Cookie Law e hosting gratuiti: «straordinario» per il dott. Soro?

The New Blog Times
Marco Valerio Principato
Di
Pubblicato il: 08/06/2015
Commenti 7 commenti | Permalink

Sarebbe interessante se il Garante Privacy si pronunciasse in materia di servizi di hosting gratuito, legittimamente accessibili e utilizzabili in Italia, ma non coercibili ad ottemperare a una normativa tutta italiana. Riflessioni sul caso.

La scorsa settimana abbiamo toccato con mano che il 2 giugno era il limite massimo oltre il quale sarebbe entrata in vigore la cosiddetta “Cookie Law”, ossia una normativa, varata lo scorso anno, in ossequio alla quale tutti i siti debbono esporre un banner ben visibile nel quale indicare le proprie politiche sulla privacy e sull’impiego dei cookie stessi, nonché raccogliere dagli internauti in visita il consenso (o il diniego) al loro impiego. Diciamo che lo hanno / lo abbiamo fatto tutti.

Esistono, tuttavia, gli hosting gratuiti e, tra questi, rientra quello che forse è il servizio di hosting gratuito più usato e diffuso, Wordpress.com, del quale anch’io mi servo per tenere online il mio blog radioamatoriale, così come se ne serve Dario Bonacina, il “vice” di questo sito, per tenere online il suo blog.

Le due citazioni non sono scelte a caso. La mia, infatti, riguarda un blog tenuto online impiegando il dominio wordpress.com, preceduto dal cosiddetto dominio di terzo livello (impostato su un valore arbitrario scelto dall’utente, nel mio caso i caratteri che compongono il mio nominativo da Radio Amatore), mentre quella su Dario Bonacina riguarda un blog apparentemente online su hosting privato ma, in realtà, sempre su Wordpress.com.

Poiché il Garante prevede delle sanzioni per chi non adempie agli obblighi imposti dalla Cookie Law, la domanda sorge spontanea: quelle sanzioni riguarderanno anche chi, come Dario Bonacina, impiega un proprio nome a dominio per essere raggiunto online, pur trattandosi, in realtà, di sito su Wordpress.com? E riguarderanno anche tutta la miriade di blog creati con un dominio di terzo livello su Wordpress.com?

Già, perché chi dovesse navigare sul blog di Dario Bonacina potrà constatare che anche utilizzando il suo URL originale, cioè:

http://bonacina.wordpress.com

viene immediatamente “trasferito” (con un’operazione tecnicamente chiamata redirect) sul dominio “privato” di Dario Bonacina, ossia quello che lui ha registrato e messo in opera come URL di servizio per il blog, che è:

http://blog.dariobonacina.net

Sia che si raggiunga il blog con l’uno che con l’altro, resta il fatto che Dario Bonacina, e come lui tutti coloro che impiegano un blog ospitato da Wordpress.com, non ha alcuna possibilità di adempiere, dal momento che non dispone di alcun accesso amministrativo ai server presso cui l’azienda (Automattic) lo pone in funzione.

Né Automattic ha predisposto alcunché: è sufficiente visitare un qualsiasi blog su Wordpress.com per constatare, anche previa pulizia del proprio browser – come suggerisce il Garante stesso – che non esiste alcuna policy chiaramente indicata come da Cookie Law, né viene chiesto alcun consenso.

L’unico documento che se ne occupa è raggiungibile solo a condizione di sapere (cosa piuttosto ardua per un non-tecnico e, comunque, non evidentissima), nel caso di siti come quello di Dario Bonacina, che il sito in visita è in realtà ospitato da Wordpress.com e, dunque, a far fede è la loro politica sulla privacy. E di blog con un proprio nome a dominio, pur se ospitati su Wordpress.com, ce ne sono tanti, come ce ne sono tanti che impiegano un dominio di terzo livello e si “accontentano” del dominio di secondo livello wordpress.com (come nel mio caso).

Analogo problema si presenta per chi, come tanti, impiega AdSense di Google quale sistema di “supporto” alle spese di hosting (chi lo impiega sa bene che assai difficilmente AdSense è in grado di superare le spese o fornire – magari! – dei veri e propri guadagni: tutt’al più attenua i costi). La tecnica adottata in tema di profilazione, in quel caso, è perfettamente analoga a quella usata su siti commerciali, ma non per questo si potrebbe mai affermare che blog e siti non commerciali e senza scopo di lucro facciano impiego in cattiva fede di quei meccanismi di profilazione, riconducibili esclusivamente a Google e ai suoi circuiti di marketing.

Sarebbe interessante che il dott. Antonello Soro, ovvero l’Autorità Garante per la Protezione dei Dati Personali, si pronunciasse specificamente su questo tema, anche perché – a quel che vedo – non sono il solo ad aver sollevato il problema: l’ha fatto anche Guido Scorza sulle pagine de L’Espresso e lo continuerà a fare “a puntate”, vista la non proprio semplice comprensione tecnica del problema per la maggioranza delle persone. Anche Alessandro Longo ha provato, con un’intervista su Wired al dott. Soro, a chiarire.

L’operazione certamente non è facile, perché – in tema di hosting – riguarderebbe anche siti piuttosto seguiti – un esempio su tutti può essere quello della prof.ssa Giovanna Cosenza – e soprattutto dovrebbe tener conto del momento storico, in cui la globalizzazione fa sì che Internet si comporti, a tutti gli effetti, come un’unica nazione, dove circostanze come quella de quo rendono, di fatto, impossibile adempiere, pur in assenza di una precisa volontà di non ottemperare e, dunque, di un atteggiamento oggettivamente sanzionabile.

Ancora una volta, come ho sostenuto nella mia tesi di laurea, non sarà facile perché la complessità c’è, è tanta e per la stragrande maggioranza delle persone è un ostacolo insormontabile. Che poi quella complessità sia taciuta e occultata dai big con un’abilità degna del mago Silvan è altra questione, ma ciò non la fa realmente “scomparire”: c’è lo stesso e per venirne a capo possono servire anche anni di studio e una capacità analitica non comune.

Non vorrei, insomma, che un intento nato bene finisse per scaturire in una fuga di massa dall’evidenza della Rete, come qualcuno – forse un po’ superficialmente – ha frettolosamente annunciato. Non tutti reagirebbero così: molti altri scomparirebbero dallo scenario in apparenza, ma ricomparirebbero sotto mentite spoglie, “altrove”, in quella stessa zona globalizzata, ma laddove nessuno – né il garante italiano né quelli europei – avrebbe alcun potere di intervento normativo né sanzionatorio. E senza per questo essere, in Rete, meno “visibili” o meno “raggiungibili”.


Marco Valerio Principato (2072 articoli)

Informatico sin dal 1980, esperto di Internet ed elettronica e attivo in Rete dal 1999, ha curato articoli in diverse pubblicazioni specifiche tra cui Punto Informatico (direzione P. De Andreis) e CompuServe Magazine. Laureato con lode in Scienze della Comunicazione, è responsabile di questo sito.


Commenti (Facebook)
Commenti (locali)
  1. Vania Rupeni ha detto:

    Salve, sono un programmatore web e lavoro su un programma che serve alla realizzazione di siti web. Devo dire che soprattutto in quest’ultimo mese la normativa sui cookie non le dico quanto mi abbia dato da fare..
    Mi è piaciuto molto il suo articolo perchè credo sia l’unico che metta ben in evidenza un fatto che anche i vari chiarimenti del garante sembrano trascurare e comunque di certo non chiariscono: è accertato che se si mettono dei banner adsense nelle proprie pagine alla sola visualizzazione del banner vengono registrati dei cookie da doubleclick.net, che è appunto la principale socità di Google che svolge attività di profilazione, usando cookie profilanti. Ciò succede anche se si è completamente anonimi rispetto a Google e quindi non si può aver accettato nessun cookie profilante da Google.
    Dunque Google mi sembra non rispetti la normativa; fatti di Google? Magari: se incorporo dei banner Google che non rispettano la normativa, i suddetti cookie doubleclick.net non sono solo cookie di doubleclick.net, ma cookie di terza parti registrati dal mio sito; e la normativa è chiara rispetto a questa tipologia di cookie: cookie profilanti di terze parti = consenso (o dissenso) preventivo.
    In definitva vorrei che il Garante si esprimesse una volta per tutte in modo esplicito e risolutivo:
    1) i banner con queste caratteristiche non rispettano la normativa (di default sono opt-in) per cui i gestori di siti italiani non li possono usare;
    oppure
    2) i banner con queste caratteristiche costituiscono un eccezione, per cui usateli senza preoccuparvi.

    Altra unica alternativa è che Google recepisca appieno la normativa e la smetta di registrare cookie profilanti sui dispositivi degli utenti europei, senza che vi sia stato un preventivo consenso.

    Per quanto riguarda la questione wordpress.com, il fatto del passaggio per il dominio wordpress.com e del redirect sono sicuro che non la riguarda; eventuali cookie registrati in questo passaggio non sono cookie di terze parti ma cookie wordpress.com di prima parte e lei è responsabile solo per i cookie, di prima o terza parte, del sotto-dominio.

  2. Andrea ha detto:

    Ma fregarsene in massa di questa buffonata scritta male e interpretata ancora peggio? Vecchia di anni, recepita in Italia col solito ritardo biblico e nata già morta, con adempimenti impossibili per la maggior parte dei siti ora online?Intendo dire una roba del tipo:
    “Caro Garante,
    questa normativa non sta in piedi e in un anno non è riuscito a sistemarla. Prima accenna al blocco dei cookie, e ancora non s’è capito quali, poi verso la fine del testo di legge c’è scritto che è oggettivamente impossibile per gli editori che usano servizi di terze parti tenere conto dei cookie, chiedere il consenso e bla bla… e poi le sanzioni sono devastanti!
    Date queste premesse, e la sostanza che la legge è incomprensibile e contraddittoria (pure gli avvocati esperti di web non ne vengono a capo), l’unica cosa che possiamo fare per non dover chiudere tutto o mutilare il nostro lavoro è adempiere al minimo, ovvero con banner e informativa, come del resto accade in tutta Europa.
    Se non è stato capace di recepire una normativa europea in maniera sensata non possiamo venirne penalizzati noi. Ogni multa o sanzione comporterà ricorsi su ricorsi, quindi veda lei cosa fare”.

    Facciamo tutti così, gli mandiamo un messaggio chiaro, e nel giro di una settimana le cose si risolvono come si devono risolvere.

    • Andrea, il semplice “fregarsene” purtroppo non è l’approccio corretto. A quanto ho potuto vedere il dott. Soro è persona che “ascolta” e interagisce. Non credo proprio che abbia lo scopo di reprimere gratuitamente. Come accennavo, il problema è complesso e lo è per tutti, anche per il Garante. I commenti sono utili e servono per farsi un’idea delle posizioni di chi è disposto a ragionare sulle cose. Se ci pensa, è da pochissimo che le istituzioni stanno sentendo la “stretta” della globalizzazione e sanno bene di non essere abituate a legiferare in quell’ottica. Diamo tempo al tempo, vedrà che una soluzione a più ampio spettro, se tutti collaboriamo attivamente, uscirà fuori.
      Un saluto e grazie per l’intervento.

  3. Mario ha detto:

    Ci stiamo rendendo ridicoli agli occhi del mondo, proprio come con la Web Tax.

    Il 99,9% dei siti internet, in questo momento è fuorilegge.

    Innanzitutto TUTTI quelli stranieri visibili anche in territorio italiano.

    In secondo luogo tutti quelli che depositano cookies profilanti di terze parti PRIMA che l’utente abbia espresso il suo consenso. Quindi TUTTI i siti nei quali, appena entrati, si vedono subito i banner di AdSense, i video di Youtube o i Pulsanti di Facebook PRIMA di aver mosso il mouse sono, al momento, fuorilegge e passibili dell’ammenda più alta (quella che va dai 10.000 ai 120.000 euro).

    Questo “diventare fuorilegge” da un giorno all’altro senza aver fatto nulla (non ci sono parti lese ne danni visibili o quantificabili) non è ammissibile, soprattutto in virtù di una legge fondamentalmente inutile e non richiesta da nessuno.

    Faccio un esempio per tutti: il sito di Barak Obama (https://www.barackobama.com/), visibilissimo in Italia, è FUORI LEGGE perché deposita cookies profilanti di YouTube e Facebook SENZA il consenso dell’utente. Voglio proprio vedere il Garante Italiano che manda la letterina con la sanzione di 10.000 euro al Presidente Americano :-)

    Siamo solo dei buffoni senza molto cervello.

    • Mario, capisco lo sdegno, ma un attimo di calma. Il dott. Soro ha detto chiaramente che ci sarà un periodo di “assestamento” durante il quale di certo non si metterà ad elevare sanzioni. Il problema, come ho chiaramente accennato nell’editoriale, è complesso e lo è anche per il Garante, sia chiaro. Avere a che fare con una circostanza globale come questa richiede riflessioni molto attente. Spero vivamente, com’è stato per il primo, che il dott. Soro legga i vostri e nostri – alla fine anche i miei editoriali lo sono, in fin dei conti – commenti. Gli servirà per farsi un’idea e richiamare non solo i concetti tecnici, che da soli non bastano, ma anche quelli filosofico-politici che, piaccia o no, sono proprio quelli dei quali servirsi per affrontare una simile problematica senza “incartarsi” o “incartandosi” il meno possibile. Di una normativa c’è bisogno, ma c’è bisogno anche che sia, appunto, globale, altrimenti rischia di trasformarsi presto in un fallimento.
      Saluti e grazie per l’intervento.

  4. Matteo ha detto:

    in questo articolo si parla in pratica di “diritto applicabile”. Come principio generale, per tutto quanto riguarda la privacy è assolutamente irrilevante sia l’hosting usato, sia il dominio. Vale il concetto di “stabilimento”. Per cui se un gestore di sito web (persona fisica o azienda che sia) è “stabilito” in Italia (indipendentemente dal dominio, dall’hostingo o che sia di primo o terzo livello o gratuito o a pagamento) è soggetto alla normativa italiana.
    In ogni caso, se anche il diritto applicabile fosse quello americano (ponendo il caso che il blog sia considerato gestito direttamente da wordpress), comunque si ricade sotto la giurisdizione della normativa italiana, ai sensi del punti 6 degli ultimi chiarimenti del garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
    (che probabilmete in tribunale non reggerebbe come fattispecie, ma per il momento è così)

    • Appunto, Matteo: grazie per la precisazione, dalle sue parole mi par di sentire “odor di giurisprudenza”, quindi forse Lei è avvocato o quanto meno competente in materia. Proprio per questo ho “lanciato la palla” (di nuovo, peraltro) al dott. Soro: nessuno dubita che la normativa imponga a chi opera di ottemperare a quella italiana. Il che però vuol dire: siccome sei italiano/a, stabilmente residente in Italia e sai che qui la legge è questa, allora semplicemente non usi un servizio che non ottempera. Il che, da un punto di vista globale, è una circostanza molto miope, ne converrà con me. Di qui le ragioni di una pronuncia atta a chiarire – non a caso ho tirato in ballo il “lavoro straordinario” – proprio per evitare che le persone, al fine di sottrarsi a una visione miope, adottino altre soluzioni.
      Un saluto e grazie per l’intervento.




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.