Il dato, allarmante, viene dai ricercatori dell’Università della Virginia. Hanno utilizzato tecniche di machine learning per analizzare e studiare le policy privacy di centinaia di siti web che hanno base nell’Unione Europea ed è da questo che emerge il dato: il 97% dei siti ha policy che non rispettano almeno uno dei requisiti imposti dal GDPR. Non solo: la maggior parte delle irregolarità riguarda la profilazione degli utenti.
Automated Detection of GDPR Disclosure Requirements in Privacy Policies using Deep Active Learning
Questo il nome del paper pubblicato dai ricercatori dove si legge chiaramente:
“Dato che la policy privacy è canale di comunicazione principale per consentire agli utenti di comprendere e verificare le proprie impostazioni privacy, mole aziende hanno aggiornato le proprie policy privacy dopo l’entrata in vigore del GDPR. Tuttavia la maggior parte di queste sono prolisse, zeppe di gergo tecnico e legale e confuse: descrivono vagamente le pratiche di utilizzo dei dati e i diritti degli utenti. Insomma, in molti caso non è chiaro se queste siano o meno conformi al GDPR”
Sono stati circa 10.000 i siti web analizzati: i ricercatori hanno recuperato le policy privacy in lingua inglese tramite ricerche Yandex, utilizzando VPN del Regno Unito (così da garantire che la policy non fosse geo-bloccata). A fronte di 9761 policy privacy studiate, soltanto il 15,3% sono risultate pienamente conformi al GDPR.
La situazione peggiore riguarda la profilazione
L’area di minor conformità al GDPR è risultata essere quella riguardante la profilazione degli utenti: parliamo dell’attività di registrazione delle interazioni degli utenti con i siti web. Queste interazioni sono analizzate e studiate per tracciare un profilo dell’utente e “indirizzarlo” verso altri siti web, pagine o pubblicità. E’ questa una delle pratiche più controverse degli ultimi anni, salita all’attenzione dei media mondiali principalmente in seguito allo scandalo Cambridge Analytica.
Per approfondire > Facebook e Cambridge Analytica: i nostri dati e la nostra privacy non sono al sicuro?
Non solo Big tech: la non conformità riguarda quasi tutte le aziende UE
La situazione però non pare migliorata nel tempo nonostante l’impegno del legislatore non manchi. Qualche settimana fa, ad esempio, il Parlamento Europeo ha approvato la Digital Markets Act (DMA) col quale si vieta la profilazione comportamentale dei minori: chi lo farà potrà incorrere in una multa fino al 20% delle vendite annuali globali. Fanno notare i ricercatori come questa legge sia stata recepita come rivolta alle big tech, Facebook e Google in primis, ma è un errore pensarla così: la vastità della non conformità al GDPR e agli altri obblighi di legge in tema di trattamento dati rende chiaro che il problema riguarda la stragrande maggioranza delle aziende in UE.
L’immagine sotto mostra chiaramente i dati risultanti dall’analisi, alla luce di 18 requisiti fondamentali previsti dal GDPR che, ricordiamo, è pienamente in vigore dal Maggio 2018.
Nota metodologica importante: i ricercatori hanno iniziato ad analizzare policy da Agosto 2018 in poi, dando così ragionevole tempo ai webmaster, gestori, editori di rendere conformi i propri siti web recependo gli obblighi previsti dal GDPR.
Non solo profilazione: anche la portabilità del dato è un diritto scarsamente tutelato
Se non bastasse, lo studio solleva un altro tema scottante: quello relativo alla portabilità del dato. Per portabilità si intende il diritto dell’utente di trasferire o esportare i propri dati dalle aziende che le stanno trattando ad altri lidi.
Qui lo studio conclude chiaramente:
“Requisiti come il diritto alla portabilità dei dati degli utenti e la pubblicazione in chiaro dei contatti del DPO sono conformi soltanto, rispettivamente, nel 15,5% e nel 16,4% dei siti analizzati”. Altri requisiti primari come il diritto degli utenti a presentare reclamo, revocare o modificare il consenso, a esprimere opposizione ecc.. sono garantiti soltanto dal 17-20% dei siti web”.
Il GDPR non è un optional, ma un obbligo di legge
Insomma, ci viene da dire, non c’è peggior sordo di chi non vuol sentire: cari webmaster, care aziende europee, la conformità al GDPR non è più rimandabile, non è un qualcosa in più, non è facoltativa. E’ un obbligo di legge che, se non rispettato, non solo comporta salate multe ma produce anche un danno reputazionale aggiuntivo.
Se poi ricordiamo anche che la conformità al GDPR è addirittura uno strumento che può migliorare l’organizzazione aziendale e produrre anche benefici produttivi, non si coglie davvero il perchè di questa difficoltà o mancata volontà di adeguarsi.
Per approfondire > Il GDPR per migliorare l’organizzazione aziendale
Per approfondire > Nuove linee guida del Garante
Il tempo è adesso!
Vuoi sapere se il tuo sito web è conforme al GDPR e alla direttiva ePrivacy per non incorrere in sanzioni? Chiedilo agli esperti di acconsento.click!