Punti chiave
La legge sui Cookie e il Provvedimento con cui il Garante della Privacy ha stabilito come e quando i webmaster devono avvisare della presenza di codici di questo tipo sui loro siti, è certamente il tema dominante di questo periodo.
In una prima intervista, il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali, aveva già dato alcune risposte in merito, ma ora abbiamo avuto la possibilità di tirare le somme e avere un quadro completo della normativa. Molte domande sono state formulate dai nostri utenti e girate alla fonte. Anche in questo caso, le risposte e i dati indicati nell’intervista sono stati revisionati dal Garante prima della pubblicazione.
Legge e cookie. Il Garante risponde agli utenti. Esempi pratici
Riassumiamo la situazione. Per quanto riguarda i cookie tecnici, quelli necessari al funzionamento del sito, la normativa cosa prevede?
Che ne venga data informativa nella Privacy Policy del sito, senza dover esporre nessun banner.
E i cookie di analisi (quelli usati per le statistiche del sito), ma che non coinvolgono terze parti, e sono totalmente gestiti dal proprietario del sito?
Il Garante l’ha chiarito nel provvedimento dell’8 maggio 2014. I cookie analitycs sono assimilati ai cookie tecnici quando sono utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata. Quindi anche in questo caso, solo la segnalazione nel sito, ad esempio nella Privacy Policy, nessun banner né blocco.
E se il cookie di analisi coinvolge terze parti?
In questo caso se i dati sono decurtati di elementi identificativi (viene coperta una porzione rilevante dell’ indirizzo IP) e sempre che la terza parte non incroci i dati, si può, anche in questo caso, evitare di esporre il banner e di bloccare i cookie.
Come si fa a capire “la terza parte non incrocia i dati”? Devo avere un foglio scritto? una dichiarazione firmata?
È un elemento che si deve trarre dalle condizioni contrattuali o dalla privacy policy redatta della terza parte. E quindi è la terza parte che si assume la responsabilità di tale dichiarazione.
Nel caso in cui si utilizzano cookie di analisi di terze parti che però non riducono gli elementi identificativi degli IP e/o potrebbero incrociarli con altre informazioni?
In questo caso la terza parte ha a disposizione dei cookie analitici con potere identificativo per cui il sito deve utilizzare il “banner” per il blocco preventivo dei cookie, essendo necessario il consenso dell’utente.
Parliamo dei cookie profilanti. In questo caso come ci si deve comportare?
Anche se il cookie di profilazione appartiene ad una terza parte, il webmaster deve esibire il banner, bloccare i cookie a priori, e sbloccarli solamente dopo il consenso dell’utente.
I widget dei social sono considerati profilanti?
Va fatta una verifica e se contengono cookie di profilazione si applica la disciplina relativa. Per quelli invece di mero rinvio ad un link non vi è alcun onere.
C’è un caso però in cui bisogna fare la notificazione al Garante giusto?
Nel caso in cui si abbiano dei cookie profilanti realizzati e utilizzati direttamente dal sito prima parte e quindi è il sito stesso a profilare, bisogna esporre il banner, bloccare i cookie a priori e notificare tale trattamento al Garante.
Chi è tenuto a fare la notificazione e a pagare i diritti di segreteria di 150 euro?
Come per tutti i casi individuati dalla legge in cui è necessario fare la notificazione, è il titolare del trattamento tenuto a tale adempimento. Sul sito del Garante ci sono tutte le indicazioni e le istruzioni.
Facciamo un esempio pratico. Un sito che ha cookie tecnici, cookie di analisi che non coinvolgono una terza parte, e non ha nessun tipo di cookie profilante, che deve fare?
Solo inserire tale elemento nell’informativa della sua Privacy Policy.
Un sito che ha cookie tecnici, cookie di analisi dove la terza parte potrebbe incrociare i dati (non ha garanzia che non lo faccia) e ha anche cookie di profilazione (tipo Google Adsense)?
Banner e blocco preventivo in quanto la presenza di cookie di profilazione, seppure di terza parte, da sola richiede la presenza del Banner.
Quali sono le condizioni per cui si intende che l’utente ha dato il consenso?
Il garante ha chiaramente indicato nel provvedimento dello scorso anno che la prosecuzione della navigazione selezionando un qualsiasi elemento si considera come prestazione del consenso all’uso dei cookie. Quindi è valido il click sul banner, fuori dal banner e lo scroll.
Quindi lo scroll, su cui ci sono stati dubbi, è valido come consenso?
Si. Lo “scroll”, cioè la prosecuzione della navigazione all’interno della medesima pagina web, come chiarito anche recentemente dalla Autorità, sono considerate in linea con i requisiti di legge, qualora chiaramente indicato nell’informativa.
Bisogna tenere un registro degli utenti che hanno dato il consenso?
Si, le modalità semplificate di acquisizione del consenso individuate dal Garante devono essere in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito prima parte. Si può fare il tutto anche tramite un semplice cookie tecnico.
Immaginiamo che un sito blocchi preventivamente le pubblicità, chiede il consenso ma l’utente glielo nega. L’utente potrà leggere il sito, ma i cookie non si sbloccano, e quindi non vede le pubblicità. Il sito come guadagna?
E’ importante capire che la disciplina mira a consentire agli utenti di poter sapere cosa viene registrato del loro comportamento e di poter decidere se acconsentire o meno ad essere seguiti nel web. Per cui è giusto che a loro vada la massima protezione e che gli venga data la massima possibilità di scelta, anche se i webmaster perdono una piccola parte dei guadagni. In ogni caso la pubblicità potrà sempre esserci nei siti, al limite sarà “generalista” e non profilata.
Il Garante non poteva mettersi d’accordo con i browser per bloccare i cookie e lasciar scegliere all’utente, anzichè dare l’onere di tutto questo ai webmaster?
Innanzitutto il Garante non può intervenire al di fuori del dettato normativo. Più volte è stato evidenziato che la legge italiana è frutto del recepimento della direttiva Europea. Comunque il dialogo tra UE e le industrie del settore, che sono nella maggior parte collocate in altri continenti, è stato avviato da tempo.
La legge è uguale per tutti i paesi dell’Unione Europea? noi siamo i più severi?
Questa direttiva è stata recepita in tutti i paesi dell’Unione. Ci sono alcuni paesi come la Spagna o l’Olanda che hanno già erogato sanzioni per il mancato rispetto della disciplina sui cookie.
La versione UK di questa legge però, viene criticata dagli esperti di privacy in quanto si discosta dalla direttiva perché non prevede un opt-in, un consenso preventivo, ma un opt-out, cioè un consenso successivo alla installazione del cookie. Comunque, c’è chi sta cercando di ottenere consensi per fare una class action contro il Garante, cosa ne pensa?
Personalmente non ho letto nulla al riguardo, ma proporre una class action nei confronti di un’Autorità per modificare una legge dello Stato non mi sembra abbia grande senso.
Vuole dire qualcosa ai nostri lettori?
Il provvedimento sui cookie segue altri recentemente emanati dal Garante. Penso ad esempio a quello che dà prescrizioni a Google inc. o a quello sulla profilazione on-line emanato lo scorso marzo, o ai molteplici interventi sulla profilazione operata ad esempio nel settore delle TLC. Le potenzialità di tracciamento, di arricchimento dei dati, di incrocio degli stessi hanno spostato in avanti il confine della data protection.
In tale ottica il provvedimento sui cookie deve essere letto come un intervento teso a trovare delle soluzioni semplici alla necessità di dare agli utenti della rete la possibilità di conoscere e di decidere come gli altri possono utilizzare i nostri dati in rete.
Il provvedimento, scritto con i contributi delle associazioni dei consumatori, di quelle degli operatori della rete e di esperti del settore, si muove nella cornice normativa attuale e cerca di raggiungere tale risultato operando un bilanciamento proprio tra il diritto degli utenti della rete con il diritto di chi opera nel web sia per fini commerciali che di manifestazione del pensiero.
In questi primi giorni di applicazione del provvedimento abbiamo registrato sia apprezzamenti che critiche. Sono convinto che anche le perplessità manifestate da alcuni saranno a breve superate e alla fine resterà solo un ulteriore conquista data dalla possibilità per ognuno di noi di scegliere liberamente se accettare o meno di essere seguiti per studiare le nostre abitudini o i nostri comportamenti in rete.
Ringraziamo il Dott. Montuori. Per ulteriori chiarimenti sulle sanzioni e la responsabilità in caso di mancata applicazione della legge, rimandiamo alla nostra prima intervista.
Chissà se il fatto che i consulenti tecnici del Garante fossero anche titolari di iubenda.com, servizio che offre soluzioni a pagamento ai problemi introdotti dalla legge, abbia influito in qualche modo sulla complessità dei requisiti richiesti. Specie considerando che la “cookie law italiana” è più difficile da soddisfare di quella degli altri paesi europei, a detrimento della competitività del nostro paese…
Domanda lecita?
Non so se i consulenti siano i titolari ma ormai vista la situazione italiana, dubitiamo di tutti.
si iubenda era tra le aziende consultate e ha fatto tantissimi soldi grazie a sta legge.
lo dicono loro, mica io, segui il link che ho messo e cerca “partner tecnico”.
Ciao Duccio, iubenda è stato partner tecnico del tavolo interassociativo che ha prodotto la guida fornita in quella pagina, non del Garante. Il tavolo interassociativo – e non noi – ha interagito con il Garante. In nessun caso iubenda è stata partner del Garante né ha collaborato con l’autorità, né abbiamo mai dichiarato qualcosa di simile.
Grazie per il chiarimento. Allora occhio che quella vostra pagina che ho linkato si presta a fraintendimenti: non sono l’unico ad averla capita così.
Non capisco cosa c’entra l’indirizzo IP con i cookie?
Un servizio analitico fornito da terze parti, potrebbe anche non inviare alcun cookie, ma registrare ugualmente l’indirizzo IP per consentirmi di sapere chi entra nel mio sito.
Mi è ancora concesso conoscere l’indirizzo IP di chi accede nel mio sito oppure anche questo è proibito se mi rivolgo a fornitori terzi, che non inviano cookie?
La norma è sui cookie oppure è in generale sulla profilazione e indirizzi IP? Cosa è stato pubblicato esattamente nella gazzetta ufficiale?
Se non erro dovremmo rispettare quanto pubblicato in gazzetta ufficiale e non quanto dichiarato in una intervista, o no?
Ma poi perchè i giornalisti italiani sembrano spesso così pavidi con alcuni soggetti pubblici e non fanno le giuste domande?
Ad esempio si poteva ricordare che in base alle norme del garante la quasi totalità dei siti web esteri, commerciali e istituzionali, risulterebbero fuorilegge, ma restano ovviamente raggiungibili dall’italia (con quale faccia e coraggio l’italia oscurerebbe o multerebbe i siti web governativi degli altri paesi?).
Inoltre è pressocchè inutile tentare di multare un sito web commerciale che si trovi in qualche isola del pacifico, per fare un esempio.
Di conseguenza adesso molti siti web italiani si troveranno ad affrontare la concorrenza “sleale” dei siti web dei paesi dove le leggi sono meno restrittive.
Si dovrebbe ragionare con il buon senso e non facendo i duri, protetti da stipendi e poltrone.
se i cinesi si stanno comprando il mondo ci sarà un perché, no? adesso che ci hanno legato mani e piedi anche su internet saranno loro a scrivere il web italiano dall’estero!
La norma in teoria è sulla Privacy non sui cookie.
i cookie con la privacy non centrano nulla, bastava un minimo di informazione, i cookie sono installati sui browser solo se l’utente non li filtra o disattiva, parliamo di una tecnologia completamente in mano all’utente stesso è lui che detiene i dati dei cookie, può svuotarli quando vuole o non accettarli proprio.
E’ una legge nata per dar fastidio a google ma in realtà da fastidio soltanto ai publisher, google se ne sbatte anche xke non ha pubblicità generalista o accetti o non navighi.
Infatti la norma non è solo sui Cookie. Sempre in teoria.
partirei dicendo che questo sito non e’ a norma 🙂 non blocca preventivamnte la pubblicita’ AdSense…
non blocca nemmeno disqus 😀
Si infatti, si predica bene, ma si razzola male.
Voglio poter decidere se accettare la pubblicità su questo sito oppure no. Dov’è il famoso banner con il blocco preventivo che tanto si vocifera su questo articolo? Eh? Eh?
ma tanto è tutta una strunzata i cookie sono innocui il vero tracciamento viene fato lato server sui cookie è sempre l’utente ad avere il controllo per questo è una legge inutile e che danneggia il mercato europeo (e la sopportazione degli utenti).
Vorrei sapere chi è che ha colto positivamente questa legge? apparte Iubenda e le altre aziende che stanno facendo soldoni?
Tra l’altro l’utente non sceglie nullo o accetta o se ne va dal sito.
Sta legge serve solo a rompere le palle agli utenti e lo ha capito anche l’europa, e intanto i nostri concorrenti se ne sbattono e continuano a tracciare utilizzando anche i dati della nasa e noi stiamo uccidendo quel poco che resta dell’editoria.
La differenza tra un click su un banner profilato e un banner generalista è del 70% sia in click rate che in euro (il 70% non è una piccola parte i banner profilati vengono cliccati più spesso e pagano di più).
ma cosa si sono bevuti quelli del garante ?
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato…
quindi se un italiano usa un sito che è di proprietà di un
cinese ed è hostato in cina può denunciare il cinese se usa cookie traccianti e
non chiede il consenso.
Quindi da oggi tutto
il mondo si deve leggere 1 milione di leggi italiane.+ sentenze e circolari che
fanno legge oltre che imparare l’italiano.
Sarà la lingua più parlata al mondo grazie al garante.
Molto semplicemente se uno non voleva essere tracciato disabilitava i cookie, fine della storia, poi dicono che non rispettiamo le leggi, ho provato a leggere, ci vuole un legale, non si capisce niente e forse non lo sanno neanche loro.
Lavoro con il web e vivo di pubblicità, solo un 30% da il consenso, molti pensano a dei virus non sanno cosa sono i cookie, senza il consenso da parte dell’utente non posso esporre pubblicità e perdo il 70% degli attuali guadagni.
A parte mettere i bastoni fra le ruote questo paese non riesce a fare altro, ma che vi pagano per far fallire il paese ?
non solo se ogni paese della comunità europea la pensa allo stesso modo ogni sito straniero deve leggersi TUTTE leggi del mondo e fare i tessti in base a ogni legge.
https://answers.websitex5.com/post/122143#6
Dal momento che l’iva sulla farina la paga anche chi come me si fa il pane in casa non avendo soldi per comprarlo né reddito di cittadinanza o qualsiasi ammortizzatore sociale, perché lo Stato invece di creare una volta di più un problema ai cittadini non ha provveduto con le nostre tasse ad ingaggiare dei tecnici che sviluppassero una soluzione (script) da implementare GRATUITAMENTE sui nostri siti in maniera conforme per default?
Inoltre, non sarebbe stato tutto molto più semplice e giusto se al posto di sanzioni pecuniarie fosse stata prevista dalla UE l’imposizione amministrativa a tutti i motori di ricerca di bannare fino a dimostrato ravvedimento tutte le pagine di un dominio presenti nei loro database, vanificando qualsiasi investimento economico e tecnico dei possessori dei siti irregolari di renderli noti alla pubblica utenza.
Google sovente sospende già di suo molti siti fino a richiesta di nuova analisi presentata dal webmaster; il sito sparisce e chi lo ha fatto se lo guarda da solo in camera sua!
“perché lo Stato invece di creare una volta di più un problema ai
cittadini non ha provveduto con le nostre tasse ad ingaggiare dei
tecnici che sviluppassero una soluzione (script) da implementare
GRATUITAMENTE sui nostri siti in maniera conforme per default”
Eh eh eh… chissà. Chissà. 🙂
Il garante della privacy si sta comportando molto male, la piattaforma Blogger/Blogspot non è attrezzata adeguatamente per bloccare i cookie e su WordPress ci sono plugin a pagamento a costi davvero eccessivi. Questa legge potrebbe andare bene solo se il garante della privacy sia in grado di fornisci una soluzione valida per tutte le piattaforme.
Ma queste affermazioni il sign. Luigi Montuori perché non le mette nero su bianco sul sito http://www.garanteprivacy.it ???!!!
Queste affermazioni hanno valore giuridico (ovviamente no) o sono solo sue interpretazioni della legge?
Cosa più importante, chi controllerà (o dovrebbe farlo) prenderà in considerazione le sue parole?
Purtruppo prima ti becchi la multa e paghi e poi ti puoi difendere… bella fregatura!
>>>Un sito che ha cookie tecnici, cookie di analisi
dove la terza parte potrebbe incrociare i dati (non ha garanzia che non lo
faccia) e ha anche cookie di profilazione (tipo Google Adsense)?Banner e blocco
preventivo in quanto la presenza di cookie di profilazione, seppure di terza
parte, da sola richiede la presenza del Banner.<<
In considerazione anche di questo passaggio del
provvedimento del garante "Se i cookie analitici sono messi a disposizione
da terze parti i titolari non sono soggetti ad obblighi (notificazione al
Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere
identificativo dei cookie (ad esempio tramite il mascheramento di porzioni
significative dell’IP);
B) la terza parte si impegna a non incrociare le
informazioni contenute nei cookies con altre di cui già dispone"
In questo caso la notifica tocca anche al gestore del sito?
Notifica intesa come dichiarazione e pagamento dei 150 € no.
Alex ti ringrazio per la risposta e ne approfitto per chiedere un tuo parere su quanto affermato in questo articoli dove l’autore sostiene che sia necessaria la notifica nel caso di cui sopra http://mgpf.it/2015/06/07/se-usi-google-analytics-devi-notificare-al-garante.html
Beh Flora stesso dice che è una provocazione e una “interpretazione”. Io sto a quanto detto da Montuori, poi sai, io dico spesso che le vie delle leggi italiane sono infinite 😉
Grazie Alex. Ieri ho trovato anche questo che mi pare supporti la tesi di Flora http://www.garanteprivacy.it/cookie
Nella presente intervista Montuori è stato abbastanza chiaro. Nel ragionamento di Flora comunque c’è un punto che non è chiaro. Se io anonimizzo gli Ip, come fa Google a incrociare gli ip con altri sistemi?
Quindi non sussiste la doppia presenza di casi come dice lui, ma una esclude l’altra.
Ok, ma l’infografica pubblicata sul sito del garante non lascia spazio ad interpretazioni. La spunta sulla notifica è verde sugli Analytics non anonimizzati e sulle profilazioni di prima parte. Mentre ad esempio è rossa per le profilazioni di terze parti, in quanto la responsabilità della notifica non ricade sul gestore del sito.
Appunto NON anonimizzati. Se li anonimizzi non devi fare nulla. Poi altra cosa. Secondo te perchè incrociano i dati? Per profilare. Ma se la profilazione di terze parti NON ha il pagamento perchè dovrebbe averlo un dato anonimizzato di terze parti?
Poi se uno vuol pagare per forza o vuole credere a Flora a prescindere perchè si fida di lui, lo può fare non è vietato.
Alex scusami se non sono stato chiarissimo dall’inizio, ma la mia domanda era relativa proprio al NON verificarsi delle due opzioni:
A) siano adottati strumenti che riducono il potere
identificativo dei cookie (ad esempio tramite il mascheramento di porzioni
significative dell’IP);
B) la terza parte si impegna a non incrociare le
informazioni contenute nei cookies con altre di cui già dispone
In definitiva basta che ne salti una affinchè scatti l’obbligo di notifica da parte del gestore.
Ma figurati, io e te siamo dalla stessa parte. Sinceramente io capisco l’opposto, ovvero se ne manca una non paghi, se ci sono due contemporaneamente paghi. (ma anche in questo caso non ha senso in quanto di terze parti). Ma se ne manca una, come l’Ip come fanno a profilare?
Ma più ancora è proprio il fatto che sia di terze parti che non da obbligo.
Però ripeto io e te siamo dalla stessa parte della barricata. Io dico la mia, poi sai, la verità in una legge come questa non esiste ancora..
Si infatti si cerca solo di collaborare con chi è addentro per fare chiarezza. Se ci fai caso tra l’altro anche nell’infografica mi pare ci sia un evidente errore quando al quarto rigo si legge “e la terza parte non incrocia”. Lì dovrebbe essere e la terza parte incrocia senza NON. Maledetti.. 😉
Ma infatti, io seguo l’infografica… ma quella roba li secondo me è sbagliata.
No, la notifica e il pagamento dei 150 euro non sono in questo caso a carico del gestore del sito. Se hai Ip coperti e la terza parte non incrocia non devi esibire nulla.
Avessi trovato un solo servizio di statistica, in cui vi sia scritto chiaramente “non ci impegniamo ad incrociare i dati”…
Per chi usa Joomla sul gruppo Facebook “Joomla per la scuola e la PA” abbiamo pubblicato una guida per ottemperare alla normativa in maniera scrupolosa (blocco preventivo, documentazione del consenso, etc), ma soprattutto gratis attraverso l’utilizzo dell’estensione Eprivacy 😉
Rispetto a ieri una delle risposte è stata modificata: alla domanda “Bisogna tenere un registro degli utenti che hanno dato il consenso?” è stato aggiunto alla fine “Si può fare il tutto anche tramite un semplice cookie tecnico.”
Non è molto chiaro come possa il cookie possa sostituire un registro su server. Inoltre sarebbe utile che il Garante spiegasse quali dati si devono salvare in questo registro e come posso averne uno se, ad esempio, non ho accesso a script server-side.
Non a caso qui ( http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 ) c’è scritto solo “generare un evento, registrabile e
documentabile presso il server del gestore del sito (prima parte), che
possa essere qualificato come azione positiva dell’utente”.
Così, giusto per complicare le cose.
Intervista modificata senza nessuna nota! Per quale motivo continuate a cancellare i miei commenti?!
Se c’è questo tuo commento vuol dire che non cancelliamo.
Alcuni “widget” di commento forniti da terze parti (come quelli di Disqus e Wufoo) raccolgono dati di utilizzo relativi alle pagine in cui tali widget di commento sono installati, nonchè l’indirizzo IP completo degli utenti che utilizzano il widget di commento, il tipo di dispositivo, il browser e il sistema operativo da loro utilizzati. Potrebbe, altresi’, essere dedotta anche la loro posizione geografica in base all’indirizzo IP. Leggendo le informative sulla privacy di questi servizi di commento (Disqus e Wufoo), appare chiaro che tutti i dati appena elencati vengono raccolti col solo e unico scopo di creare dei report sull’utilizzo dei widget di commento e non vengono, in alcun modo, utilizzati per identificare gli utenti ne’ tantomeno per inviare messaggi pubblicitari.
Come bisogna segnalare questi servizi di commento di terze parti in un’informativa sulla privacy di un sito web? Vanno segnalati come cookie analitici?
Grazie in anticipo per ogni eventuale delucidazione che verrà fornita a riguardo.
Se non c’è alcuna identificazione e i dati sono anonimi, e non sono condivisi con terze parti, sono considerabili analitici di prima parte e puoi anche non mostrare il banner.
Ricordati di essere assolutamente certo che non ci sia condivisione, altrimenti anche al minimo dubbio conviene considerarli analitici di terze parti ed esporre il banner esplicativo.