La momentul la care scriu acest articol, o serie de decizii ale autorităților de protecție a datelor, a European Data Protection Board dar și a instanțelor de judecată ne ajută să înțelegem cum este privită conformitatea la GDPR a prelucrărilor de date realizate prin intermediul cookie-urilor și a trackerelor de pe site-urile web.
Necesitate versus nevoie de business.
Orice prelucrare de date trebuie să respecte principiul minimizării datelor. Pe scurt, dacă se poate atinge scopul unei acțiuni fără a face prelucrări de date cu caracter personal, ar trebui mers pe soluția sigură ce nu implică date personale. De aceea când vrem cookie-uri pe site trebuie să ne întrebăm: „dar oare avem nevoie de aceste cookie-uri?”.
De exemplu, dacă doar vrem să contorizăm traficul ce vine pe site și sursa traficului, nu avem nevoie de Google Analytics, sunt alte soluții ce se instalează pe server ce pot rula fără a apela „actori externi” gen Google. Nu tragem după păsări cu aruncătorul de grenade, s-ar putea să rănim lume.
Nevoia de business nu trebuie confundată cu necesitatea prelucrării. Da, avem nevoie să știm ce trafic avem pe site și de unde vine, nu este necesar să folosim Google Analytics pentru asta. Se schimbă însă contextul problemei când avem campanii de retargeting și remarketing și un simplu counter pe site nu rezolvă nevoia de business de a crește conversiile.
Riscuri versus beneficii.
Orice cookie sau tracker băgate pe un site permite monitorizarea unei părți a traficului acelui site. Se tranzacționează informații precum IP, detalii dispozitiv, detalii ecran browser, setări, identificator unic de cookie șamd. Este ca și cum ai pune o cameră web la tine în firmă știind că există o parte terță ce are acces la tot ce se filmează. Întrebările sunt:
- Cât timp sunt ținute aceste date?
- Ce alte prelucrări se mai fac cu aceste date?
- Cui mai sunt trimise aceste date?
În funcție de răspunsurile la aceste întrebări putem determina (sau nu) un nivel de încredere al terței părți. Dacă ne uităm la Google și la Facebook, vedem multe procese deschise împotriva acestor jucători, pe motiv de export de date către Statele Unite sau de prelucrări excesive fără temei legal.
Deci, al doilea pas, după ce am stabilit că anumite prelucrări prin cookies sunt necesare pentru un anumit scop, este să ne decidem CE cookie-uri punem pe site și de ce. Presupune să știm CUI dăm aceste date, pentru a limita riscurile asupra vizitatorilor noștri.
Scop și temei legal.
Orice prelucrare făcută de către un tracker sau un cookie are nevoie de un temei legal. Ultimele decizii ale European Data Protection Board precum și ale multor autorități de protecție a datelor, dar și instanțe, arată faptul că singurul temei legal admis pentru prelucrările de date personale prin intermediul unor cookie-uri ce trimit date unor terțe părți este consimțământul. Ori consimțământul are cerințe cheie:
- Să fie liber dat. Adică să nu existe incentive sau efecte negative dacă nu este primit (gen ai acces limitat la site).
- Să fie complet informat – adică nu doar listăm scopul și terțele părți, ci explicăm detaliat pe înțelesul utilizatorilor ce face FIECARE cookie.
- Să fie acordat printr-o acțiune fără echivoc – adică nu prebifăm nimic. Utilizatorul trebuie să dea consimțământul printr-o apăsare, un click, ceva. Continuarea navigării nu reprezintă consimțământ.
- Să fie revocabil – utilizatorul trebuie să aibă la îndemână o acțiune simplă de revocare a consimțământului, care să ducă la ștergerea datelor personale (dacă nu există alte cerințe legale).
- Să fie granular – orice prelucrare, orice cookie, orice tracker are nevoie de consimțământ. Este ok să ai un buton „Accept tot”, dar trebuie să permiți și selectarea explicită a unor cookies.
- Să fie dovedibil – acțiunea de consimțământ trebuie undeva logată/salvată.
Best practices
- Folosiți un cookie consent tool care să gestioneze corect consimțămintele, stocarea lor, revocarea lor.
- Obligatoriu să permită granularitate în selectarea cookie-urilor. Toate cookie-urile non-necesare funcționării site-ului trebuie implicit să fie oprite și să nu fie nici măcar preîncărcate până la acceptarea explicită de către utilizator.
- Folosiți butoanele Accept All/ Deny All – se acceptă. Însă trebuie permisă și granularitatea, vezi mai sus.
- Explicați cookie-urile și ce fac. Nu folosiți limbaj tehnic.
- Puneți un buton X pe cookie consent tool care să permită închiderea acestuia, fără colectarea consimțământului. Nu cereți consimțământ la infinit.
Recomandarea mea finală este să opriți folosirea cookie-urilor și a trackerelor. În curând nu vom mai vedea cookie-uri terțe, sunt browsere privacy-first care blochează nu doar cookie-urile ci și cookie consent tool-urile. Practic utilizatorul nici măcar nu mai vede solicitarea de cookie-uri, ea este implicit blocată și odată cu ea toate cookie-urile.
Vom discuta despre soluții la curs, ca de obicei. https://personaldata.training/curs/curs-dpo/