Il pasticciaccio brutto all’italiana della Cookie Law

di a cura di Carlo Piana - 15 giugno 2015

Molto rumore ha fatto recentemente la cosiddetta “Cookie Law”, destando le critiche (se non in alcuni casi le beffe) di buona parte dei professionisti del web. Si tratta di un provvedimento del Garante per la protezione dei dati personali in applicazione dell’art. 122 del Codice Privacy. Il provvedimento risale al maggio dell’anno scorso, ma è divenuto efficace dal 2 giugno di quest’anno. Riguarda il consenso e l’informativa per il trattamento dei dati personali qualora un sito web scriva in modo permanente dati sul computer dell’ospite.

 

CHI DEVE PREOCCUPARSI?

La norma si applica al titolare del sito web (o simile), che nel linguaggio poco tecnico del Garante si chiama “editore”, che scrive appunto questi cookie sul computer di chi visita il proprio sito (o i propri siti). Praticamente tutti i sistemi moderni di gestione dei siti (Cms) e delle applicazioni web registrano questi cookie, dunque, salvo poche eccezioni, il provvedimento riguarda tutti coloro che hanno una presenza Internet a sé intestata, anche se affidata a terzi.

Se la presenza è affidata a terzi, la buona pratica imporrebbe che sia il terzo incaricato di gestire il servizio a occuparsi ad apprestare le facilitazioni tecniche per rispettare la norma, ma è ovvio che – a meno che il terzo non sia stato nominato responsabile del trattamento e la nomina copra anche questo ambito – è il titolare a doversi preoccupare.

 

TUTTI I COOKIES SONO UGUALI?

Qui arrivano buone notizie. Non tutti i cookie sono uguali. I cookie “tecnici” sono esentati dalla normativa. Non sono tenuti a ottenere alcun consenso. Quanto all’informativa, in realtà dovrebbero essere del pari esentati (stando alla direttiva da cui la norma italiana deriva), ma è comunque opportuno seguire l’indicazione del Garante e dare l’informativa, nei modi ritenuti più consoni. Si seguono le regole generali e questa informativa non è soggetta a particolari formalità.

I cookie tecnici sono quelli che aiutano il sito a tenere traccia di scelte od opzioni o altre informazioni che vengono utilizzate per la gestione tecnica del sito. Per esempio, la lingua scelta dall’utente, se l’utente ha già prestato un consenso, ecc. Chi usa solo questi cookie è salvo. Auguri.

Diverso discorso per i cookie analitici e di profilazione. I cookie analitici sono quelli scritti al solo fine di tenere traccia di precedenti visite e servono per verificare se il sito facilita o meno le abitudini di navigazione dell’utente. I cookie analitici sono di per sé considerati alla stregua di cookie tecnici, per cui in teoria non c’è problema. Ma attenzione, non siamo ancora salvi, perché il primo grande problema riguarda cosa distingue un cookie analitico da uno di profilazione. Vedremo qui appresso.

 

COOKIE DI PROFILAZIONE

I cookie di profilazione sono quelli che vengono scritti con l’obiettivo di utilizzarli per “profilare” l’utente, dunque registrarne le abitudini di consumo, e quindi per effettuare a loro vantaggio campagne pubblicitarie mirate, ovvero coerenti con le loro precedenti abitudini di consumo. Questi e solo questi sono cookies che richiedono l’informativa in forma abbreviata, l’informativa e il consenso. Dunque solo questi sono problematici.

Difficilmente l’utente inserisce questi cookie, molto più spesso essi provengono da terze parti. Ma questo non salva, perché comunque se l’informativa completa e la notifica al Garante (!) previste in questi casi vanno effettuati dalla terza parte, il titolare del sito è comunque tenuto a fornire l’informativa breve e a registrare il consenso. L’informativa breve è il “banner”, che deve indicare:

  • che vi sono cookie installati, anche di terze parti;
  • che alla pagina di informativa completa è possibile negare il consenso all’installazione dei cookie di profilazione;
  • che proseguendo nella navigazione verrà ritenuto che il consenso è stato dato, salvo che tale consenso non venga revocato.

Fino all’espressione del consenso, i cookie non dovrebbero proprio essere installati.

 

DOVE SONO I PROBLEMI, ALLORA?

In realtà i problemi sono molti, perché il provvedimento del Garante è lacunoso, qualcuno direbbe “scritto con i piedi” o peggio. Sorgono dunque molti dubbi sull’efficacia dei chiarimenti successivi, che non sono stati adottati con le formalità previste per i provvedimenti a efficacia generale del Garante (pubblicazione sulla Gazzetta Ufficiale, per dirne una) e che non sono affatto dei chiarimenti, sono piuttosto integrazioni che richiedono adempimenti più stringenti di quelli che almeno in apparenza erano richiesti nel provvedimento iniziale. Siccome accompagnate dal provvedimento vengono sanzioni amministrative e penali, il principio di legalità (nessun reo se non dietro legge scritta, e chiara!) farebbe ritenere quanto meno illegittimi provvedimenti presi nel vigore dell’interpretazione più restrittiva.

Un esempio, i cookie analitici sono tali (e non di profilazione) solo se:

  • l’indirizzo Ip dell’utente viene efficacemente anonimizzato tramite mascheratura di una porzione sufficientemente significativa;
  • vi sono garanzie contrattuali che la terza parte non incrocerà i dati trattati anche attraverso i cookie con altri dati in suo possesso per farne profilazione.

È ovvio che chiunque usi Google Analytics (una porzione molto, molto consistente dei siti) non è in grado di rispettare questi requisiti e dovrebbe cessare di usare tale servizio. Ma come detto, tutto questo non è stato scritto nel provvedimento, né è questa l’unica interpretazione che si può dare al provvedimento stesso. E “ubi lex voluit, dixit” (se volevano dirlo, lo dicevano) è un principio abbastanza importante, corollario del principio di legalità.

In teoria, ciò dovrebbe “tenere” in un eventuale giudizio, ma è ovvio che nessuno vuole trovarsi in quelle condizioni. S’impone dunque un nuovo provvedimento, che però non è alle viste. Nel frattempo, occorre quantomeno chiedersi se continuare a utilizzare il servizio. In tempi non sospetti io personalmente ho cessato di usarlo, a vantaggio di uno strumento che controllo personalmente (Piwik) e che, per non saper né leggere né scrivere, ho istruito di anonimizzare gli Ip e ho dato all’utente il potere di non essere tracciato, sia tramite l’opzione “do not track me”, sia con un cookie “tecnico” che, scritto, istruisce Piwik di non analizzare la visita.

 

Carlo Piana

@carlopiana

 

- - - - - - -

Articolo sotto licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0


0 Commenti :

Commento

Captcha

A CURA DI CARLO PIANA

/media/5648275/piana.png
DIRITTO NUOVE TECNOLOGIE
Account twitter Account LinkedIn Feed RSS

Rubrica in collaborazione con Simone Aliprandi e Alberto Pianon di Array Avvocato esperto di diritto delle nuove tecnologie, si occupa di tutela del software, informatica nei servizi pubblici, antitrust, marchi e nomi a dominio e molto altro.

Noto per l'impegno per il software libero e le libertà digitali, è editor della International Free and Open Source Software Law Review. Nel 2008 ha fondato Array, network di legali specializzati in ICT law - http://arraylaw.eu

Impresa
Se le leggi offrono poca ospitalità alla sharing economy: i problemi sollevati da AirBnB
30 novembre 2016

Grane legali per Facebook. Quando i social media diventano veicolo di contenuti illeciti
17 novembre 2016

"Secondary ticketing” o bagarinaggio 2.0?
3 novembre 2016

ARCHIVIO