La privacy, il responsabile del trattamento dei dati e tutto il resto | Usabile.it

Usabile.it

usabilità, accessibilità e interaction-design per il web

La privacy, il responsabile del trattamento dei dati e tutto il resto

Negli ultimi anni sono uscite alcune normative che chiedono ai responsabili dei siti web di essere espliciti su trattamento dei dati personali, privacy policy e uso dei cookie. Di seguito provo a farlo.

Chi gestisce?

Questo sito è gestito da una persona, il sottoscritto, che si chiama Maurizio Boscarol, via Parini 23 Monfalcone (ora sapete dove mandarmi i dolciumi) ed è responsabile del trattamento di tutti i dati su usabile.it. Dei servizi terzi dico dopo (Google Analytics e Mailchimp in particolare).

Per quanto attiene solo al sito, c’è un programma sul server che lo gestisce e serve le pagine. Questo programma registra (è una prassi e vi tocca su praticamente tutti i siti, che lo sappiate o no) gli indirizzi IP dei visitatori e li mantiene per qualche tempo, assieme a info come ora della visita e pagina richiesta in un database su un server da me affittato in qualità di hosting. Dei visitatori io non ho altri dati: per me sono anonimi, ma devo segnalarvelo perché l’IP è oramai considerato comunque come un dato personale. Probabilmente perché Google e Facebook usano gli IP incrociati ad altri dati per risalire alla vostra identità quando navigate anche fuori da Google e Facebook. Ma quello è un altro discorso.

Per chi lascia commenti sul sito, viene registrato ogni dato inserito, e questa è anche una tutela, ovviamente. IP, mail e nome eventualmente lasciato, assieme al commento e all’ora in cui è stato inserito sono lì a testimoniare che è stato inserito. Se qualcuno usa la vostra mail per inserire commenti, insomma, qui ne trovate le prove. Se siete stati proprio voi, anche. Fine del discorso, in generale.

Secondo il nuovo GDPR, il nuovo regolamento europeo per la protezione dei dati grazie al quale avete ricevuto decine di mail da servizi cui non ricordavate di essere iscritti, sia l’indirizzo email che l’indirizzo IP con cui si visitano i siti rientrano fra i dati personali, quindi nel caso vogliate chiedermi di cancellare manualmente dal mio database la vostra visita lo potete fare.

Consenso da rinnovare per coppie di lunga data?

Il GDPR forse (non è chiaro) prevede che diate esplicito consenso al trattamento dei dati anche se lo avete già dato

Dovrete però segnalarmi la data, l’ora e indirizzo IP, perché, sebbene si tratti di dati personali, come dicevo più sopra io non posso identificarvi che attraverso queste informazioni. Io di mio quindi vi consiglio di non farlo, non ha alcun senso. Anche perché comunque Google Analytics vi registra, e lui sì che vi profila. E anche se vi cancello io, lui non lo fa (usa un sistema differente, lui!). Però se ci tenete, fornitemi l’IP che usavate quando avete visitato il sito, la data e l’ora, e io vi garantisco che vi cancellerò dal mio inutile database.

Detto questo, potremmo anche aprire un simposio sull’ipocrisia di queste norme. Ma abbiamo molto altro da dire e dunque lo faremo un’altra volta.

La newsletter

Come ripeterò più sotto, invio alcune volte all’anno una newsletter che segnala le novità pubblicate su Usabile.it. Possono essere articoli, post del blog, nuovi servizi o corsi. Il più delle volte sono articoli e post del blog. Inizialmente intendevo inviare newsletter con cadenza quindicinale o mensile. Di fatto, data l’irregolare frequenza di aggiornamento soprattutto degli ultimi anni, dovuto a un eccesso di impegni lavorativi, questa frequenza è molto minore. Tuttavia non si sa mai: magari un mese ricevete due invii, e poi per sei mesi niente. Non aspettatevi qualcosa di regolare, ma non stupitevi se per qualche periodo sarà regolare, insomma.

La newsletter è da qualche anno gestita da Mailchimp. Prima la gestivo con un programma installato sul mio server, ma da quando sono cambiate le policy che spingono a considerare spam invii massicci di mail da uno stesso indirizzo se non è esplicitamente autorizzato, sono stato praticamente costretto a rivolgermi a uno di loro. I servizi dedicati come Mailchimp, infatti, sono tenuti a fare molta attenzione a chi inviano le mail, con quali tempistiche, e fanno molta attenzione a escludere dai successivi invii indirizzi che risultano silenti o che non hanno ricevuto la mail, offrendo maggiori garanzie antispam.

La privacy policy di Mailchimp è presente qui.

Potreste voler sapere che, benché da un lato Mailchimp riduca lo spam, dall’altro traccia in modi suoi chi riceve, chi apre e chi clicca sui link delle mail inviate. È anche in grado di associare nomi e cognomi ai soli indirizzi email. Avrete infatti notato che non ho mai chiesto queste informazioni, solo la mail. Mailchimp, probabilmente usando gli elenchi di altre persone, è capace di risalire dalla mail al nome. Ma non guardate me, a me non interessa particolarmente. Tuttavia sono spinto a segnalarvi che sono tutte informazioni che Mailchimp mi dà.

Sono costretto anche a dirvi che potete decidere di non ricevere più la newsletter cliccando sull’apposito link nelle mail che vi invio, di solito in fondo. Questo non vi cancella dagli elenchi di Mailchimp: semplicemente segnala a Mailchimp che voi non volete più ricevere la mail.

Non vi basta? Volete essere completamente cancellati, incluse le vostre interazioni passate? Ok, dovete segnalarmelo e io devo andare manualmente (ancora) a cancellare il vostro record sul database. Lo farò, se me lo chiedete. Il modulo di contatti è lì, e non registra niente di permanente, oltretutto: manda solo una mail (che può essere cancellata se lo chiedete).

Cancellazione dei dati personali

Il GDPR prevede che possiate chiedere la cancellazione dei dati che vi riguardano

Per rimanere iscritti ma non essere tracciati da Mailchimp

Se volete rimanere iscritti, ma vi scoccia che Mailchimp annoti le volte che aprite la mail o cliccate sul link, ci sono, almeno in teoria, delle opzioni:

  • Se volete che non venga registrata l’apertura, dovete disabilitare lo scaricamento delle immagini nelle mail
  • Se non volete che si sappia su quale link cliccate, be’… non dovete cliccarci. Ma potete ugualmente visitare le pagine, copiando e incollando l’indirizzo nella barra del browser. Comodo, eh?

Che me ne faccio dei vostri dati?

Niente di che. Quelli delle visite, li uso più che altro per capire quali articoli sono più cliccati, pensando significhi che sono più interessanti. Lo so che non è detto, ma non abbiamo un metodo migliore. Questo in teoria aiuta a scrivere futuri articoli più interessanti. O meno vari, vedete voi.

Di fatto solitamente mi dimentico di quali sono gli articoli più visti e scrivo cose che sono interessanti per me. Non sono bravo nel marketing.

Per quanto riguarda la newsletter, il tasso di apertura è di solito indicativo della qualità del testo usato per l’oggetto della mail, più che della qualità degli articoli.
Così anche per i link più cliccati: vuol dire che il titolo li fa sembrare più interessanti.

Crediamo di sapere grandi cose, da queste informazioni, ma non è detto che sia così. Ad ogni modo, mi corre l’obbligo di informarvi, e lo faccio volentieri, non avendo altri scopi all’infuori di questi.

Prima di ricevere la posta bisogna autorizzare il postino?

Il GDPR prevede che voi diate esplicito consenso a ricevere mail

Non cedo infatti questi dati a nessun altro (anche se è un’espressione un po’ ipocrita: ho dovuto di fatto trasferirli almeno a Mailchimp, sebbene non avessi alcuna voglia di farlo). Non li cedo comunque affinché altri vi mandino loro comunicazioni, che poi è quel che si intende.

Non li uso per altri scopi che quelli indicati qui. Ed è tutto. Eccezion fatta per altri strumenti di cui parlo più sotto.

I cookie sono piccoli documenti di testo che i siti depositano nel computer dell’utente per contenere informazioni utili a mantenere memoria della sua visita e facilitare alcune funzioni di navigazione. Negli ultimi anni il loro uso si è molto esteso perché si sono trovate tecniche per trasformarli in strumenti di marketing e di profilazione a fini pubblicitari. Una descrizione dei tipi di cookie si trova su wikipedia.

Perché ve ne sto parlando?

Il nostro garante delle privacy richiede che io e tutti i gestori dei siti vi informiamo sui cookie che i nostri siti utilizzano.

Inoltre, sui cookie di profilazione dobbiamo chiedere il vostro consenso. Con un banner o roba del genere. Abbiamo tentato in tutti i modi di capire cos’è un cookie di profilazione, e se si applica anche ai siti che non ospitano pubblicità, come questo.

Non abbiamo trovato una risposta chiara da parte del legislatore, ma molti pareri di terzi interessati anche ad offrire servizi commerciali per la gestione di queste dichiarazioni.

La cosa buffa è che per ricordare se accettate il consenso, siamo costretti a installare sul vostro computer un cookie (e non ci teniamo affatto)! Per dire come siam messi.

I cookie di terze parti

I cookie che questo sito usa abitualmente sono quasi tutti di terze parti, non nostri. Ve ne informiamo qui, ma non vi chiediamo il consenso perché noi non vi stiamo profilando. E a meno che esca un’affermazione in tal senso del legislatore, perché dovremmo considerare questi cookie di nostra responsabilità, visto che non li gestiamo noi, non facciamo pubblicità e non ci guadagniamo niente? Ecco comunque cosa usiamo abitualmente, con i link alle informative e, ove previste, le possibilità di opt-out:

Resta inteso che potete in ogni momento cancellare i cookie, dire al browser di non accettarli, navigare in forma anonima in modo che non vengano scritti, e quant’altro si trova nelle istruzioni d’uso dei browser (cerca disabilitare i cookie nei browser per saperne di più).

I link ai singoli servizi in questa pagina mostreranno le policy di ciascuno di questi, e da lì si capirà se si può fare un opt-out selettivo (cioè dire a quei servizi di non tracciarvi, e solo a quelli).

Vi ho già detto che comunque potete navigare con un Ad-Blocker o un’estensione per la privacy? Io lo faccio.

I cookie sono installati praticamente da ogni sito visitato

I nostri cookie

Di nostro installiamo solo dei cookie “tecnici” (lo fa il nostro software di gestione dei contenuti senza nemmeno che glielo chiediamo) per chi commenta su questo sito (vedi sopra), in modo da riconoscere il computer in futuro. Se navigate da un altro dispositivo o da un altro browser il cookie non vi riconosce. Non raccoglie infatti informazioni su di voi, in alcun modo che non sia semplicemente utile a evitarvi di riscrivere il nome e la email negli appositi campi di testo.

Cookie che potremmo ogni tanto utilizzare

Di tanto in tanto utilizziamo anche dei cookie di servizi di user-tracking, come Clicktale, Hotjar, Inspectlet e magari altri, come Mixpanel e Optimizely. Questi cookie ci servono solo per far funzionare dei servizi basati su javascript che ci mostrano come i nostri utenti usano il sito, o per raccogliere al volo informazioni su base volontaria. Alcuni possono dare l’idea di una “registrazione” della visita, anche se ciò che in realtà registrano sono le coordinate del mouse, i click e le caratteristiche del monitor che usano al momento della visita, in modo da ricostruire un fac-simile di visita o di aggregare i dati in qualche modo. Sono attività di profilazione?

Nel frattempo li abbiamo temporaneamente sospesi, ma la cosa non può certo essere risolta così: l’incertezza della norma è una delle cose che ostacola l’attività economica, e in questo caso abbiamo perso una giornata lavorativa per capire come stanno le cose, scrivere questa dichiarazione e tentare di ottemperare alla legge: non ci siamo ancora riusciti. Poi ci stupiamo della connessione fra mancata digitalizzazione e corruzione percepita.

Nessuna profilazione pubblicitaria

Non costruiamo profili di utenti tracciati in alcun modo. Né ci risulta che lo facciano questi servizi, ma su di loro non possiamo ovviamente garantire: In effetti servizi come Google Analytics lo fanno, anche se noi non ne traiamo beneficio e utilizziamo il servizio così com’è.

Per evitare che questo avvenga, dei modi ci sono. Alcuni riguardano le impostazioni di quei servizi, e vi consigliamo di informarvi presso di loro. Noi, da parte nostra, obbligati come siamo a indicarvi come fare a meno di essere tracciati, vi suggeriamo quella che è la nostra miglior opzione: navigare con un AdBlocker o altra estensione del browser che disabilita i javascript di profilazione. Chi scrive lo fa comunemente, e usa al momento Ghostery. Che non è proprio un AdBlocker ma un’estensione del browser orientata alla privacy e alla sicurezza. L’industria pubblicitaria non ne sarà contenta, ma non è detto che noi siamo contenti del fatto che il modello di business dominante sui siti sia quello pubblicitario.

Tracciamento a uso di profilazione oppure no?

A tutti gli effetti, dunque, non stiamo profilando nessuno, né, ripeto, intendiamo farlo. Il garante insiste molto sulla profilazione a fini pubblicitari, e parla poco di eventuali altri tipi di tracciamento. Avrete forse notato che questo sito non ha pubblicità. Non viviamo di pubblicità, ma di consulenze. Scriviamo questo sito per informare e per aiutarvi a trovarci nel caso abbiate bisogno del nostro lavoro. Per far questo non ci servono profili.

Garante, se ci sei batti un colpo

Cosa ne pensa il garante?

Può farcelo sapere in ogni momento. Certo, avremmo preferito che avesse scritto un regolamento un po’ più preciso dal punto di vista tecnico e più realistico da quello dei servizi esistenti, invece di obbligarci a scrivere queste noiose righe di spiegazione nemmeno sapendo se quel che scriviamo è sufficiente a rispettare la norma oppure no.

Il garante viene sgamato

Il garante durante un’invasione della sua privacy

Ma siamo in Italia: i tavoli di lavoro dei legislatori tipicamente producono norme confuse e imprecise. Non è la prima volta e non sarà l’ultima. Attendiamo i primi ricorsi per l’applicazione di multe spropositate e sproporzionate, poi vedremo.

Iscriviti alla newsletter di usabile.it:

Circa una mail al mese (ma spesso meno) con gli aggiornamenti più significativi.

torna su Torna su

Privacy Policy