Le regole del GDPR e la profilazione inconsapevole

Le regole del GDPR e la profilazione inconsapevole
Il GDPR vieta la profilazione non giustificata delle persone

Il GDPR vieta la profilazione non giustificata delle persone. Tuttavia, nonostante i grandi sforzi profusi, molte aziende (anche molto grandi) e istituzioni delegano ancora inconsapevolmente la profilazione dei visitatori dei propri siti web a terze parti, spesso extra-europee

L’avvento del GDPR ha portato ogni organizzazione, anche governativa, a fare un’approfondita analisi dei trattamenti di dati personali effettuati, anche alla ricerca di eventuali trattamenti di profilazione. L’utilizzo di strumenti di web analytics, ormai indispensabili per il marketing e per il miglioramento dei propri servizi, ha portato le organizzazioni ad approfondire l’utilizzo dei cookie, utilizzati per analizzare il comportamento dei visitatori nella fruizione dei propri contenuti. Tuttavia, l’approccio “organizzazione-centrico” non consente di rilevare il ruolo che l’organizzazione assume in qualità di mediatrice in trattamenti di profilazione di terze parti.

Per approfondire il tema occorre sapere alcune cose. La prima è che il protocollo HTTP consente al browser di inviare alcune informazioni al server da cui si vuole scaricare un qualsiasi contenuto; tra queste vi sono le caratteristiche del dispositivo e del browser utilizzati, la pagina di provenienza, i cookie e altro ancora. La seconda è che i cookie sono stringhe di testo identificate da un nome e associate al dominio del server interrogato, che vengono inviate da tale server al browser che effettua la richiesta, e vengono restituite dal browser a tale server ogni volta che accede a un suo contenuto. La terza è che esistono cookie di sessione, che vengono distrutti alla chiusura del browser, e cookie persistenti, che vengono eliminati alla scadenza stabilita dal server che li ha inviati (potenzialmente, mai).

Veniamo ora all’aspetto più delicato della questione: molto spesso i web designer inseriscono nelle pagine servite dal proprio sito richiami a contenuti offerti da altri siti, come servizi di web analytics, librerie di codice, font, oltre che immagini e contenuti multimediali. Solo per fare alcuni esempi: google-analytics.com, googletagmanager.com, fonts.google.com, ajax.googleapis.com, code.google.com, youtube.com. Si noti che tutti i siti elencati sono proprietà di una medesima azienda. Naturalmente, il problema non è circoscritto a Google, ma vale anche per le altre aziende specializzate in profilazione, web analytics e advertising. Ciò significa che ogni volta che un visitatore del nostro sito visita altri siti le cui pagine referenziano contenuti provenienti dai medesimi provider da noi utilizzati, il suo browser invierà a tali terze parti mediante HTTP tutte le informazioni disponibili, includendo i relativi cookie precedentemente memorizzati, consentendo quindi loro di profilare i nostri visitatori anche all’esterno del perimetro del nostro dominio.

Leggi anche:  Sicurezza IT, tre dinamiche guidano le strategie aziendali

Se poi il nostro visitatore possiede su tali siti anche un account personale (Gmail, YouTube, Yahoo! …), il suo profilo è addirittura associato all’identità reale della persona. Grazie a questo meccanismo, la terza parte ci offre “gratuitamente” i servizi di web analytics (vi siete mai chiesti come faccia a ripagarne i costi?), e nel frattempo acquisisce ulteriori informazioni sul nostro visitatore, tra cui le pagine visitate e i suoi interessi, i dispositivi da lui utilizzati, la sua geolocalizzazione, i suoi orari, e molto alto ancora, a nostra insaputa e senza il suo consenso.

Volendo riepilogare, la nostra organizzazione non effettua profilazione dei propri visitatori e non invia dati personali a siti di terze parti, eppure media inconsapevolmente la profilazione dei propri visitatori verso aziende spesso extra-europee, senza alcun accordo formale né il consenso del visitatore, beneficiando tuttavia dei risultati della profilazione utilizzando i contenuti e i servizi di web analytics prescelti. Occorre quindi valutare se proseguire con l’utilizzo di servizi di terza parte, con il rischio di limitare la fruibilità del proprio sito (fonts, API, …), o internalizzare contenuti e servizi.

Andrea Rui membro del comitato tecnico scientifico di Clusit