Quella appena trascorsa è stata sicuramente la settimana della “cookie law”, ovvero le prescrizioni dettate in materia di cookie dal Garante per la protezione dei dati personali con un provvedimento dell’8 maggio 2014 (di cui abbiamo già parlato in questo post).
Dopo aver “dormito” per mesi (come giustamente ha scritto Riccardo Luna), il Web italiano si è svegliato a ridosso della scadenza del 3 giugno: tra interpretazioni bizzarre e leggende metropolitane, in tanti hanno fatto rilevare oggettive difficoltà nell’adeguamento alle nuove disposizioni.
Proteste e petizioni hanno spinto il Garante della Privacy, prima, ad annunciare che – nell’immediato – nessuno rischiava multe e, poi, a pubblicare un documento contenente dei chiarimenti sulle questioni più spinose e controverse.
Proviamo a passarle in rassegna.
1. CHI DEVE RISPETTARE LA COOKIE LAW
Rimarrà deluso chi aspettava semplificazioni o esenzioni (soprattutto per i gestori di blog e siti personali).
Il Garante ribadisce – e non poteva essere altrimenti – che il provvedimento riguarda tutti i siti, anche quelli che non perseguono finalità di lucro,
“che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento strumenti situati sul territorio dello Stato”
Viene chiarito, quindi, che la cookie law si applica a tutti i siti che memorizzano cookie sui terminali degli utenti italiani, a prescindere dal dominio utilizzato, dalla localizzazione dei server e dalla presenza di una sede in Italia.
2. COSA FARE CON I COOKIES “TECNICI”
Il Garante precisa che per l’uso di cookie esclusivamente tecnici (come quelli di navigazione o di sessione) è sufficiente rendere apposita informativa, senza la necessità di implementare l’apposito banner (contenente la c.d.
“Informativa breve”) né richiedere il consenso: sarà infatti sufficiente adeguare la privacy policy già presente sul sito.
Ai cookie tecnici sono equiparati quelli analitici (che consentono di analizzare i dati relativi al traffico generato da un sito web), ma solo a patto che siano realizzati e utilizzati direttamente dai gestori del sito per migliorarne la fruibilità (ipotesi, a dire il vero, piuttosto rara nella pratica).
3. COOKIE LAW E GOOGLE ANALYTICS(e per tutti i cookie analitici di terze parti)
Uno dei temi più spinosi è quello legato ai cookie analitici di terze parti, vista la loro diffusione, e in particolare di Google Analytics (di gran lunga il servizio più utilizzato per analizzare i dati di traffico).
In proposito, nei chiarimenti del Garante – coerentemente con quanto previsto nel Provvedimento dell’8 maggio 2014 – è scritto che, in relazione ai cookie analitici di terze parti, i gestori del sito non sono tenuti ad alcun adempimento a due condizioni:
- devono essere adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici (ad es.
attraverso il mascheramento di porzioni significative dell’indirizzo IP)
- nel contratto tra il gestore del sito e la terza parte deve essere espressamente contenuto l’impegno di quest’ultima o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.
Con riferimento a Google Analytics, il servizio consente al gestore del sito di anonimizzare gli IP (seguendo la procedura indicata qui) e di disabilitare dal proprio pannello di controllo la condivisione dei dati raccolti con altri servizi di Google (come illustrato qui). Tuttavia, all’interno delle condizioni di servizio di Google Analytics è contenuto l’espresso impegno di Google a non incrociare i dati con altre informazioni di cui dispone.
Di conseguenza, i gestori dei siti che vogliano continuare a usare questo servizio, dovranno implementare l’informativa breve (il caratteristico banner) e registrare il consenso dell’utente. Coloro che, invece, continuino ad utilizzare il servizio di Google nelle sue modalità di default o lo colleghino addirittura ad altri servizi (come ad esempio Google Adsense) dovranno procedere anche a notificare il trattamento al Garante (pagando un importo di 150 euro).
4. COOKIE LAW E SOCIAL NETWORK
Altro tema assai caldo è quello relativo alla condivisione sui social network.
In proposito, il Garante, nei suoi chiarimenti, precisa che
“se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”
Questo, nella pratica, significa che chi intende utilizzare la condivisione sui social per evitare alcuni adempimenti dovrà evitare di utilizzare molti dei più usati strumenti (in quanto, nella norma, installano cookie), avvalendosi di quelle soluzioni che non lo fanno (“spulciando”, ad esempio tra i diversi plugin disponibili per le varie piattaforme).
In caso contrario, dovrà implementare il banner con l’informativa breve e bloccare la memorizzazione dei cookies fino al consenso.
5. LO “SCROLL” VALE COME CONSENSO
Il Garante, infine, chiarisce che lo “scroll“, ovvero la prosecuzione della navigazione all’interno della medesima pagina web, può essere considerata una valida manifestazione del consenso all’utilizzo dei cookies da parte dell’utente, così come il click e qualunque altra azione compiuta dall’utente nella pagina.
* * *
IL GARANTE CHIARISCE, MA NON SEMPLIFICA
Adesso che le maggiori incertezze interpretative sono state chiarite, è opportuno iniziare una seria riflessione sulla cookie law.
Il Garante, nel preambolo ai suoi chiarimenti, ha specificato come il provvedimento del 2014 fosse un atto dovuto, il recepimento a regole derivanti da una Direttiva comunitaria del 2009.
Quasi a giustificarsi per prescrizioni che – pur con le più lodevoli intenzioni – finiranno sicuramente con il complicare la vita alla gran parte dei gestori dei siti, senza probabilmente ottenere un risultato apprezzabile in termini di tutela degli utenti.
È già stato osservato, infatti, che difficilmente l’utente medio sarà in grado di districarsi tra le decine di informative in cui si imbatterà quotidianamente e che esistono già strumenti diversi dai cookies che consentono di tracciare il comportamento degli utenti (come il “device fingerprinting”).
Per evitare, quindi, che la cookie law si trasformi in un provvedimento vissuto come una “vessazione normativa” sarebbe utile che il Garante – che si è dimostrato sensibile alle sollecitazioni fin qui arrivate – provasse a rendere più semplice l’adempimento per piccoli gestori, da un lato, raccogliendo sul suo sito l’elenco di servizi e di strumenti che consentono ai gestori dei siti gli adempimenti più fastidiosi (es. i plugin per la condivisione sui social che non memorizzano cookie) e, dall’altro, di ottenere dalle terze parti (come Google) la modifica alle condizioni contrattuali con l’impegno a non incrociare le informazioni contenute nei cookie con le altre di cui già dispongono.
Questo, probabilmente, renderebbe i biscottini un po’ meno indigesti per tutti.
ERNESTO BELISARIO8 giugno 2015