Fondamentalmente la raccolta dei dati e delle informazioni sull’attività di un utente su di un sito web è consentita, se viene fatta conformemente alle direttive sulla privacy. La base giuridica per questo in Europa è rappresentata dal Codice in materia di protezione dei dati personali. Come risultato di questo codice, la creazione di profili utente è permessa solo se avviene in maniera anonima, ad esempio usando degli pseudonimi.
I dati personali con i quali i singoli visitatori del sito web potrebbero essere inequivocabilmente identificati non possono essere raccolti e salvati senza un consenso esplicito degli interessati. I garanti della privacy considerano tra i riferimenti personali di questo tipo anche gli indirizzi IP dinamici. Già nel 2009 una controversia sorta in Germania aveva portato alla conclusione che l’analisi del comportamento dell’utente che utilizza gli indirizzi IP completi (inclusa la geolocalizzazione) è consentita soltanto con un consenso consapevole e dichiarato, a causa della natura personale di questi dati.
Tuttavia queste direttive sulla protezione dei dati pongono un problema ai gestori di siti web, che vorrebbero valutare le metriche degli utenti utilizzando soluzioni standard del settore, nelle quali quasi tutti i tool di tracciamento rilevano non solo gli indirizzi IP dinamici di ogni utente, ma anche i cookie per registrare il comportamento degli utenti sul sito web. Un uso del sito conforme alla normativa sulla privacy sarebbe quindi possibile solo con un consenso esplicito dell’utente.
Il GDPR attribuisce grande importanza al consenso informato. Per i responsabili dei siti web, ciò significa che devono rendere ben chiaro ai propri visitatori quali dati saranno archiviati e per quale scopo. Pertanto le condizioni di consenso generali e onnicomprensive non sono ammesse. Se sono necessari dati diversi a seconda degli scopi, occorre chiedere all’utente il consenso più volte, cioè separatamente per ognuno degli scopi. Inoltre non è consentito, come fino a poco tempo fa accadeva spesso, assumere il principio del tacito consenso”. Se gli utenti non si pronunciano sul fatto che i loro dati possano essere archiviati, ai sensi del GDPR questo vale come un rifiuto, e lo stesso vale per i cookie.