate?

I cosiddetti Strumenti di Consenso, spesso indicati anche come consenso sui cookie, sono, secondo il mio test pratico di 10 popolari soluzioni di consenso, un grande pericolo per i siti web e molto spesso finiscono per peggiorarli. Non ho trovato un solo sito Web che fosse impeccabile dal punto di vista legale, quando si utilizza uno Strumento di Consenso. Anche i fornitori di tali strumenti che utilizzano il proprio strumento sul proprio sito Web possono essere ampiamente bollati come inadempienti delle disposizioni contenute nell’RGPD.

La dichiarazione sulla protezione dei dati è quasi sempre grandemente incompleta, anche se alcuni operatori hanno già lavorato intensamente alla propria dichiarazione sulla protezione dei dati.
Inoltre, si trovano spesso video di YouTube integrati in modo errato. Sorprendentemente, Google Analytics è spesso ancora indebitamente integrato.
Molto spesso, le informazioni obbligatorie non vengono fornite in testata (questo non è un problema di protezione dei dati, ma può comunque essere avvertito).
La dichiarazione sulla protezione dei dati spesso non è sempre accessibile con due clic (è sufficiente se il problema è su un dispositivo come uno smartphone), oppure non c’è alcun link alla dichiarazione sulla protezione dei dati in ciascuna pagina. Quest’ultimo vale per ogni secondo sito web, anche se molti pensano che sia diverso.

Quali sono le sue previsioni per il futuro?

Nelle settimane appena trascorse mi sono occupato più intensamente del solito degli aspetti tecnici e legali della protezione dei dati sui siti web. Le mie conclusioni avranno un impatto sugli operatori di mercato in Germania.

È possibile trovare ulteriori informazioni su questi e altri argomenti nel mio blog Dr. RGPD. Al fine di promuovere la protezione dei dati in Germania e in Europa, utilizzo le mie conoscenze per supportare l’organizzazione no profit per la protezione dei dati None of Your Business (noyb.eu), di cui Maximilian Schrems è presidente onorario. È riuscita a far emettere le sentenze della Corte di giustizia europea sul Privacy Shield e poi anche sul Safe Harbor.

Qual è esattamente la sua offerta ai potenziali clienti che hanno letto questa intervista e dicono:  “L’uomo ha un indizio. Cosa devo fare per garantire che il mio sito web sia così sicuro ai sensi della legge sulla protezione dei dati da poter dormire sonni tranquilli”?
Esistono diverse possibilità. Una di queste è: per chi ha poco budget, offriamo la possibilità di fare un controllo molto approfondito del sito web con il software che ho sviluppato e produce anche una dichiarazione individuale sulla protezione dei dati che può essere utilizzata come campione. E se qualcuno vuole spendere un po’ più di denaro, forniamo anche consulenza professionale e tecnica. Aiutiamo i nostri clienti a trovare la migliore soluzione possibile attraverso una consulenza personalizzata. Grazie agli strumenti che ho descritto, possiamo farlo in modo molto efficiente e ovviamente molto economico. E la certezza del diritto non è più una questione di prezzo, ma solo di disponibilità. In particolar modo, aiutiamo a evitare del tutto le richieste di consenso. Ciò rende i visitatori del sito web più divertiti e aumenta enormemente la sicurezza giuridica per i responsabili.

Dopo che un operatore ha protetto il proprio sito Web in consultazione con noi, offriamo anche un sigillo di qualità per la protezione dei dati. È possibile includerlo nel sito web. Si tratta di un valore aggiunto per il cliente che, ovviamente, il visitatore nota e comprende che la protezione dei dati viene presa in considerazione nel più serio dei modi. Un secondo valore aggiunto, oltre alla certezza del diritto, è costituito dal fatto che se un visitatore del sito web pensa di aver riscontrato un problema e clicca su tale sigillo, allora potrà contattarci e potremo quindi, nel caso in cui qualcosa fosse sbagliato o ingiustificato, rispondere direttamente. In alternativa, saremo altresì lieti di mediare e rispondere che ce ne occuperemo e inoltreremo la richiesta. Quindi il visitatore si sente al sicuro e l’operatore del sito web non ha alcun patema d’animo.

Se non si desidera un controllo del sito web, ma solo una consulenza, è possibile contattarmi e ottenere risposte a tutte le domande sul proprio sito web. La mia sarà una considerazione tecnica oltre che legale dell’argomento. Una buona soluzione può essere offerta solo in modo olistico.

Se qualcuno prende molto sul serio la protezione dei dati sul proprio sito Web, questo è già di per sé un segnale positivo. È una caratteristica di qualità per l’azienda.

Molte grazie per l’intervista!

Nota della Redazione: Nel suo blog Dr. RGPD il Dott. Meffert scrive regolarmente sulla protezione dei dati digitali: https://dr-dsgvo.de