Come è Cambiato il Web dopo il GDPR?

COME E' CAMBIATO IL WEB DOPO IL GDPR

Il grande giorno ormai è passato, il 25 Maggio tutti i siti web che trattavano dati di utenti europei si sono dovuti adeguare al nuovo regolamento per la privacy

In Italia, l’8 Agosto il Consiglio dei Ministri ha approvato il testo definitivo.

Ma come è cambiato il web dopo il GDPR?

Avevo già dedicato un articolo sulla nuova legge che suggeriva i migliori strumenti per adeguarsi al GDPR.

In questo, invece, vedremo quali sono state le conseguenze, a livello di sviluppo dei siti web e di user experience, che il GDPR ha portato con sè.

Bisogna sempre tenere presente, però, che una buona parte di siti internet ancora non si è adeguata alla nuova normativa.

Già prima del 25 Maggio alcuni studi avevano mostrato come moltissime aziende non erano pronte all’entrata in vigore del GDPR.

Uno studio di Aprile del Ponemon Institute (1) mostrava una sostanziale parità tra i siti web pronti per il 25 Maggio e quelli che, invece, erano in ritardo.

Quando pensi di poter rispettare il GDPR? Ponemon Institute

Un altro studio di vpnMentor (2) , invece, attestava al 34% i siti europei già pronti per la riforma.

L’Italia, secondo il sondaggio, era uno dei paesi più virtuosi con il 51% di siti web in regola, dietro solo a Germania e Austria.

Sondaggio vpnMentor su 2500 siti web

Ad oggi, bastano poche ore di navigazione per rendersi conto che molti siti, specie di piccole e medie imprese, non si sono ancora adeguati in maniera completa al GDPR.

Pertanto, in questo articolo non analizzeremo la situazione finale ma i trend che si stanno sviluppando in questo periodo post GDPR.

Questi saranno, probabilmente, più delineati quando tutti i siti saranno in regola con la nuova normativa sulla privacy.

Iniziamo analizzando uno dei lati negativi, cioè l’oscuramento di alcuni siti web che non si sono ancora adeguati (o, più semplicemente, non intendono farlo).

Siti Oscurati dopo il GDPR

Il 25 Maggio diversi siti (specialmente nord americani) hanno smesso di “esistere” per tutti i paesi europei.

Da siti d’informazione a giochi multiplayer online e servizi. Si contano almeno 1000 siti di notizie di tutto il mondo oscurati in UE (3).

Il sito del Los Angeles Times

Diverse agenzie che hanno preso questa decisione, come la Lee Enterprises e la Tronc, gestiscono decine di quotidiani online (tra cui il Los Angeles Times) e non hanno intenzione di fare dei cambiamenti.

Del resto, dal loro punto di vista, l’utenza proveniente dai paesi UE non è sufficiente a coprire le spese per l’adeguamento alla nuova normativa e, di conseguenza, hanno preferito oscurare il sito agli utenti europei.

Stessa cosa per alcuni videogiochi come Ragnarok Online, che ha chiuso i suoi server EU (4), o Super Monday Night Combat, che, invece, ha proprio cessato di funzionare dopo il GDPR (5) .

Super Monday Night Combat

Questo misure drastiche potrebbe pian piano estendersi nel caso in cui le sanzioni dovessero venire applicate o, più in generale, con l’aumentare della consapevolezza della problematica da parte dei proprietari di siti al di fuori dall’UE.

Immaginiamo un sito di una piccola-media impresa americana, che non fa affari con l’Europa. Che senso avrebbe per questa un adeguamento al GDPR? Sarebbe uno spreco di soldi e risorse.

Immagino che questa chiusura di siti non fosse prevista da parte dei legislatori ed è, a mio modo di vedere, una delle conseguenze più tristi dall’introduzione del GDPR perché rende internet un po’ più “chiuso”.

Come è cambiata la User Experience dopo il GDPR

Se non siete rimasti senza internet nel corso degli ultimi mesi, avrete sicuramente notato, almeno nei portali più famosi come Facebook e Google, l’apparire di popup per informare l’utente sui cookie, su come vengono gestiti i dati e molto altro.

Insomma, si tratta, per l’appunto, dell’adeguamento da parte delle grandi aziende al GDPR.

Da ciò, si possono trarre due conclusioni.

La prima è che, chiaramente, l’adeguamento al GDPR rappresenta un “ostacolo” in più nella fruizione del sito. Infatti, dato che il consenso dell’utente dev’essere esplicito, il sito prima caricherà il popup o la pagina dedicata al GDPR e, in seguito, mostrerà il contenuto reale.

Il tutto per essere in regola con il Considerando 32 del GDPR:

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Considerando 32 del GDPR

Una volta che tutti i siti si saranno adeguati, l’aprirsi di un popup per ogni sito visitato potrebbe rivelarsi abbastanza scocciante.

Peraltro si limita, in questo modo, la possibilità di aprire altri popup del sito (che io comunque, in genere, sconsiglio) a meno che non si voglia “bombardare” l’utente e infastidirlo di conseguenza.

La seconda, invece, è una maggiore consapevolezza, da parte degli utenti, di come vengono utilizzati i loro dati da parte dei siti web che visitano.

Non solo, gli utenti ora sono posto davanti ad una scelta, quali dati vogliono condividere con il sito web che visitano?

E le risposte potrebbero non sorprendervi, uno studio di PageFair (6) mostra come il 56% degli intervistati rifiuterebbero qualunque tipo di tracciamento a meno che questo non sia necessario per il servizio richiesto. E ancora, sulla condivisione con servizi terzi delle abitudini degli utenti, solo il 21% sarebbe disposto a condividerle.

Sondaggio PageFair

Andiamo ora ad analizzare la user experience offerta dai siti in ottemperanti al GDPR, andando ad analizzare le opzioni che ha l’utente per evitare il tracciamento pur fruendo i contenuti del sito web.

In altre parole, cosa può fare l’utente che rifiuta il tracciamento (o anche alcuni cookie in particolare), oltre ovviamente a navigare altrove?

Per semplicità ho diviso questi siti in 3 macro categorie.

1 – O Accetti O sei “fuori”

La prima categoria rappresenta i siti web sopra citati, che permettono la navigazione solo previo consenso dell’utente alle condizioni di privacy.

Uno di questi, molto famoso nell’ambiente del web marketing, è Crazy Egg.

Sito Web Crazy Egg

Come si può vedere dall’immagine, il contenuto viene messo in secondo piano da un pannello centrale riguardante la privacy.
Se non si accettano le condizioni, non c’è modo di navigare il sito e l’utente è costretto a navigare da un’altra parte.

Da notare anche che, almeno per il momento, non è possibile selezionare quali cookie ricevere, o si ricevono tutti oppure non viene consentito l’accesso.

2 – La Privacy a Pagamento – Freemium

Nella seconda categoria, rientrano i siti che propongono una versione a pagamento per non ricevere cookie (o monitoraggio) da terze parti.

Tra questi il Washington Post e Accuweather.

Washington Post Home Page – Versione EU a pagamento

Come potete constatare dall’immagine (o navigando), il WP dà 3 diverse opzioni: opzione gratuita con cookie compresi, abbonamento con cookie compresi oppure un abbonamento più caro (chiamato Premium EU appositamente) senza pubblicità sul sito né tracciamento.

Accuweather, invece, semplifica il tutto con una versione gratuita con cookie e una versione a pagamento senza cookie di tracciamento.

Accuweather Home Page – GDPR Popup

Chiaramente tutti quei siti che si sostengono tramite pubblicità online o per i quali la pubblicità rappresenta buona parte dell’introito, non hanno molte alternative al presentare una sorta di versione Freemium.

Il problema, però, è che qui a pagamento non c’è qualche aggiunta speciale o qualche funzione in più, ma la nostra privacy.

Il rischio per l’appunto è che la privacy diventi un servizio disponibile per pochi e che, quindi, l’anonimato nel web possa essere solo a vantaggio delle persone più abbienti.

Per cercare di risolvere questa problematica, alcuni browser come Firefox e Safari stanno sviluppando dei sistemi per bloccare il tracciamento in maniera automatica (7).

Tuttavia, questo braccio di ferro potrebbe continuare, visto che i web developer hanno a loro disposizione molte armi per capire la versione del browser utilizzato e correre ai ripari.

3- Massima Scelta sui Cookie

Vediamo adesso la terza categoria, questa comprende siti come Oracle e Philips. Per lo più sono siti vetrina che vendono prodotti fisici, quindi i loro introiti non avvengono (almeno non principalmente) tramite il sito web.

Queste aziende sono quelle che, a mio modo di vedere, hanno implementato il GDPR nella maniera più corretta, lasciando all’utente la possibilità di selezionare i cookie che vuole mantenere e quelli che vuole rifiutare.

Partiamo da Oracle, che ci permette di selezionare i cookies funzionali e quelli pubblicitari, sono invece obbligatori i cookie richiesti.

Sito Oracle – Integrazione del GDPR

Dopo aver provato tutte e 3 le “soluzioni” proposte, ho riscontrato che la differenza in termini di cookie totali è parecchia.

Soli 16 cookies, tutti di Oracle, per la versione meno invasiva, per arrivare ai 98 cookies dando il consenso a tutte le voci.

Il sito Oracle con solo cookie necessari

Il sito con tutti i cookie attivati

Interessante anche l’integrazione proposta da Philips, che suddivide i cookie in necessari, di analisi, social media e pubblicitari.

Man mano che restringiamo la selezione, ci vengono forniti dettagli su quali funzioni verranno meno a causa della nostra scelta.

GDPR implementato da Philips

In questo caso la versione “completa” ha 41 cookies, quella più “sicura” invece ne ha 17.

Una piccola nota di fondo per entrambi i siti: il rispetto delle nostre scelte in termini di privacy si “paga” dovendo aspettare alcuni secondi di elaborazione prima di poter fruire il sito.

Infatti, questi siti sono pensati nella versione completa con tutti i cookie presenti. Per soddisfare le nostre esigenze questi vengono modificati, lasciando però, per qualche secondo, l’utente in attesa. Una situazione che, indubbiamente, peggiora la user experience.

In sintesi, abbiamo visto che adeguare i siti web al GDPR è possibile, comunicando ai propri visitatori il messaggio in maniera chiara, trasparente e senza rovinare troppo la User Experience.

Chiaramente, per quei siti che trattano solo marginalmente i dati di utenti UE e per quelli che si mantengono con la pubblicità (e relativi cookie), l’adeguamento diventa a spese dell’utente.

Vediamo, ora, il terzo e ultimo aspetto cioè come il GDPR ha cambiato lo sviluppo dei siti web e in che modo si sono adeguati gli sviluppatori.

Tralascio volutamente il lungo capitolo marketing dopo il GDPR, a cui probabilmente dedicherò un articolo a parte quando la situazione sarà più definita.

Com’è cambiato lo Sviluppo Web dopo il GDPR

Abbiamo già visto come, per poter implementare il GDPR e consentire la scelta dei cookie da parte dell’utente, sia ora necessario progettare un sito che possa funzionare anche se con delle limitazioni.

Questo ha portato ad una generale diminuzione e ad un maggior controllo dei cookie (a volte inutili) presenti sui siti.

Uno studio del Reuters Institute (8) relativo ai siti d’informazione, mostra come i cookie di terze parti, spesso più facili da controllare, siano diminuiti del 22% dopo il GDPR.

Cookie di Terze Parti, differenza tra Aprile e Luglio

Un grande calo lo si è visto per i cookie di Facebook (e in generale quelli relativi ai social media) e per i cookie di OAth (di cui fa parte Yahoo!).

Google è rimasto stabile nella sua presenza su altri siti, anche grazie agli sforzi fatti per l’anonimizzazione dell’utente nel tracciamento con Google Analytics.

Cookie di Terze Parti presenti nei siti in percentuale, Aprile – Luglio 2018 – Reuters Institute

Un altro aspetto, invece, è quello già trattato in un altro articolo dei tool per l’integrazione del GDPR.

Lo sviluppatore web si è dovuto, quindi, adattare ai nuovi cambiamenti inserendo nel proprio toolbox anche tutto ciò che riguarda il GDPR.

Infine, la questione del data breach e di rendere disponibili all’utente i dati conservati apre due interessanti prospettive per tutti gli sviluppatori.

Sulla possibilità da parte degli utenti di scaricare i loro dati immagazzinati dai siti, alcuni servizi si sono già portati avanti. Ad esempio WordPress nella sua versione 4.9.6 consente allo sviluppatore di ricevere richieste da parte degli utenti e di scaricare facilmente tutti i dati a loro collegati.

Immagino che questo possa portare anche ad una diminuzione di meccanismi di registrazione/login, in alcuni casi davvero poco utili e di un rilancio all’anonimato.

Sul data breach bisogna analizzare due fronti:
Il primo riguarda la sicurezza del sito per far si che non ci siano violazioni di dati da parte di malintenzionati.

Un potenziamento generale della sicurezza in internet è sicuramente benvenuto.

Il secondo riguarda cosa fare in caso di data breach.

Uno studio dell’inizio 2018 di Risk Based Security (9) mostra come, nonostante il trend sia positivo, nei primi 3 mesi dell’anno sono avvenute ben 686 breach che hanno esposto più di 1 miliardo di dati degli utenti.

Data Breach nel Q1 degli ultimi anni

Allo stesso modo, i tempi di notifica all’utente, nonostante siano migliorati rispetto al passato, rimangono ancora troppo alti, 38 giorni in media passano dall’attacco alla notifica.

Su questi aspetti gli sviluppatori e i proprietari di siti web possono fare ancora molto in fase di monitoraggio, prevenzione e aggiornamento dei sistemi.

Ho raccolto qui qualche pensiero personale sulla situazione di internet del periodo dopo l’introduzione del GDPR. Spero di avervi lasciato qualche spunto di riflessione e di approfondimento!

Se avete delle domande, volete chiarimenti o aggiungere qualsiasi cosa commentate in fondo al post oppure scrivetemi un email tramite il form contatti

Fonti:

1 Studio Ponemon
https://iapp.org/media/pdf/resource_center/Ponemon_race-to-gdpr.pdf
2 Studio vpnMentor https://www.vpnmentor.com/blog/report-only-34-percent-of-websites-in-the-eu-are-ready-for-gdpr/
3 Siti Web non Visibili dopo il GDPR  
https://data.verifiedjoseph.com/dataset/websites-not-available-eu-gdpr
4 La chiusura dei server Ragnarok https://www.rpgsite.net/news/7102-ragnarok-online-servers-to-shut-down-in-most-of-europe
5 Super Monday Night Combat https://steamcommunity.com/app/104700/allnews/
6 PageFair Research https://pagefair.com/blog/2017/new-research-how-many-consent-to-tracking/
7 Firefox blocca gli AdTracker https://www.cwi.it/internet/browser-web/firefox-blocca-default-ad-tracker-114834
8 Studio del Reuters Institute https://reutersinstitute.politics.ox.ac.uk/risj-review/third-party-cookies-down-22-europes-news-sites-gdpr?mod=djemCMOToday
9 Risk Based Security – Statistiche sul Data Breach 
https://pages.riskbasedsecurity.com/2018-q1-breach-quickview-report

Potrebbero Interessarti anche Questi Articoli

Qualche Info sull'Autore: Web Assistente

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *