GDPR, cookie e siti dinamici

Mi ritengo con malcelato orgoglio uno dei primi sbarcati sul web https://www.dimi.uniud.it/~zen (15 agosto 1997) che attraverso una discreta conoscenza delle scienze dell’informazione ha costruito un pezzo del web. Ho scritto “scienze dell’informazione” da non confondersi con le scienze della comunicazione: su questa distinzione mi prometto un post sicuramente polemico nel prossimo futuro considerate le invasioni di campo che vivo sulla mia pelle quasi quotidianamente.

Come ho scritto in /perché-questo-blog/ la nuova versione di www.zen.pn.it è interamente statica e non utilizza nessun tipo di cookie e non raccoglie nessun tipo di dato personale.

Ho riflettuto a lungo su prima di questa scelta:

• Il mio bel sito wordpress con la sua miriade di plugin che raccolgono chissà quale tipo di dato non è certo gdpr-compliant.
• Ho la forza legale ed economica per far fronte ad eventuali divergenze?
• No.
• Soluzioni?

Semplice: un sito che non usa i cookie e non raccoglie dati; cioè un sito completamente HTML+CSS+JS, senza porzioni server side (che hanno bisogno dei cookie), senza possibilità di inviare post (che richiedono un minimo di trattamento dei dati di chi invia), senza statistiche di accesso,… insomma un sito web vecchio stile. Tecnicamente un sito realizzato usando Jekyll.

Questo ritorno alle origini mi ha costretto a fare delle riflessioni su come sia cambiato il web in questi anni. Da quando nel lontano 1989 usavo metacrawler per le mie ricerche perché google aveva troppe poche pagine indicizzate, per arrivare fino ai giorni nostri dove il mio ufficio confina con un dipartimento di comunicazione sul cui sito web campeggia la “ricerca di un web marketing strategist”. Scusate, sto anticipando il prossimo post. Ritorno al tema tecnico.

Cookie

Il protocollo http su cui il web si basa è un protocollo senza memoria (stateless). Stateless significa che ogni richiesta è indipendente da quelle precedenti e si conclude al momento della chiusura della connessione (quando il server comunica che ha finito di servire il documento o premo “stop” nel browser).

Il server web quindi non ha “memoria” di quanto comunicato precedentemente con un certo client: per questo motivo, per realizzare applicazioni web complesse, sono stati sviluppati meccanismi a livello superiore come i cookies per costruire “sessioni” e permettere al server di recuperare informazioni riguardanti un certo client.

Senza cookie non ci può essere web dinamico, e-commerce,… in una parola non c’è web statefull.

I cookie sono una etichetta che viene messa alla mia navigazione, sul mio computer, sul mio browser. Ora questa etichettatura è molto rischiosa non in se stessa ma nel momento in cui la uso. Su questo tema vi invito a leggere due articoli:

• Quello che internet ci nasconde di E. Pariser da cui poi ha avuto origine il libro “Il filtro”
• La politica ai tempi di facebook di Hannes Grassegger, Mikael Krogerus per Internazionale

Chi non ha passato gli ultimi cinque anni su un altro pianeta ha certamente sentito parlare dei big data. Il senso di quest’espressione è che tutto quello che facciamo, sia online sia offline, lascia delle tracce digitali. Ogni acquisto fatto con la carta di credito, ogni ricerca su Google, ogni spostamento che facciamo con il cellulare in tasca, ogni like su Facebook: tutto è conservato da qualche parte. La politica ai tempi di Facebook

Ecco perché il legislatore ha messo una norma a riguardo: devi avvisare se usi i cookie.

Giusto. Corretto. Ma… non sarebbe stato saggio scrivere: se usi i cookie funzionali cioè quelli che nascono e muoiono per il funzionamento di un sito dinamico allora non devi avvisare nessuno, nel caso in cui i cookie li usi per identificare e poi usi questi dati allora avvisi il tuo “cliente”?

No. Nell’incertezza devi avvisare sempre.

Ormai i banner dei cookie sono divenuti la nuova forma di spam del web.

Inoltre, per come è attuata, la Cookie Law finisce per essere un pesante onere burocratico per i gestori di piccoli blog. Questi, se vogliono inserire plugin sociali nei loro siti (elemento ormai indispensabile per poter essere visibili sul web), rischiano pesanti multe in caso di mancato blocco preventivo dei cookie e non corretta gestione degli stessi. Non dimentichiamo, infatti, che anche il solo controllo dei cookie che veicola il sito comporta conoscenze tecniche non banali, e realizzare un sistema di controllo e gestione dei cookie granulare, con possibilità di revoca del consenso già dato, è sicuramente una questione tecnica per la quale occorrono capacità di programmazione avanzate. https://www.valigiablu.it/cookie-law-gdpr/

Log di sistema

Idem per i log di sistema. Se ho un sito web ho di sicuro un file di log che mi dice che l’ip tal dei tali ha richiesto quella specifica pagina. Attenzione: per il legislatore l’indirizzo ip è un dato personale e tenere dei log di sistema significa mantenere dei dati personali. Devi avvisare il tuo “cliente”.

Commenti e moduli di informazione

Se hai un blog è certo che darai ai tuoi lettori la possibilità di dibattere in pubblico e per mantenere il rapporto civile chiederai di identificarsi. Quindi… raccogli dati. Devi avvisare il tuo “cliente”.

Se hai un modulo in cui i tuoi clienti chiedono informazioni e raccogli il loro indirizzo email per rispondergli…. Devi avvisare il tuo “cliente”.

Aggiornamento del 16 giugno 2018: attraverso https://disqus.com/ ho potuto aggiungere i commenti al mio blog, di fatto rimandando esternamente ad un servizio terzo la gestione.

Quindi?

Per me questo è troppo. Per questo ho fatto mia la riflessione che trovate in https://www.bodhilinux.com/2018/06/03/forums-closed-due-to-gdpr/ e sono passato a questa versione del mio blog. Niente cookie, niente dati personali.

E’ chiaro che la mia valutazione è limitata dalla mia visione prettamente tecnica, come scrivevo all’inizio la mia formazione in “scienze dell’informazione” chiede il suo riscatto e non sempre fa i conti con una realtà dalle tante sfumature.

Ma la domanda iniziale, sotto traccia, rimane: che fine farà il web dinamico? Come cambierà con questi vincoli che minano alla base il funzionamento così come lo abbiamo realizzato dopo il 1999?