Menu
+
Chiudi

#CookieLaw, altre 5 cose da sapere dopo i chiarimenti del Garante (banner, sessioni, Analytics, social, ecc..)

Avvocato e geek. Grazie alla felice intuizione di uno dei miei Maestri, sono riuscito a fare delle mie due passioni una professione: mi occupo di diritto delle nuove tecnologie e di innovazione nella Pubblica Amministrazione, in particolare dei profili giuridici dell’e-gov e dell’open-gov. Ne parlo nelle aule delle Università e dei Tribunali e ne scrivo sulla carta e, soprattutto, sul Web. Anche qui.

Quella appena trascorsa è stata sicuramente la settimana della “cookie law”, ovvero le prescrizioni dettate in materia di cookie dal Garante per la protezione dei dati personali con un provvedimento dell’8 maggio 2014 (di cui abbiamo già parlato in questo post).

Dopo aver “dormito” per mesi (come giustamente ha scritto Riccardo Luna), il Web italiano si è svegliato a ridosso della scadenza del 3 giugno: tra interpretazioni bizzarre e leggende metropolitane, in tanti hanno fatto rilevare oggettive difficoltà nell’adeguamento alle nuove disposizioni.

Cookie Law, altre 5 cose da sapere dopo i chiarimenti del Garante

Proteste e petizioni hanno spinto il Garante della Privacy, prima, ad annunciare che – nell’immediato – nessuno rischiava multe e, poi, a pubblicare un documento contenente dei chiarimenti sulle questioni più spinose e controverse.

Proviamo a passarle in rassegna.

1. CHI DEVE RISPETTARE LA COOKIE LAW

Rimarrà deluso chi aspettava semplificazioni o esenzioni (soprattutto per i gestori di blog e siti personali). Il Garante ribadisce – e non poteva essere altrimenti – che il provvedimento riguarda tutti i siti, anche quelli che non perseguono finalità di lucro,

che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento strumenti situati sul territorio dello Stato

Viene chiarito, quindi, che la cookie law si applica a tutti i siti che memorizzano cookie sui terminali degli utenti italiani, a prescindere dal dominio utilizzato, dalla localizzazione dei server e dalla presenza di una sede in Italia.

2. COSA FARE CON I COOKIES “TECNICI”

Il Garante precisa che per l’uso di cookie esclusivamente tecnici (come quelli di navigazione o di sessione) è sufficiente rendere apposita informativa, senza la necessità di implementare l’apposito banner (contenente la c.d. “Informativa breve”) né richiedere il consenso: sarà infatti sufficiente adeguare la privacy policy già presente sul sito.

Ai cookie tecnici sono equiparati quelli analitici (che consentono di analizzare i dati relativi al traffico generato da un sito web), ma solo a patto che siano realizzati e utilizzati direttamente dai gestori del sito per migliorarne la fruibilità (ipotesi, a dire il vero, piuttosto rara nella pratica).

3. COOKIE LAW E GOOGLE ANALYTICS
(e per tutti i cookie analitici di terze parti)

Uno dei temi più spinosi è quello legato ai cookie analitici di terze parti, vista la loro diffusione, e in particolare di Google Analytics (di gran lunga il servizio più utilizzato per analizzare i dati di traffico).

In proposito, nei chiarimenti del Garante – coerentemente con quanto previsto nel Provvedimento dell’8 maggio 2014 – è scritto che, in relazione ai cookie analitici di terze parti, i gestori del sito non sono tenuti ad alcun adempimento a due condizioni:

  1. devono essere adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici (ad es. attraverso il mascheramento di porzioni significative dell’indirizzo IP)
  2. nel contratto tra il gestore del sito e la terza parte deve essere espressamente contenuto l’impegno di quest’ultima o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

Con riferimento a Google Analytics, il servizio consente al gestore del sito di anonimizzare gli IP (seguendo la procedura indicata qui) e di disabilitare dal proprio pannello di controllo la condivisione dei dati raccolti con altri servizi di Google (come illustrato qui). Tuttavia, all’interno delle condizioni di servizio di Google Analytics è contenuto l’espresso impegno di Google a non incrociare i dati con altre informazioni di cui dispone.

Di conseguenza, i gestori dei siti che vogliano continuare a usare questo servizio, dovranno implementare l’informativa breve (il caratteristico banner) e registrare il consenso dell’utente. Coloro che, invece, continuino ad utilizzare il servizio di Google nelle sue modalità di default o lo colleghino addirittura ad altri servizi (come ad esempio Google Adsense) dovranno procedere anche a notificare il trattamento al Garante (pagando un importo di 150 euro).

4. COOKIE LAW E SOCIAL NETWORK

Altro tema assai caldo è quello relativo alla condivisione sui social network.

In proposito, il Garante, nei suoi chiarimenti, precisa che

se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”

Questo, nella pratica, significa che chi intende utilizzare la condivisione sui social per evitare alcuni adempimenti dovrà evitare di utilizzare molti dei più usati strumenti (in quanto, nella norma, installano cookie), avvalendosi di quelle soluzioni che non lo fanno (“spulciando”, ad esempio tra i diversi plugin disponibili per le varie piattaforme).

In caso contrario, dovrà implementare il banner con l’informativa breve e bloccare la memorizzazione dei cookies fino al consenso.

5. LO “SCROLL” VALE COME CONSENSO

Il Garante, infine, chiarisce che lo “scroll“, ovvero la prosecuzione della navigazione all’interno della medesima pagina web, può essere considerata una valida manifestazione del consenso all’utilizzo dei cookies da parte dell’utente, così come il click e qualunque altra azione compiuta dall’utente nella pagina.

* * *

IL GARANTE CHIARISCE, MA NON SEMPLIFICA

Adesso che le maggiori incertezze interpretative sono state chiarite, è opportuno iniziare una seria riflessione sulla cookie law.

Il Garante, nel preambolo ai suoi chiarimenti, ha specificato come il provvedimento del 2014 fosse un atto dovuto, il recepimento a regole derivanti da una Direttiva comunitaria del 2009.

Quasi a giustificarsi per prescrizioni che – pur con le più lodevoli intenzioni – finiranno sicuramente con il complicare la vita alla gran parte dei gestori dei siti, senza probabilmente ottenere un risultato apprezzabile in termini di tutela degli utenti.

È già stato osservato, infatti, che difficilmente l’utente medio sarà in grado di districarsi tra le decine di informative in cui si imbatterà quotidianamente e che esistono già strumenti diversi dai cookies che consentono di tracciare il comportamento degli utenti (come il “device fingerprinting”).

Per evitare, quindi, che la cookie law si trasformi in un provvedimento vissuto come una “vessazione normativa” sarebbe utile che il Garante – che si è dimostrato sensibile alle sollecitazioni fin qui arrivate – provasse a rendere più semplice l’adempimento per piccoli gestori, da un lato, raccogliendo sul suo sito l’elenco di servizi e di strumenti che consentono ai gestori dei siti gli adempimenti più fastidiosi (es. i plugin per la condivisione sui social che non memorizzano cookie) e, dall’altro, di ottenere dalle terze parti (come Google) la modifica alle condizioni contrattuali con l’impegno a non incrociare le informazioni contenute nei cookie con le altre di cui già dispongono.

Questo, probabilmente, renderebbe i biscottini un po’ meno indigesti per tutti.

ERNESTO BELISARIO
8 giugno 2015

19 risposte a “#CookieLaw, altre 5 cose da sapere dopo i chiarimenti del Garante (banner, sessioni, Analytics, social, ecc..)”

  1. Dal mio punto di vista il ‘chiarimento’ ha avuto l’effetto opposto di aprire un’altra questione: la ‘registrazione’ di un consenso documentabile. Nel provvedimento si fa riferimento ad un cookie tecnico, ma – a parte problemi di volatilità – essendo questo nel browser del visitatore certo non può essere usato per documentazione. Nel ‘chiarimento’, oltre ad una nota esplicita al punto 4, c’è un esempio in merito all’acquisizione tramite scroll’: “…e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”. Al di là della ulteriore complicazione del gestire un evento client-side come lo scroll: ma come si può mai ‘documentare’ efficacemente il consenso di un utente, se per il gestore del sito questo è, e dovrebbe essere, un perfetto sconosciuto?
    Anche la nota sull’uso di servizi terzi analytics non è di facile applicazione: ad esempio io da informatico sul contratto di ‘Google Analytics’ non trovo alcun impegno della casa di Mountain Views di non profilazione. Anzi, nel documento leggo un riferimento esplicito alla possibilità per Google e le sue consociate di utilizzare i dati raccolti. Certo, gli occhi di un legale vedono cose che noi profani non rileviamo, ma è mai possibile dovere ricorrere a consulenze professionali anche per siti del tutto amatoriali?
    Comunque alla fine saranno solo (inutili) adempimenti formali: ogni utente, inondato da richieste di consenso, risponderà positivamente a tutte. Vanificando lo scopo della normativa, che pure condivido.

    • Marco F. scrive:

      due cose, la prima relativa a “evento, registrabile e documentabile presso il server del gestore del sito”…. tecnicamente è impossibile. Cosa si registra sul server del gestore per “documentare”? Nessuna ha dato una risposta, perchè in effetti non esiste una risposta.
      Due: google analytics usa i dati e ci mancherebbe che non li usasse. Altrimenti perchè farebbe usare gratis una piattaforma che altrimenti bisognerebbe pagare migliaia e migliaia di euro? Quindi il presupposto da cui bisogna partire è che google usa i dati e regolarsi di conseguenza

  2. Duccio Armenise scrive:

    La cookie law rende difficile il facile attraverso l’inutile.
    La riposta giusta, penso, sarebbe stata quella di rivolgersi a una decina di Browser, piuttosto che a miliardi di Siti. I Browser, infatti, già prevedono una serie di opzioni per gestire i cookie, e perfino per distinguere fra cookie di terze parti e di profilazione! Qui tutta la proposta: https://www.change.org/p/la-cookielaw-deve-rivolgersi-a-una-decina-di-browser-non-a-miliardi-di-siti-cookiechange

  3. Luca Terribili scrive:

    In pratica una tassa su Google…Mi rimane il dubbio su come registrare il consenso allo scroll sul server al fine di renderlo documentabile… Una chiamata Ajax che intercetti l’evento e scriva nel database qualcosa, escluderei l’IP per palese contrasto con lo spirito della norma…

    • Marco F. scrive:

      e quindi cosa scrive nel DB?

    • Ho pensato lo stesso in effetti, ma credo vada inteso in modo differente: rendere documentabile il consenso dovrebbe essere una caratteristica “funzionale”, nel senso che il meccanismo setta il cookie come registrato, e permette di andare avanti solo in questo caso.

      In altri termini il meccanismo dovrebbe essere effettivo, per es. non credo valga inserire un bannerino in alto o in basso che neanche si nota e che permette all’utente di usare il sito anche senza consenso.

  4. Marco F. scrive:

    Il Garante ribadisce – e non poteva essere altrimenti
    – che il provvedimento riguarda tutti i siti, anche quelli che non
    perseguono finalità di lucro,

    “che, a prescindere dalla presenza di una sede nel
    territorio dello Stato, installano cookie sui terminali degli utenti,
    utilizzando quindi per il trattamento strumenti situati sul territorio
    dello Stato”

    secondo questa “regola” ora il New York Times, il sito della casa Bianca e qualunque sito americano, canadese o svizzero che sia, sono fuorilegge e sanzionabili.

    Come si fa a dire “non poteva essere altrimenti”??? E’ una delle cose più assurde che si potessero immaginare

    • the_nuts scrive:

      Infatti quest’articolo ha interpretato la frase in modo totalmente sbagliato… “utilizzano per il trattamento strumenti situati sul territorio dello Stato” non vuol dire “avere utenti italiani”…

  5. lamiaprivacy scrive:

    Se le disposizioni europee e nazionali fossero state interpretate dal Garante in modo corretto, gli adempimenti in capo ai piccoli gestori sarebbero stati sicuramente meno complicati.

    Qui vi spieghiamo come e perché:

    #cookielaw: esame senza sconti degli ultimi chiarimenti del Garante

    Esame puntuale e non particolarmente benevolo dell’operato del Garante sulla questione #cookielaw e, in particolare, dei suoi ultimi (tardivi) chiarimenti. Il malcontento da parte soprattutto dei piccoli blogger amatoriali ha dato origine a proteste plateali e petizioni, ma il Garante non ha fatto marcia indietro né ha corretto l’impostazione del proprio intervento. Vengono proposti degli esempi semplici e chiari su come essere conformi alla disciplina europea e nazionale (taluni anche autorevoli).

    @lamiaprivacy:disqus #privacy #nonchiudeteiblog #easycookielaw

    https://lamiaprivacy.wordpress.com/2015/06/11/cookielaw-esame-senza-sconti-degli-ultimi-chiarimenti-del-garante/

  6. Sandra Di Carlo scrive:

    Se è tutto chiaro perché tantissimi siti anche autorevoli si sono fermati al banner e non bloccano prima dello scroll i cookie? Provate a navigare con attivo Ghostery e anche @iubenda te ne scarica 6 senza batter ciglio.. Sono davvero pochissimi i siti che bloccano preventivamente, cosa ne dite? Blocchiamo e applichiamo la legge fino in fondo, anche se assurda, o facciamo finta che basti banner e policy estesa?

  7. Miriam Carmassi scrive:

    Buongiorno a tutti,
    ringrazio per l’interessante articolo ma vorrei evidenziare alcune inesattezze in merito al punto 3 su COOKIE LAW E GOOGLE ANALYTICS, ovvero, nei chiarimenti del Garante è scritto che, in
    relazione ai cookie analitici di terze parti, i gestori del sito sono tenuti al solo adempimento di segnalare i cookie analitici all’interno della informativa sulla privacy) se sussistono le due condizioni di ridurre il potere identificativo e avere l’impegno della terza parte o utilizzarli esclusivamente per la fornitura del servizio, e a non incrociarli.
    Dire che se sussistono queste due condizioni NON OCCORRE FARE NIENTE significa non prendere in considerazione l’importante
    obbligo di fornire, all’utente, una informativa sulla privacy completa (anche dei riferimenti all’uso dei cookie analitici)
    Dunque, a mio avviso, i gestori dei siti che vogliano continuare a usare questo servizio applicando le due condizioni sopra indicate dovranno integrare l’informativa sulla privacy e NON SARA’ NECESSARIO il banner.
    Coloro che, invece, continuino ad utilizzare il servizio di Google nelle sue modalità di default o lo colleghino addirittura ad altri servizi (come
    ad esempio Google Adsense) dovranno procedere all’aggiornamento della informativa sulla privacy, all’inserimento del banner per richiedere il consenso all’utente (a dettagliare nella cookie policy o nella privacy policy le modalità con cui l’utente può modificare il proprio consenso ed escludere tali cookie) e a notificare il trattamento al Garante (pagando un importo di 150 euro).
    Ho forse interpretato male la infografica del Garante http://194.242.234.211/documents/10160/0/Infografica+cookie+e+privacy+-+cosa+devi+fare?
    Vi ringrazio
    Miriam

  8. mabig scrive:

    Mi scusi Avvocato, ma quanto da lei riportato, ovvero “Di conseguenza, i gestori dei siti che vogliano continuare a usare
    questo servizio, dovranno implementare l’informativa breve (il
    caratteristico banner) e registrare il consenso dell’utente”, non è corretto.
    In
    realtà, una volta mascherato l’indirizzo IP, per poter utilizzare
    analytics non è più necessario il banner, tanto meno il consenso
    dell’utente, come chiarito nell’infografica del Garante per la Privacy
    (Documento del 5 giugno 2015)

  9. Ciro Zinisciuno scrive:

    ma io come faccio a sapere se un sito X mi setta un cookie di facebook?

    E se questo succede, è un fatto tra me e FB, non tra me il sito X…

  10. VXUS scrive:

    > Con riferimento a Google Analytics, il servizio consente al gestore del sito di anonimizzare gli IP (seguendo la procedura indicata qui) e di disabilitare dal proprio pannello di controllo la condivisione dei dati raccolti con altri servizi di Google (come illustrato qui). Tuttavia, all’interno delle condizioni di servizio di Google Analytics è contenuto l’espresso impegno di Google a non incrociare i dati con altre informazioni di cui dispone.

    > Di conseguenza, i gestori dei siti che vogliano continuare a usare questo servizio, dovranno implementare l’informativa breve (il caratteristico banner) e registrare il consenso dell’utente.

    Utilizzando la lingua italiana come modalità di comprensione dell’articolo mi pare che il secondo paragrafo sia completamente in contrasto con il paragrafo immediatamente precedente.
    Peccato.

  11. Giovanni Mario Sipala scrive:

    siamo già nel 2016 ed io vorrei sapere visto che iubenda si vanta di aver parlato direttamente
    con il garante perché il banner pubblicitario di altervista appare lo
    stesso contemporaneamente al banner informativo cookielaw… eppure mi sembra che
    il garante avesse detto chiaramente che il banner pubblicitario dovesse
    sparire completamente ed apparire solo dopo il consenso esplicito
    dell’utente… e meno male che iubenda ha parlato direttamente con il
    garante? di cosa hanno parlato realmente?

  12. Giovanni Mario Sipala scrive:

    con la cookielaw fanno come lo sciopero dei mezzi pubblici? usano una legge giusta per colpire le persone comuni? il diritto allo sciopero che diventa un arma contro chi ha bisogno dei mezzi pubblici.. questa è civiltà al contrario…. democrazia al rovescio…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Altri articoli di: Ernesto Belisario

Ernesto Belisario
Tutto su Ernesto

Potrebbero interessarti anche

in by Ernesto
+
+
Impostazioni Articolo
Dimensione dei caratteri
aA
aA
aA
Sfondo:
Giorno
Notte
Testo:
Moderno
Classico
Alta leggibilità
ok