Cookie Law, dal 2 giugno in vigore: cosa c’è da fare

La riunione sulla Cookie Law, con il Garante Privacy Antonello Soro.
La riunione sulla Cookie Law, con il Garante Privacy Antonello Soro.
La Redazione
Di
Pubblicato il: 07/05/2015
Commenti 4 commenti | Permalink

Per tutte le realtà Web operanti sul territorio italiano, entro il 2 giugno 2015 occorre adeguarsi alle nuove disposizioni. Specie riguardo la profilazione. I dettagli.

Roma – Sono in Gazzetta Ufficiale le nuove norme del Garante Privacy in materia di profilazione online, progettate per dare «maggiori tutele per gli utenti» e, al contempo, «regole più chiare per chi fa profilazione online, a partire dai principali siti Web» e già conosciute con il nomignolo “Cookie Law” (legge dei cookie).

L’entrata in vigore è a partire dal 2 giugno 2015 e obbliga, entro quella data, ad adempiere a una serie di nuove disposizioni. Occorre, secondo la nuova legge, fornire informazioni chiare e complete, chiedere e ottenere il consenso da parte degli internauti che sia revocabile in qualsiasi momento ed estendere la tutela anche al “passante”, ossia chi non dispone di un’utenza presso il sito visitato.

La novità, ampiamente discussa dalle molteplici parti in causa, è volta ad armonizzare in un profilo omogeneo la gestione della profilazione, attività svolta dalla maggior parte degli operatori Web e, laddove non svolta dal titolare (publisher, v. nota) del sito, svolta dalle imprese di cui il sito si serve per presentare messaggi pubblicitari al fine di personalizzare e affinare l’oggetto delle comunicazioni pubblicitarie, nonché per l’erogazione di servizi addizionali come quelli dei social network.

Tocca, dunque, pressoché a tutti (compreso questo sito, ovviamente): siti Web, motori di ricerca, mappe, reti sociali e microblogging, servizi di e-commerce e pagamento elettronico, banche, servizi cloud, eccetera.

Per agevolare le realtà Web il Garante ha promosso un opuscolo in formato PDF (consultabile qui in copia) nel quale sono chiaramente dettagliati tutti gli interventi da svolgere, le modalità, i punti di intervento e i risultati da ottenere.

Tra i principali criteri ricordiamo quello della trasparenza: l’informativa sul trattamento dovrà essere chiara, leggibile, accessibile da tutte le pagine e strutturata su due livelli: un primo livello introduttivo, accessibile con un solo click, e un secondo livello con ulteriori dettagli, accessibile dal primo.

Non sarà consentito svolgere alcuna attività di profilazione in mancanza di un esplicito “consenso informato” da parte dell’utente. Le disposizioni si applicano non soltanto ai cookie, ma a qualsiasi altro strumento eventualmente impiegato dal sito Web o dalle aziende che su di esso operano per via di pubblicità o servizi aggiuntivi.

Altresì importante è consentire, anche dopo aver dato il consenso, di revocare il consenso stesso e anche tale possibilità dovrà essere prontamente accessibile. Laddove il sito svolga in “prima persona” attività di profilazione, è obbligato alla conservazione dei dati secondo i criteri già stabiliti dal Codice in materia di protezione dei dati personali.

La domanda che più potrà essere posta di fronte a questi nuovi obblighi è:

Il mio sito, di per sé, non svolge alcuna attività di profilazione e gli unici cookie che impiega sono destinati alla memorizzazione di scelte di visualizzazione o di autenticazione per gli utenti registrati. Tuttavia impiega servizi “terzi”, come widget, pulsanti e contatori di social network, nonché dei circuiti pubblicitari esterni. Cosa devo fare?

Ecco alcuni criteri da tenere presenti, anche per siti del tutto “innocui”.

  • Anche se si è publisher1 di un sito costituito da sole pagine statiche, senza riferimenti esterni e senza meccanismi di gestione dei cookie né di altri strumenti di interazione, l’obbligo di stilare e pubblicare le informative esiste comunque; esse si limiteranno a dichiarare, appunto, che non viene svolta alcuna attività di controllo o di interazione, né tecnica, né di profilazione; ovviamente può mancare, in quel caso, la funzionalità di revoca del consenso, per il semplice fatto che è impossibile concederne uno.
  • Laddove il proprio sito utilizzi cookie o altri strumenti per il solo fine di memorizzare preferenze di visualizzazione (es. la dimensione del carattere) o di lingua (la scelta di un paese), e/o per gestire le eventuali sessioni di utenti autenticati (potrebbe essere il caso di molti CMS come Wordpress, Joomla e simili) l’obbligo dell’informativa esiste comunque e andrà spiegato che i cookie o altri strumenti occorrono solo per quella finalità ma non è in funzione alcun meccanismo di profilazione; in ogni caso deve essere spiegato che il rifiuto di accettazione dei cookie comporta solo il non poter “memorizzare” le scelte ma non inficia l’impiego del sito o del servizio.
  • Laddove si impieghino servizi esterni, come pulsanti, box, e widget di social network e microblogging (come Facebok, Twitter, LinkedIn, Pinterest e simili), nonché circuiti pubblicitari esterni (come AdSense di Google) non essendo tali servizi sotto la diretta gestione del publisher occorrerà spiegare ciò nell’informativa e rendere disponibili i link alle strutture indicate nell’opuscolo.
  • Laddove sia impiegato il servizio di analisi e statistica Google Analytics (o altri simili, purché gestiti da terze parti) vale esattamente quanto indicato nel punto precedente.
  • Laddove, infine – ed è forse il caso più complesso – la profilazione sia svolta direttamente dai server dove opera il publisher occorre spiegare per filo e per segno cosa viene fatto e dare, come da indicazioni dell’opuscolo, la possibilità non solo di prestare il “consenso (o diniego) informato”, ma anche quella di poter revocare il consenso eventualmente prestato.

Apparentemente può sembrare un aggravio notevole, comportando, in qualche caso, interventi tecnici piuttosto approfonditi. Tuttavia è un bene che simili circostanze vengano messe bene in chiaro: concorrono, tra l’altro, a formare quella “cultura della privacy” che, nonostante i media sottolineino che negli italiani c’è sostanziale consapevolezza, invece manca. Lo dimostra l’atteggiamento delle persone, specie quando impiegano gli smartphone: l’atteggiamento è remissivo e tende a classificare certe circostanze come “parte del gioco” a carattere di inesorabilità, quando così non è.

Tuttavia, quale che sia il parere, va tenuto presente che in caso di inottemperanza sono previste sanzioni pecuniarie piuttosto cospicue. Dunque, conviene armarsi di santa pazienza e studiarsi a fondo l’opuscolo, nel quale responsabili e tecnici troveranno tutte le indicazioni utili.

  1. La miglior cosa è definire il concetto di publisher, letteralmente “editore”, non per alimentare anglicismi, ma perché è un termine di valore semantico più largo rispetto a quello italiano ed intende “chiunque, a qualsiasi titolo e per qualsiasi motivo, sia titolare, responsabile o comunque abbia potere dispositivo e discriminatorio sulla presenza in Rete di un sito o servizio Web, stabilmente online in qualsiasi forma, con qualsiasi sistema di pubblicazione e in qualsiasi standard”.  [Torna al testo]

La Redazione (3322 articoli)

Nucleo redazionale del sito dove, sotto la direzione di uno o entrambi i responsabili (Marco Valerio Principato e Dario Bonacina), vengono lavorati articoli scritti da altri collaboratori o da loro stessi.


Commenti (Facebook)
Commenti (locali)
  1. Antonio scrive:

    Grazie del suo commento.
    Riguardo ad “analytics”, la mia era una domanda interessata. Io uso piwik, https://piwik.org/ una soluzione gestita “in casa”. Mi interessava sapere come devo considerare i relativi cookie. Non so se sono assimilabili a cookie di profilazione. In tal caso lei dice che sono soggetti all’obbligo del consenso, mentre nella pagina che le ho segnalato si dice di no. Ecco, vorrei chiarire questo mio dubbio.

    • Antonio,

      nel momento in cui si impiega uno strumento Open Source (Piwik dice di esserlo) si è al sicuro sul fatto che il codice da cui è costituito sia “ispezionabile” (oltre che modificabile). Questo però non garantisce che Lei – o chi lo usa – possa assurmersi la responsabilità di quel che il software fa, a meno di essere degli esperti specifici del settore. Anche Chrome è Open Source, anche Android lo è, ma sappiamo benissimo che Android può essere definito “la tomba della privacy”. Il motivo risiede nella complessità che, nonostante venga abilmente occultata, esiste ugualmente ed è elevatissima – questo è stato un altro argomento della mia tesi di laurea – al punto da rendere estremamente probabile che solo un esperto, ma esperto davvero, possa ardire di esaminarne il codice.

      Inoltre, il fatto stesso di essere un software di analisi statistica comporta concettualmente l’accettazione del concetto di tracciamento. La conferma la trova in questa pagina delle guide utente per l’installazione, intitolata Install the JavaScript Tracking Tag (installazione del modulo Javascript di tracciamento): è chiaro che l’utente vada tracciato per far statistica; e diventa molto facile, essendo un tracciamento operato sullo stesso server (o nello stesso ambiente) dove opera il sito (a differenza di Analytics o simili, che necessariamente operano in altra sede), associare un determinato indirizzo IP assunto da un utente per quella sessione a una determinata utenza sul sito. In quel caso sarebbe molto facile, sia per una persona poco illuminata su temi tecnici che per un giudice, pensare (anche erroneamente) a un’operazione di profilazione.

      Occorrerebbe, dunque, “dimostrare” che questa profilazione non avviene. Lei è in grado di farlo? Soprattutto davanti a un magistrato le cui competenze sul tema siano magari marginali, se non lacunose, se non del tutto assenti? Se si, può farsi Lei garante “locale” e assumersi la responsabilità, dichiarando quanto occorre per far rientrare l’uso di Piwik tra quelli che il Garante Privacy ha indicato come “solo tecnici”. Diversamente, io eviterei: ritrovarsi con una “intimazione a procedere” o altro provvedimento coercitivo emanato da un’autorità significa cacciarsi in un ginepraio, dal quale non necessariamente si esce “indenni”, neppure con la supposta “buona fede”: la legge italiana è come “fatta apposta” per consentire a un abile avvocato di voltarla e rivoltarla come fa più comodo all’avvocato stesso e al suo cliente, la storia recente è piena di casi del genere.

      Per questo, secondo me, è bene mettere le cose in chiaro pensando a questo. Meglio “eccedere” in avvisi che “scarseggiare”, vista la normativa, tutto qui.

      Un saluto,
      MVP

  2. Antonio scrive:

    Avrei diverse osservazioni da fare sulla questione, tanto che non so da dove cominciare. Comincio quindi in ordine sparso.
    I cookie di “analytics” sono da considerarsi di profilazione? Perché in tal caso qui viene detto che quelli gestiti in proprio non sono soggetti all’obbligo del consenso:
    https://www.iubenda.com/it/cookie-law-e-soluzioni-iubenda
    Poi non è che io ami tornare sulle stesse polemiche, ma ho installato un’estensione di Firefox che cancella i cookie ogni volta che si termina la navigazione su un sito. Riesce a immaginare cosa mi succede ogni volta che capito qui?

    • Antonio,
      certo che capisco cosa Le succede ogni volta che capita qui: ogni volta si vedrà presentare il banner di avviso di impiego cookie e relativa pagina privacy, ogni volta si vedrà presentare la proposta di iscrizione alla Newsletter, ogni volta saranno entrambi da cliccare.

      Il problema è un altro: quel che Le succede non le succederà solo quando capita qui, ma ovunque, perché ad essere soggetto a questa normativa non c’è solo questo sito, ma tutti i siti soggetti alla normativa italiana. Dunque, non c’è alternativa: ricorda la pubblicità?… “O così… o Pomì”. Non ha notato la medesima cosa anche su Google News, solo per dirne una?

      Purtroppo, su questo, non possiamo biasimare il Garante: da biasimare sono tutte quelle realtà che, fino a oggi, con scarsa (o nessuna) trasparenza, hanno compiuto attività invasive al limite della legalità (qualche volta anche oltre quel limite) senza farsi alcuno scrupolo.

      Francamente non conosco tecnologie diverse dal cookie implementabili in modo semplice per assolvere alle stesse funzioni. Anch’io impiego Firefox con due diversi profili: uno “Relaxed” (dove ci sono pochi plugin, abbastanza poche protezioni e pochi controlli, al fine di poter osservare le pagine “così come sono” e dove le “pulizie” vanno fatte “a mano”) e uno “Strong”, dove non passa niente ed è quello usato per navigare su siti “nuovi”, di cui ancora non conosco l’invasività. E ho il medesimo problema, ma non da oggi… diciamo almeno da un paio d’anni.

      Quanto ad Analytics, non credo di doverLe spiegare – perché sono certo che Lei già lo sappia – come sia assolutamente inutile impiegare la funzione di anonimizzazione IP di Google, il quale, servendosi dei Big Data, se sollecitato a farlo, raccoglie in modo anonimo (così fa contenti i legislatori) e poi ci mette un attimo a “de-anonimizzare” i dati aggregati. Su questo – ed altro – mi ci sono laureato, caro Antonio.

      Le confesso solo una cosa: il Web, i social e compagni di merende sono diventati quello che i toscani, con espressione poco elegante e apparentemente poco colta, ma dal valore semantico più che appropriato, definiscono “un troiaio”. Immagino il Suo disgusto, lo comprendo e lo condivido, perché è anche il mio.

      I tempi sono quelli che sono, e questi sono gli effetti, a mio avviso, di un’economia keynesiana presa un po’ troppo alla lettera.

      Un saluto cordiale, sempre pronto al dialogo.
      MVP




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.