Legge sui Cookie. Intervista esclusiva al Garante della Privacy

Legge sui Cookie. Intervista esclusiva al Garante della Privacy

Il provvedimento con cui il Garante della Privacy regolamenta l’utilizzo dei cookie sui siti web, e soprattutto obbliga a chiedere il consenso per il loro uso, ha letteralmente scatenato la confusione fra i webmaster.

I proprietari di siti non sanno esattamente come comportarsi, non riescono ad interpretare correttamente la legge, si rivolgono ad esperti che non hanno mai un parere univoco, e l’informazione sul web non riesce a dipanare completamente i dubbi. Le multe, che arrivano a 120mila euro per gli inadempienti, hanno davvero spaventato il mondo dei piccoli editori.

Legge sui Cookie. Intervista esclusiva al Garante della Privacy

Alground si è rivolto all’unica fonte definitivamente attendibile, e ha raggiunto telefonicamente il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali, che ci ha rilasciato un’intervista in esclusiva. Precisiamo che la fonte ha avuto modo di rileggere l’intervista, prima che venisse pubblicata.

Dott. Montuori, perchè questo provvedimento, adesso?

Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali

Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali

Il provvedimento in realtà non introduce obblighi di informativa e consenso per i cookie. L’Unione Europea già nel 2002 e la legge italiana nel 2003, avevano addirittura proibito l’uso di cookie di profilazione e previsto informativa e consenso per quelli tecnici.

Poi il testo fu riformato nella direttiva nel 2009 in Europa, e recepito nel 2012 in Italia. In quella occasione venne stabilito che la presenza dei cookie tecnici, quelli necessari per il funzionamento del sito, doveva essere chiaramente comunicata agli utenti, mentre per usare le altre tipologie di cookie, era necessario ottenere l’esplicito consenso dell’utente.

La medesima direttiva del 2009 non prevedeva novità solo per i cookie ma se ricordate aveva un’altra importante previsione, quella dei data breach. Il Garante così, nel 2012, è inizialmente intervenuto per stabilire le norme di comportamento sui data breach (le violazione dei dati personali) subite da operatori telefonici o ISP. In questo caso è stato deciso che l’operatore dovesse avvisare del fatto il Garante e gli utenti, entro 2/3 giorni dalla scoperta del fatto. Chiusa la fase dei data breach, il Garante si è concentrato sull’argomento dei cookie, ma in realtà riguarda tutti i marcatori utilizzati nel web.

Come è nato il provvedimento, come lo avete pensato?

Fermo restando che l’onere già grava nel nostro Paese, così come nel resto d’Europa, da diversi anni, il Garante ha avviato una consultazione pubblica aperta alle Università, alle associazioni dei consumatori e alle associazioni di qualsiasi tipo operanti nel settore, che hanno discusso approfonditamente sulla natura del provvedimento.

L’obiettivo finale era quello di elaborare un sistema alternativo presente nella legge (un cookie – un consenso) che fosse semplice, rapido ma efficace per informare gli utenti e chiederne il permesso, anche considerato che ormai i principali device sono smartphone e tablet, per cui era necessario trovare una formula “easy”.

La norma sui Cookie, in realtà è già in vigore da diversi anni.

La norma sui Cookie, in realtà è già in vigore da diversi anni.

Al termine della consultazione pubblica, è stato adottato il provvedimento, 13 maggio 2014, ed è stato concesso un anno di tempo per poter apportare eventuali modifiche ai siti, modifiche che consentissero di adottare le misure semplificate, individuate nel corso del procedimento.

Nel frattempo, tra le molte iniziative tese a comunicare la possibilità di utilizzare la soluzione “semplificata” individuata, sono state pubblicate delle FAQ e realizzato un video tutorial postato anche su Youtube.

Partiamo dai cookie tecnici, cosa sono e come sono regolamentati?

I cookie tecnici sono quelli fondamentali per l’utilizzo di un sito, quelli che “ricordano” i dati dell’utente e permettono di eseguire azioni come il login ad un profilo personale, ad esempio. E’ sufficiente che sia scritto nella policy privacy, anche in una pagina interna del sito, che si fa uso di questi cookie. In questo caso non serve esibire nessun banner.

Invece per i cookie destinati all’analisi e alle statistiche del sito?

Nel caso in cui il software di analisi è residente sul server del proprietario del sito, e da lui completamente gestito e non condiviso con nessuno, non è necessario esporre un banner, basta che sia indicato nell’informativa presente nelle Privacy Policy.

NOTA DEL GIORNALISTA. Nel caso invece dei cookie di analisi, che si appoggiano a terze parti, la rigorosa lettura della legge, prevederebbe l’esposizione del banner e il blocco degli stessi cookie, fino al consenso dell’utente. Tuttavia, il Dott. Montuori ha promesso alla Redazione e ai lettori di Alground una nuova intervista, dove risponderà ufficialmente a questa domanda.

 

AGGIORNAMENTO. Ecco la seconda intervista pubblicata

Invece i cookie che profilano, come quelli per le pubblicità, necessitano del consenso?

Assolutamente sì. Sia chiaro che in questo caso bisogna esporre il banner e i cookie devono essere bloccati preventivamente, attivandosi solo ed esclusivamente dopo aver ottenuto il consenso.

Ricapitolando?

Per i cookie tecnici o di analisi ma che non coinvolgono terze parti, una pagina interna nelle Privacy Policy, e nessun bisogno di avviso. Per i cookie di profilazione banner e blocco preventivo.

Come deve essere fatto il banner che avvisa l’utente?

In teoria il webmaster può utilizzare qualsiasi metodo per avvisare l’utente. Al Garante basta il banner testuale che abbiamo inserito nel provvedimento del maggio 2014. Il criterio di accettazione è la “Discontinuità”, ovvero l’utente deve fare una azione che faccia esplicitamente capire che accetta. Il Garante considera come certamente valida, oltre ogni dubbio, l’azione di cliccare sul banner, o su qualsiasi altro punto dello schermo, sia di un pc che di uno smartphone.

In caso di violazione, si apre una istruttoria per determinare se l'inadempienza è del Titolare o del tecnico esterno

In caso di violazione, si apre una istruttoria per determinare se l’inadempienza è del Titolare o del tecnico esterno

Se il proprietario di un sito affida ad un tecnico l’incarico di implementare il nuovo sistema, e il tecnico sbaglia o comunque non si è norma, il Garante a chi spedisce la multa?

Dipende caso per caso. Come in tutte le situazioni ove un titolare si avvale di un responsabile esterno, si apre una istruttoria, e si cerca di capire come si è comportato il Titolare. Ha scelto un tecnico qualificato? ha dato istruzioni chiare e precise? ha controllato che tutto fosse in regola? se il Titolare ha verificato tutto al meglio, l’errore è del tecnico esterno, ed è a quest’ultimo che viene applicata la sanzione.

Chi farà i controlli e spedirà le multe?

Innanzitutto preciso che il Garante, in ossequio alla propria tradizione, non vuole spaventare e non ha intenzione di distribuire sanzioni. Siamo in una fase in cui la priorità è spiegare le norme e farle capire per un applicazione vasta ed omogenea. Solo in un secondo periodo l’Autorità procederà ai controlli ed alle verifiche. I controlli potranno essere a campione, su segnalazione e in alcuni casi particolari, potranno essere fatte delle ispezioni in loco.

Gli utenti potrebbero accettare il banner senza nemmeno leggere. Questa norma sarà veramente utile?

Quello a cui si fa riferimento è un problema generale di tutta la privacy, non solo dei cookie. In realtà abbiamo fatto un enorme passo in avanti. Prima i cookie tracciavano l’utente e questi era completamente passivo. Se navigava su un sito di scarpe, iniziava a vedere pubblicità di scarpe da tutte le parti. Solo così poteva immaginare che qualcuno lo stava seguendo nella navigazione per carpirne gusti ed abitudini di consumo.

Ora siamo andati avanti: con questo strumento l’utente decide consapevolmente se accettare i cookie e la pubblicità di un determinato sito. Insomma, può scegliere la natura, l’argomento degli annunci che gli verranno proposti sia sul sito che in generale durante la sua navigazione web.

Alcuni webmaster potrebbero scrivere delle privacy policy con regole assurde per diversi servizi, e farle accettare sfruttando malamente il banner. E’ possibile?

Assolutamente no. Questo avviso è esclusivamente dedicato ai cookie e la legge dice che il consenso deve essere preventivo, informato e specifico. Non si può fare di tutt’erba un fascio, e far accettare tutto quello che si vuole con un unico consenso, bisogna chiedere il permesso di volta in volta indicando chiarente le finalità. Il Garante in un caso del genere, punirebbe questo comportamento.

Legge sui Cookie. Intervista esclusiva al Garante della Privacy ultima modifica: 2015-06-05T14:21:39+00:00 da Roberto Trizio

The following two tabs change content below.

Roberto Trizio

Direttore Editoriale a Alground
Dopo una robusta preparazione classica, si dedica al giornalismo scientifico e digitale con una predilizione per le tecniche anglosassoni: le sue specialità sono le inchieste e le interviste a tutto tondo.

Tag assegnati a questo articolo:
cookiesinternetprivacy

Articoli correlati

Proteggere i dati: la cifratura “comoda” è la via – Intervista

Sul mercato è stata recentemente lanciata una chiavetta per la cifratura dei dati personali: IndependenceKey, interamente progettata da un gruppo

Microsoft. Così Windows 10 ha imparato dagli errori. Intervista

Dal dopo Windows XP, a Windows 7, passando per la versione 8/8.1 e adesso Windows 10. La Microsoft è stata

■ Renato Brunetta: la banda larga per tutti | Intervista

Un’intervista esclusiva di Webnews.it a Renato Brunetta, Ministro per la PA e l’Innovazione – di cui vi proponiamo una sintesi – chiarisce prospettive e piani di Governo da qui al 2010, confermando le opportunità concrete che la Banda Larga a 2Mbps per tutti può portare all’economia del Paese e offrendo alle aziende una freccia in più al proprio arco.

NSA e Privacy: Intervista ai servizi segreti italiani. ESCLUSIVA

I servizi segreti italiani sono rimasti quasi in disparte durante tutto lo scandalo del Datagate ed NSA. Alcune formali dichiarazioni

Sicurezza informatica aziendale. Le sfide viste da G Data

La GData è un’azienda di sicurezza capace di conquistare una buona fetta di mercato, e di proporsi come autorevole punto

Microsoft: il Cloud Computing è bello!

L’innovazione bussa alla porta, e dall’evoluzione dei sistemi per trattare i dati si affaccia il Cloud Computing. Facile spiegarne la natura: se fino ad ora siamo sempre stati abituati a dover usare i programmi sui nostri computer, e utilizzare una piattaforma proprietaria, il Cloud è l’offerta di una struttura informativa esterna all’azienda, gestita da terzi, dove i dati vengono registrati, e dove i programmi vengono usati in modalità Pay per use. Interessante? vantaggioso?

  • Pingback: Maledetti biscottini! Istruzioni per l’uso. Prima Puntata. Blog e “sitarelli”. – Avvocato del Diavolo - Blog - L’Espresso()

  • La questione di fondo è un’altra: perché siamo arrivati a questo punto?
    Negligenza, improvvisazione, dilettantismo da parte del Garante e dei destinatari?
    Possibile che il Garante non sia stato in grado di scrivere, fin dal principio, delle linee guida comprensibili al pubblico cui dovevano essere destinate?
    Per chi fosse interessato, qui ci sono degli approfondimenti:

    Cookie: la disciplina applicabile e le criticità del provvedimento del Garante – http://wp.me/p5ltXn-G

    #cookielaw: the day after (v. 0.9) – http://wp.me/p5ltXn-df

    @lamiaprivacy:disqus #privacy #epicfail #nonchiudeteiblog

  • Francesco

    Quindi se inserisco un video di youtube o una mappa di google (i quali rilasciano cookie di profilazione) devo bloccarli preventivamente?

    • Si, sono cookies di terze parti quindi va chiesto il consenso prima di poterli utilizzare.

  • Daniele Capogna

    Buongiorno,

    non mi è chiara una cosa. una volta che l’utente ha deciso di cliccare per l’accettazione, devo salvare il suo consenso ? come ?

    saluti

    Daniele

    • Con un cookie.
      Quanto allo scrolling, si naviga nel buio più totale, e si apre la strada a dbase sul server, strutturati non si sa come e dalla validità ignota: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
      Leggi il punto 5: “in grado di generare un evento,
      registrabile e documentabile presso il server del gestore del sito
      (prima parte), che possa essere qualificato come azione positiva
      dell’utente.”

      • redazione

        Si ma lo scroll è stato definitivamente accettato come prova di consenso.

  • Pingback: Legge sui Cookie. Intervista esclusiva al Garante della Privacy | Expoitalydv Pmi()

  • Pingback: Legge e cookie. Garante risponde agli utenti. Esempi pratici | Alground. L'approfondimento Tech()

  • “Nel caso invece dei cookie di analisi, che si appoggiano a terze parti,
    la rigorosa lettura della legge, prevederebbe l’esposizione del banner e
    il blocco degli stessi cookie, fino al consenso dell’utente. Tuttavia,
    il Dott. Montuori ha promesso alla Redazione e ai lettori di Alground
    una nuova intervista, dove risponderà ufficialmente a questa domanda.”

    Una nuova intervista? Quanti secoli ci vogliono per dipanare finalmente la questione dei servizi che contano le visite, pur raccogliendo i dati in forma anonimizzata (v. G.Analytics opportunamente configurato, o Shinystat)?

  • Pingback: Cosa fare per adeguarsi al Cookie Law in Italia()