OneTrust è una cosiddetta soluzione di consenso per i siti web. Il fornitore proviene dagli Stati Uniti o dal Regno Unito, non si sa bene. Lo strumento presenta altre insidie oltre al problema della localizzazione. CookieLaw e Optanon sono dei derivati di OneTrust.
Introduzione
Un tool di consenso, spesso chiamato anche Cookie Consent, viene inserito in una pagina web per rispettare le norme sulla protezione dei dati. Teoria. In pratica è diverso. Ciò vale soprattutto per OneTrust, perché l'azienda sembra avere un flexibile luogo di ubicazione.
OneTrust ha però ancora molte più debolezze. Per anticipare: l'utilizzo di questo strumento promette quasi una pagina web illegale. Subito spiegherò cosa si intende con ciò.
OneTrust sembra aver acquisito in passato gli operatori Optanon e Cookie Law. Tutti e tre gli operatori di allora sono oggi, a mio avviso, uniti sotto OneTrust. Ciò si nota, ad esempio, dai file che il tool di consenso utilizza.
Una ricerca di tutti i miei Consent Tools più noti e popolari l'ho fatta un paio di settimane fa e Cookiegeddon l'ho chiamato così perché il risultato è stato così disastroso.
Richiesta di consenso flessibile
Come per il gruppo Google, non si sa esattamente quali aziende trattano i dati che ci vengono affidati. Come scritto sopra, OneTrust dichiara due sedi, ma nomina direttamente un responsabile principale. La sede USA è altamente problematica (paese terzo non sicuro, vedi Articolo 44 GDPR). La sede UK non è più la migliore per quanto riguarda i diritti di protezione dei dati, dopo il Brexit. Attualmente è stata stabilita una clausola transitoria. Non si sa come andrà a finire. Aggiornamento: Il Regno Unito ha ottenuto un atto di conformità dell'UE. Tuttavia
Non ancora più flessibile del luogo di fornitura dell'azienda è tuttavia la richiesta di consenso stessa. OneTrust utilizza una cosiddetta Geolocazione, per scoprire da quale paese probabilmente proviene l'attuale visitatore del sito web. Per far ciò, in alcune varianti di OneTrust, viene chiamata la pagina https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location. I dati che vengono determinati e trasmessi alla pagina web appena visitata sono soprattutto:
Questo aspetto è tutt'altro che favorevole alla privacy e non ispira esattamente fiducia in uno strumento di consenso. Nel mio test la localizzazione è stata abbastanza accurata, anche se non molto precisa. La posizione determinata era a circa 12 chilometri di distanza dalla mia posizione reale in linea d'aria.
Il 20 gennaio 2021 la Commissione europea ha emesso una sanzione di 7,8 milioni di euro a causa di pratiche di Geoblocking illegali.
Il utente proviene forse dalla Germania, quindi riceve una sintetica richiesta di consenso. Sintetico significa qui che OneTrust fa tutto ciò che è possibile con l' strumento. E purtroppo non è molto.
Il presunto utente di un certo altro paese potrebbe non ricevere affatto una richiesta di consenso. Ciò sarebbe già in sé illegale e creerebbe gravi problemi di protezione dei dati, come si può facilmente dimostrare. Non sono riuscito a riprodurre la distribuzione geolocalizzata per paese, ma posso solo supporre che sia così. In ogni caso, la localizzazione geografica dettagliata di un utente tramite uno strumento di consenso è già molto dubbia.
Se si richiama una pagina web modificata con OneTrust nel browser Tor datenschutzfreundliche, non compare la richiesta di consenso. Forse ciò non dipende dal paese che il browser Tor presenta al tool di consenso, ma da un impostazione di sicurezza del browser:
Una soluzione di consenso deve essere ovviamente progettata in modo che anche nel caso in cui la "soluzione" non funzioni, venga trovata una pagina web conforme alla GDPR. Nel peggiore dei casi, infatti, non dovrebbe mai caricare alcun tool. Con OneTrust però nel peggiore dei casi il tool di consenso non viene caricato, il che porta a caricare tutti i tools obbligatori di consenso direttamente. Il cosiddetto Cookie Blocker è infatti pensato per ricaricare gli strumenti problematici e non per ridurre problemi esistenti.
Il motivo è che OneTrust si "mette sopra". Invece di adattare le istruzioni di caricamento sul sito web per gli strumenti integrati, si tenta di soffocare artificialmente il caricamento degli strumenti. Se poi manca l' Unterdrücker (lo strumento di consenso), non si soffoca nulla.
Non ci sono scuse per questo. Ogni sito web deve essere progettato in modo tale da escludere fin dall'inizio, e fino a nuovo ordine, trasferimenti di dati non autorizzati.
Recupero dei dati da un paese terzo non sicuro?
La situazione si complica ulteriormente in quanto per la creazione del finestra di consenso del venditore viene richiesta la domanda della domain onetrust.com. Ciò sembra variare a seconda dell'implementazione o della versione installata di OneTrust e ha probabilmente a che fare con l'ambivalenza dello strumento (vedi sopra: Optanon, Cookie Law).
Secondo una ricerca WHOIS la domanda onetrust.com è registrata da un'azienda con sede a Panama:
Per la domanda è stato utilizzato un cosiddetto WhoisGuard, che nasconde l'identità reale del proprietario della domanda. In caso di dubbio, si fa carico il responsabile del sito web, che utilizza OneTrust. Vedi Articolo 12 GDPR (informazione trasparente). Molto divertimento nel cercare chi è il proprietario della domanda onetrust.com, se qualcuno dovesse chiedere e richiedere una risposta.
In ogni caso, secondo https://www.onetrust.com/, il dominio è associato all'azienda OneTrust, LLC (vedi la barra laterale della pagina web). La forma giuridica indica che si tratta di un'azienda americana.
I trasferimenti di dati negli Stati Uniti sono illegali senza autorizzazione. Vedi l'articolo 44 GDPR e il giudizio del Tribunale di Giustizia dell'Unione Europea sul Privacy Shield.
Quando si accede al sito web onetrust.de, Google Tag Manager viene caricato senza consenso (da marzo 2022). Ciò mi sembra inopportuno alla luce dell'eccessivo trattamento dei dati da parte di Google.
Legge sui cookie
Un'estensione di Onetrust è Cookie Law. L'utensile sembra essere stato assunto da OneTrust e tecnicamente è identico a OneTrust in larga parte. Al mio testuale caricamento di una pagina web che utilizza Cookie Law, vengono richieste le scritture per il caricamento di Cookie Law con l'indirizzo IP 104.16.148.64. Un servizio di localizzazione IP colloca questa rete indirizzo come segue:
Evidentemente si sta effettuando un recupero di dati che ha a che fare con gli Stati Uniti, un paese terzo non sicuro. Ciò è secondo Art. 44 GDPR problematico senza il consenso.
Se per una richiesta di consenso è necessario il consenso, il beneficio del servizio per la richiesta di consenso che richiede il consenso è prossimo allo zero.
La finestra di consenso di OneTrust
L'aspetto e il contenuto di OneTrust sono certamente personalizzabili. Ho scelto un esempio a caso che si presenta così:
Nel mio test pratico di strumenti di consenso popolari, ci sono altri due esempi su OneTrust.
Avviso di cancellazione
Come si può notare, la dimensione dei caratteri è piuttosto piccola e la quantità di testo nella prima immagine è piuttosto grande. Questo potrebbe essere oggetto di critiche (se mai vi trovaste in tribunale o doveste avere a che fare con un'autorità di controllo). In ogni caso, è scritto:
Con l'aiuto delle pulsanti a fianco potrete stabilire le vostre preferenze sui cookie, che potete modificare in qualsiasi momento durante la visita al nostro sito web.“ .
Questo non è un avviso di cancellazione legalmente sicuro:
- I "pulsanti adiacenti" non sono più presenti dopo che l'utente ha dato il proprio consenso, perché la finestra viene chiusa
- Per me, cambiare e cancellare sono due cose diverse
- Dove il recesso può essere richiesto non viene menzionato, ma è prescritto dall'art. 7 GDPR. ([1])
Rifiutare invece di acconsentire
Come si può vedere nel popup di consenso, non è possibile rifiutare direttamente. Ciò solo mi sembra già illegale. Vedi Articolo 4 Nr. 11 GDPR e il Motivo 42: „Si dovrebbe presumere che abbia dato la sua autorizzazione volontariamente, se ha una scelta vera o libera e quindi è in grado di rifiutare o ritirare l'autorizzazione senza subire svantaggi“.
Informazioni insufficienti
Ci sono così tante affermazioni false e travisazioni che solo una selezione può seguire qui. Primo esempio:
Chi potrebbe essere l'Fornitore di __cfduid? A quanto ne so, onetrust.com non è un'indicazione aziendale.
Sono i cookie __cfduid veramente un cookie, un servizio o un Cosa? Per onestà d'altra parte si deve dire che la descrizione arriva solo dopo aver cliccato su Mostra cookies. Si intendono quindi probabilmente dei cookies. Ma allora qual è il servizio (l'utensile), a cui appartiene il cookie?
Che cosa significa "4 anni"? Io lo capisco, ma un cittadino di lingua tedesca non deve sapere inglese.
La Descrizione non esiste neanche in inglese.
Chi si occupa di protezione dei dati sa cosa significa "Terzo Parte". ([1])
Esempio numero due:
Non sono sicuro che il nome S sia corretto. Non ho ancora visto un cookie di Google con questo nome. Con la richiesta di contattarmi, se esiste ufficialmente questo cookie.
Manca la dicitura dell'azienda e del fine. Invece di scrivere Sitzung, si utilizza il termine inglese Session.
Mancano anche informazioni sull'eventuale trasferimento dei dati a Paesi terzi non sicuri, così come informazioni sul servizio associato.
In questo modo quasi ogni spiegazione di OneTrust può essere criticata. Sono qui così severi, come sarebbe anche in tribunale secondo la mia opinione.
Caricamento di strumenti senza consenso
La corona per uno strumento di consenso: la presunta pagina web protetta carica uno strumento senza il consenso, che richiede un consenso. La situazione si fa ancora più grave quando lo strumento di consenso chiede un consenso per un altro strumento e lo stesso strumento viene caricato senza il consenso. Un esempio è uno script del video YouTube, anche con i cookie. Quello dei cookie avrebbe potuto essere facilmente evitato…
Conclusione
OneTrust sucks e danni più che utile, è la mia opinione. Lo scrivo anche perché l'azienda stessa non riesce a farlo con il proprio strumento. Ecco la prova per il sito web onetrust.de, che dopo aver scelto la lingua tedesca viene chiamato onetrust.com:
La schermata mostra almeno le seguenti mancanze:
- Il cookie _ga viene classificato come cookie di primo livello. Questo è corretto solo da un punto di vista tecnico e non interessa nessuno, tranne me e pochi altri. Giuridicamente il cookie viene utilizzato da Google Analytics.
- Siamo sulla pagina web tedesca. Tuttavia, le descrizioni sono per lo più in inglese.
- L'indicazione del fornitore manca di nuovo
- La descrizione manca, perché è in inglese e quindi appare incomprensibile per un lettore tedesco
- Le informazioni sono incerte: 1 anno, 1° Parte
È difficile sbagliare di più in una richiesta di consenso.
Distaccamento di OneTrust
Il Optanon e la Legge sui Cookie sono stati apparentemente assunti da OneTrust e sono tecnologicamente quasi identici a OneTrust.
Secondo le mie osservazioni, l'unica differenza è nei dettagli tecnici per la chiamata iniziale dello strumento di consenso. Ciascuna delle tre ramificazioni utilizza un proprio numero di identificazione e un proprio tipo di implementazione tecnica per definire tale identificazione.
Ecco due esempi. In primo luogo la definizione dell'ID del cookie di Cookie Law, come spesso chiamata:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxx');
Invece dei x-caratteri, nella vera identificazione sono codificate numerazioni esadecimali.
Per Optanon invece, l'implementazione tecnica dell'ID è così:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Per Cookie First esiste comunque una certa somiglianza, anche se i dati principali sembrano avere una struttura diversa rispetto a OneTrust. L'ID ha comunque la stessa struttura.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Dopo che l'ID è stata stabilita, comunque sia, vengono prese le informazioni per la visualizzazione del popup di consenso. Ciò sembra sempre avvenire in modo identico. I contenuti della risposta e la struttura dei risultati erano sempre gli stessi nei miei test per i sottoprodotti di OneTrust.
Tutto ciò che vale per OneTrust, secondo la mia esperienza, vale anche per Optanon e Cookie Law. La logica del mio strumento, che può leggere automaticamente le richieste di consenso sul sito web, è comunque identica per queste due varianti, non appena si è stabilita l'ID dei cookie.
Conclusione
Chi utilizza OneTrust sul suo sito web è stato male consigliato o ha avuto sfortuna nella ricerca. Per fortuna quasi tutti i problemi possono essere corretti. La cosa migliore da fare è modificare subito il sito e rimuovere OneTrust.
Dopo di che vale la pena riflettere su quali strumenti sono ancora realmente necessari.
Volete scoprire voi stessi se il vostro strumento di consenso potrebbe essere conforme al diritto? Allora guardate pure la mia Checklist per le domande di consenso sulle pagine web.
Se desiderate risparmiare tempo, leggette prima l'articolo cinque motivi per cui i pop-up dei cookie non possono essere affidabili. Lì troverete fatti e prove a sostegno di questa affermazione.
Presto sarà disponibile uno strumento che potrà essere utilizzato per generare una richiesta di informazioni sulle persone interessate per i siti web con strumenti di consenso. Questa richiesta conterrà tutti i difetti riscontrati e i testi dubbi. Per le soluzioni di consenso più diffuse, lo strumento fornisce una richiesta di informazioni sull'interessato ben fondata, compresa la base giuridica necessaria, praticamente con un semplice clic.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.