GDPR e cookie di DoubleClick

Il regolamento generale sulla protezione dei dati (GDPR – UE/2016/679) è una tormenta che si sta abbattendo sul web già da tempo. Nonostante che alcune sue indicazioni siano chiare altre lasciano ancora spazio all’interpretazione.
Talvolta però l’interpretazione è mascherata da una superficiale mancanza di percezione.
Questo è sicuramente il caso legato al concetto di dato personale per il quale, spesso, non si tiene conto dell’effettiva definizione enunciata dalla legge.
L’articolo 4 del suddetto regolamento, cita:

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

GDPR UE/2016/679 Art. 4 definizione 1

Questo significa che anche un hash, nel caso specifico inteso come un valore criptato e anonimizzato (ovvero che non permette di risalire all’informazione iniziale se non applicando l’algoritmo inverso), è considerato un identificativo univoco.

Il caso più tipico, nonché più trascurato da moltissimi siti che dichiarano di bloccare i cookie prima dell’accettazione da parte dell’utente, è l’erogazione del cookie IDE di doubleclick con la cookiebar ancora presente.
Un esempio di questo cookie (della durata di 1 anno), e di un identificativo univoco assegnato al browser dell’utente, è osservabile in Fig. 1:

Molti si celano dietro al fatto che questo hash non è parlante e quindi non fornisce alcuna informazione personale.
Niente di più sbagliato!

Entra in gioco infatti il concetto di profilazione:

«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

GDPR UE/2016/679 Art. 4 definizione 4

Si tratta a tutti gli effetti di un cookie di marketing e a dirlo non sono io ma è Google stessa. Nella pagina dei Termini della Privacy di Google infatti si trova la lista dei cookie che il colosso della Mountain View utilizza e nella colonna Pubblicità, tra essi appunto possiamo trovare scritto:

Usiamo anche uno o più cookies per la pubblicità mostrata in tutto il web. Uno dei più importanti cookies pubblicitari è chiamato IDE ed è memorizzato nei browsers sotto il dominio doubleclick.net.

https://policies.google.com/technologies/types?hl=it

Non a caso molti servizi di generazione di Cookie Policy e gestione della cookiebar classificano automaticamente questo cookie tra quelli di marketing, Fig. 2:

Cosa è che installa il cookie di doubleclick

Ne ho sentite di tutti i colori, non sto a tediare con lo story telling anche se alcune erano davvero carine, ad ogni modo il cookie di doubleclick può essere erogato da servizi Google integrati in pagina come video di YouTube o Google Maps ma il caso più frequente rimane la presenza di Google Analytics ed in particolare della sua configurazione.

Non basta l’anonymizeIp per essere conforme alla GDPR, quello diminuisce il potenziale identificativo del cookie, rendendolo da statistico a tecnico, facendo in modo che l’ubicazione dell’utente non sia più puntualmente identificabile da parte di Google. Questo succede perché l’IP del computer dal quale è stato inviato l’hit ai server di Google è offuscato nell’ottetto finale (es: da 12.214.31.144 a 12.214.31.0), ma il cookie di doubleclick dipende da un’altra impostazione.

Quello che ne determina l’erogazione è l’attivazione della raccolta dei dati socio demografici.
In console del browser si traduce in questa configurazione, Fig. 3:

A complicare le cose c’è il fatto che il cookie di doubleclick, per sua logica di funzionamento, viene generato ed installato ogni 10 minuti. Pertanto cancellando manualmente i cookie del browser ed effettuandone il refresh, il cookie IDE non comparirà più tra i cookie installati, quantomeno per i successivi 10 minuti. Questo porta confusione nei meno esperti in materia, facendo pensare che la situazione effettiva sia conforme alla normativa, ma commettendo un errore che potrebbe costare caro all’azienda e al cliente.

In aggiunta all’informazione di cui sopra, ed in supporto a un controllo più immediato per verificare se il sito installa il cookie di doubleclick (senza la necessità di attendere 10 minuti, se per qualche motivo i cookie sono stati precedentemente cancellati) è quello di verificare in console la presenza della chiamata a stats.g.doubleclick.net, Fig. 4:

La chiamata verso i server di doubleclick.net avviene ogni minuto ed è regolata dal cookie _gat.
Questo cookie dipende sempre dall’attivazione del tracciamento delle informazioni socio demografiche e si trova sotto il dominio del sito analizzato, come un cookie di prima parte, come mostrato in Fig. 5:

Al netto di ciò, se il vostro sito installa il cookie di doubleclick prima dell’accettazione dei cookie di marketing da parte dell’utente significa che non siete conformi alla normativa GDPR.

Tuttavia sapendo cosa e come configurare è possibile entrare nei perimetri richiesti dalla normativa e non perdere le importanti informazioni raccolte in Google Analytics relative ai rapporti socio demografici degli utenti che visitano il nostro sito.

Se avete domande, dubbi, angosce o perplessità sentitevi liberi di lasciare un commento qui sotto!