Se integrate un reCAPTCHA sul vostro sito, dovete assolutamente integrare la Privacy Policy dello stesso e aggiornare la Cookies Policy.
Qualora un sito o un’app che vada online integri i reCAPTCHA, il nuovo GDPR 2018 e la stessa Google richiedono espressamente che l’utente “approvi” l’uso dei dati, e quindi che se ne faccia menzione nell’informativa sulla privacy (Privacy Policy) e più precisamente sulla Cookies Policy.
Il GDPR richiede espressamente che qualunque sito o app mobile che possa trasferire o salvare dati personali (ip, nome, email, indirizzo, data di nascita…) da qualunque residente in UE debba indicarlo in una pagina di Privacy Policy. In tal modo l’utilizzatore deve poter sapere quali dati sono collezionati, a che scopo e deve poter decidere se accettare o meno che questo avvenga.
Questo requisito è tassativo anche nel caso in cui non sia direttamente il vostro sito a salvare i dati, ma un servizio di terze parti in esso integrato. Questo è proprio il caso di Google reCAPTCHA sia nella variante v2 che invisible.
La stessa Google nei suoi Termini d’uso, richiede che se un sito usa il suo servizio di reCAPTCHA, lo indichi nella sua Privacy Policy.
Come funziona Google reCAPTCHA
reCAPTCHA richiede all’utilizzatore di cliccare sul pulsante “Non sono un robot” e Google potrebbe aver necessità di mostrargli un ulteriore test per convalidarlo come utilizzatore effettivamente umano. Il test in genere è del tipo: “seleziona tutte le figure che rappresentano la cosa X”.
ReCAPTCHA salva dati personali per poter decidere se l’utente è umano e non un bot.
Che dati colleziona reCAPTCHA ?
Innanzitutto l’algoritmo reCAPTCHA verificherà se sul computer in uso è presente un cookie di Google (in genere _ga).
Successivamente un cookie aggiuntivo reCAPTCHA specifico verrà aggiunto al browser dell’utente e verrà catturata – pixel per pixel – un’immagine istantanea completa della finestra del browser dell’utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
- Tutti i cookie inseriti da Google negli ultimi 6 mesi,
- Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch),
- Le informazioni CSS per quella pagina,
- La data esatta,
- La lingua in cui è impostato il browser,
- Qualsiasi plug-in installato nel browser,
- Tutti gli oggetti Javascript
Ecco dunque perchè per essere aderenti al nuovo GDPR è necessario includere questa raccolta dati nella pagina di Privacy Policy e ancor di più in quella delle Cookies Policy. In quest ultimo caso è necessario indicare i cookies del servizio Google tra gli Analitici.
Anche perchè, portandovi sul pannello di gestione dei vostri reCAPTCHA, tramite tecnologie prestate da Google Analytics, vi verrà mostrato il livello di spam che ha tentato di accedere al vostro sito ed un riepilogo (dettagliato) di tentativi di accesso riuscito o meno.
Google e il GDPR
Per tutelarsi dal GDPR (o essere a norma con esso) Google richiede agli utilizzatori del proprio servizio di sottoscrivere un particolare consenso ( EU User Consent Policy ). Dovrete quindi accettarlo ma, soprattutto, seguirlo tassativamente.
I requisiti sono schematicamente:
- Dovete utilizzare sforzi “commercialmente ragionevoli” per divulgare la raccolta dei dati, la condivisione e le pratiche di utilizzo a seguito dell’utilizzo dei prodotti Google,
- È necessario ottenere il consenso per raccogliere, condividere e utilizzare tali dati,
- È inoltre necessario utilizzare sforzi “commercialmente ragionevoli” per fornire agli utenti finali informazioni “chiare e comprensibili” su qualsiasi cookie che acceda e memorizzi,
- Dovete tassativamente ottenere il consenso per accedere e memorizzare questi stessi cookie.
In conclusione
Dovrete quindi sistemare il banner dei cookies, la pagina della Privacy e della Cookie Policy: darete modo all’utente di percepire che tipo di dati stiate catturando e per quale motivo, dandogli infine modo di accettare attivamente che voi (ovvero Google) lo facciate.