A partire dal 25 maggio 2018, qualsiasi azienda che non abbia aggiornato la propria politica sulla privacy durante il periodo di grazia di due anni è in violazione della legge e potrebbe affrontare multe pari al 4% del fatturato globale della società o 20 milioni di euro, a seconda di quale più alto. La nuova politica sulla privacy deve essere trasparente e comunicare agli utenti che cosa accadrà con i dati raccolti.
Dovrebbe essere concisa e scritta chiaramente, consentire all’utente di sapere se i suoi dati saranno condivisi con una terza parte o utilizzati per scopi di marketing, spiegare l’uso dei cookie e il loro scopo e indicare chiaramente i diritti della persona che visita il sito.
vpnMentor ha eseguito nel mese di Aprile 2018 un test su oltre 2.500 siti Web nell’UE che devono quindi seguire i nuovi regolamenti GDPR, ed ha rilevato che solo il 34% dei siti Web osservati è attualmente conforme. La maggior parte dei siti Web controllati aveva le vecchie politiche sulla privacy e, in alcuni casi, nessuna politica sulla privacy, e non è in alcun modo pronto per le più severe linee guida sulla privacy che sono entrate in vigore il mese seguente. Coloro che non riescono a soddisfare questi nuovi standard, sono soggetti alle multe sopra menzionate.
La metodologia del test
vpnMentor ha selezionato siti web che utilizzano il famoso servizio MailChimp. MailChimp è una piattaforma di e-mail marketing che raccoglie gli indirizzi e-mail degli utenti per inviare newsletter, aggiornamenti aziendali e materiale di marketing generale. Qualsiasi sito Web che utilizza MailChimp o un servizio simile per raccogliere e-mail deve archiviare questi dati e pertanto necessita di una politica sulla privacy che si adegui ai regolamenti GDPR.
Il team vpnMentor ha raccolto fino a 100 siti Web in ogni paese che utilizzano MailChimp. In alcuni casi, non è stato possibile trovare 100 siti ed è stato quindi utilizzato un numero minore. I risultati sono stati piuttosto sorprendenti.
Mentre alcuni paesi come la Germania sembrano essere più preparati dopo la scadenza del 25 maggio con una conformità del 67%, altri come il Portogallo sono mal preparati – solo il 17% dei siti Web controllati aveva una politica sulla privacy GDPR-compliant.
Nel corso della ricerca, il team vpnMentor ha anche esaminato se questi siti fossero conformi alle normative sui cookie Internet dell’UE che sono state recentemente convertite in legge. Le notifiche pop-up dei cookie, o “cookie-pops”, richiedono la visualizzazione di una finestra pop-up su qualsiasi sito che utilizza i cookie per raccogliere informazioni sugli utenti dei sito stesso.
Ancora una volta, il team vpnMentor è rimasto sorpreso dal fatto che non sembra esserci alcuna correlazione tra i siti che utilizzano cookie-pop e i siti conformi a GDPR. La Germania – un paese che è in testa all’elenco sulla conformità GDPR – era in fondo al test dei cookie-pop con solo il 16% dei siti Web che utilizzava questa funzione di privacy. Poiché c’è poca correlazione tra siti che hanno cookie-pop e politica sulla privacy, questo dimostra che i proprietari dei siti non copiano e incollano semplicemente un codice o un testo nel sito per conformarsi al regolamento, ma lo esaminano attentamente e fanno gli aggiornamenti necessari (questa è una buona notizia).
Per alcuni siti, ci può essere una buona ragione per non aver abilitato i cookie-pop sul loro sito, come ad esempio il fatto che non raccolgono cookie. È interessante notare che in Slovenia, che aveva la percentuale più alta di cookie-pop abilitati, il 64%, solo il 40% dei siti era conforme al GDPR, il che significa che almeno il 60% dei siti sloveni violerebbe il GDPR.
E. P.