Quali sono i principali (e facilmente evitabili) errori delle privacy policy e cookie policy dei nostri siti web?

Ne parliamo con Stefano Gazzella, DPO, Privacy Officer e giornalista su tematiche digitali, che ne ha viste un bel po’, e che è stato ospite di un episodio succulento di Maledizioni Guidate, il podcast che ci guida nella parte oscura (cioè legale) del web, soprattutto per chi sul web ci lavora.

Puoi ascoltare i contenuti di questo articolo, nell’episodio che lascio qui.

Dunque, tra privacy policy illeggibili (anche su un piano sintattico), dark pattern creati senza che neanche ce ne rendiamo conto, vediamo alcuni errori facili da evitare e che sono tuttavia incredibilmente diffusi.


Posologia di questo articolo: mentre lo leggi, punto per punto, controlla che questi errori non siano anche sul tuo sito web, nella tua cookie policy e nel tuo cookie banner e cookie policy.

Errori comuni delle Privacy Policy

Sappiamo che per le regolamentazioni del GDPR è necessario, in ogni sito web, anche un “semplice blog” avere un’informativa privacy.
Molti “risolvono” copiando le informative privacy scritte da altri, dando per scontato che gli altri abbiano fatto le cose a modo e affidandoci all’antico state of mind scolastico per cui se copiando sbagliamo, ci sentiamo comunque deresponsabilizzati.

Su quanto poco sia saggio (e pochissimo etico e anche non legale) copiare contenuti di altri, per ora soprassediamo ma…
se proprio vogliamo rischiare e copiare, non commettiamo l’errore di

  • Copiare… e non rileggere.

Si vedono spesso informative privacy che non rispecchiano i dati effettivamente trattati; ad esempio, si menzionano newsletter che poi non esistono, chiaro segnale che si è copiata l’informativa da un sito web con newsletter.
Peggio ancora… ci sono persone che non si accertano di aver effettivamente modificato i dati del titolare del trattamento (sì, si trovano online informative del sito di Pinco…. con i dati di Pallo).

  • Informative “esoteriche”

Spesso ci convinciamo che più complesso è un testo, più risultiamo professionali e competenti e tale appare il nostro sito web. Ammesso che esistano dei casi in cui questo è vero, non è certo nelle nostre informative privacy che, di norma, devono essere chiare e trasparenti.
A volte invece ci imbattiamo in messaggi complessi, frasi infinite, giri di parole che o rispondono ad un codice alieno, messaggi da decifrare e formule esoteriche oppure sono, banalmente, scritte male in italiano.

A volte, questo è dovuto al lavoro (fatto male) di traduttori automatici utilizzati a seguito dell’uso di tool automatici di generazione di cookie policy. In pratica, usiamo tool automatici che generano policy che poi traduciamo con altri tool automatici e… presi da uno strano ottimismo, pensiamo di poterli pubblicare così, senza rilettura e revisione.

  • Uso di tool automatici senza il supporto del nostro senso critico

Il problema non sta tanto nell’utilizzo dei tool automatici, che esistono e possono essere anche risorse utili, ma nel pensare di poter affidare all’automazione, senza alcun controllo o conoscenza del tool stesso, la creazione di un documento legale così importante.

I tool automatici di generazione di privacy e cookie policy sono molto diffusi, alcuni anche gratuiti, e parte dei pacchetti di plug in che acquistiamo insieme al nostro hosting.
Ma il tool funziona bene solo se noi impostiamo i giusti parametri, diamo le giuste direttive alla macchina.

La pubblicazione sul sito delle privacy policy senza rilettura e senso critico o buon senso non riguarda solo chi si affida a tool automatici ma a volte anche a chi si affida (e quindi paga) un consulente legale.
Se un consulente legale redige i documenti legali per il nostro sito… almeno riempiamo i campi da compilare e non lasciamo la dicitura “campo da compilare” dove ad esempio vanno inseriti i dati del titolare del trattamento (ne vediamo informative che voi umani non potreste neanche immaginare).

Leggi anche Informativa Privacy, come farla bene

Errori comuni nelle cookie policy

come fare preventivi

Ci sono poi gli errori più frequenti che noi consulenti legali vediamo nelle informative cookie e nei cookie banner.
L’informativa cookie è un’informativa specifica per l’utilizzo dei cookie in cui spieghiamo quali usiamo, che siano installati direttamente dal nostro sito o installate da terze parti; l’installazione di alcuni di questi cookie prevede un consenso

  • Non ha senso richiedere il consenso se poi abbiamo solo cookie tecnici;

I cookie tecnici sono quelli che servono per far funzionare il sito web e non possono essere accettati o rifiutati, li devi accettare e basta.
Se abbiamo solo cookie tecnici nei nostri siti web (capita) non serve dare l’opzione ACCONSENTO – NON ACCONSENTO, perché crediamo confusione e rischiamo di farlo percepire dall’utente come un Dark Pattern.

Se abbiamo solo cookie tecnici, basta che il comando/tasto sia “prendo atto”, ad esempio (perché anche se usiamo solo cookie tecnici, è buona norma almeno avvisare).

  • Mettere l’opzione di scelta… ma poi acquisire comunque tutti i cookie

Molti titolari di trattamenti (cioè, in maniera molto semplificata, proprietari dei siti web) creano i cookie banner e le informative ma non le collegano con le effettive funzionalità del sito, installando cookie anche non autorizzati.

In pratica, mettono tutta la spiegazione dei cookie usati, mettono il tasto per il banner di scelta o rifiuto… ma di fatto il sito carica e registra tutti i cookie.
Questo è ben più grave di un dark pattern decettivo, si tratta di un errore che sfocia nel comportamento ingannevole.

  • Scrivere cookie policy incomprensibili;

La regola base di una buona informativa è la chiarezza: anche le cookie policy soprattutto se generate in automatico, spesso invece restano in lingua inglese, quindi incomprensibili già di per sé al pubblico di riferimento; a questo si aggiunge la pessima abitudine a confondere il lettore spiegando cosa sono i cookie, cosa sono quelli tecnici, cosa sono quelli non tecnici e poi fare un elenco di cookie che magari neanche abbiamo nel nostro sito web.

Meglio linkare alla pagina del sito del Garante in cui si spiega cosa sono o cookie e poi partire con un semplice elenco delle cose che effettivamente abbiamo, altrimenti usiamo dei testi inutilmente decettivi.

Qui ci sono altri 5 errori nei documenti legali del nostro sito, che aggiungo all’elenco di oggi.

Regole per non fare errori nelle informative cookie e privacy

Per non incorrere in errori grossolani e relative multe nelle informative sui nostri siti web, c’è da tenere a mente 3 principi:

  • Ci sono poche cosa da fare, ma vanno fatte bene
  • Affidati pure a generatori automatici o a buoni consulenti , ma mai in modo acritico.
  • Il lettore deve capire a cosa sta acconsentendo e cosa sta leggendo… ma prima lo devi capire tu.

Per sapere quanto costa e come funziona una consulenza legale per i documenti del tuo sito web, leggi questo articolo.