Il provvedimento con cui il Garante della Privacy regolamenta l’utilizzo dei cookie sui siti web, e soprattutto obbliga a chiedere il consenso per il loro uso, ha letteralmente scatenato la confusione fra i webmaster.

I proprietari di siti non sanno esattamente come comportarsi, non riescono ad interpretare correttamente la legge, si rivolgono ad esperti che non hanno mai un parere univoco, e l’informazione sul web non riesce a dipanare completamente i dubbi. Le multe, che arrivano a 120mila euro per gli inadempienti, hanno davvero spaventato il mondo dei piccoli editori.

Legge sui Cookie. Intervista esclusiva al Garante della Privacy

Alground si è rivolto all’unica fonte definitivamente attendibile, e ha raggiunto telefonicamente il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali, che ci ha rilasciato un’intervista in esclusiva. Precisiamo che la fonte ha avuto modo di rileggere l’intervista, prima che venisse pubblicata.

Dott. Montuori, perchè questo provvedimento, adesso?

Il provvedimento in realtà non introduce obblighi di informativa e consenso per i cookie. L’Unione Europea già nel 2002 e la legge italiana nel 2003, avevano addirittura proibito l’uso di cookie di profilazione e previsto informativa e consenso per quelli tecnici.

Poi il testo fu riformato nella direttiva nel 2009 in Europa, e recepito nel 2012 in Italia. In quella occasione venne stabilito che la presenza dei cookie tecnici, quelli necessari per il funzionamento del sito, doveva essere chiaramente comunicata agli utenti, mentre per usare le altre tipologie di cookie, era necessario ottenere l’esplicito consenso dell’utente.

La medesima direttiva del 2009 non prevedeva novità solo per i cookie ma se ricordate aveva un’altra importante previsione, quella dei data breach. Il Garante così, nel 2012, è inizialmente intervenuto per stabilire le norme di comportamento sui data breach (le violazione dei dati personali) subite da operatori telefonici o ISP. In questo caso è stato deciso che l’operatore dovesse avvisare del fatto il Garante e gli utenti, entro 2/3 giorni dalla scoperta del fatto. Chiusa la fase dei data breach, il Garante si è concentrato sull’argomento dei cookie, ma in realtà riguarda tutti i marcatori utilizzati nel web.

Come è nato il provvedimento, come lo avete pensato?

Fermo restando che l’onere già grava nel nostro Paese, così come nel resto d’Europa, da diversi anni, il Garante ha avviato una consultazione pubblica aperta alle Università, alle associazioni dei consumatori e alle associazioni di qualsiasi tipo operanti nel settore, che hanno discusso approfonditamente sulla natura del provvedimento.

L’obiettivo finale era quello di elaborare un sistema alternativo presente nella legge (un cookie – un consenso) che fosse semplice, rapido ma efficace per informare gli utenti e chiederne il permesso, anche considerato che ormai i principali device sono smartphone e tablet, per cui era necessario trovare una formula “easy”.

Al termine della consultazione pubblica, è stato adottato il provvedimento, 13 maggio 2014, ed è stato concesso un anno di tempo per poter apportare eventuali modifiche ai siti, modifiche che consentissero di adottare le misure semplificate, individuate nel corso del procedimento.

Nel frattempo, tra le molte iniziative tese a comunicare la possibilità di utilizzare la soluzione “semplificata” individuata, sono state pubblicate delle FAQ e realizzato un video tutorial postato anche su Youtube.

Partiamo dai cookie tecnici, cosa sono e come sono regolamentati?

I cookie tecnici sono quelli fondamentali per l’utilizzo di un sito, quelli che “ricordano” i dati dell’utente e permettono di eseguire azioni come il login ad un profilo personale, ad esempio. E’ sufficiente che sia scritto nella policy privacy, anche in una pagina interna del sito, che si fa uso di questi cookie. In questo caso non serve esibire nessun banner.

Invece per i cookie destinati all’analisi e alle statistiche del sito?

Nel caso in cui il software di analisi è residente sul server del proprietario del sito, e da lui completamente gestito e non condiviso con nessuno, non è necessario esporre un banner, basta che sia indicato nell’informativa presente nelle Privacy Policy.

Invece i cookie che profilano, come quelli per le pubblicità, necessitano del consenso?

Assolutamente sì. Sia chiaro che in questo caso bisogna esporre il banner e i cookie devono essere bloccati preventivamente, attivandosi solo ed esclusivamente dopo aver ottenuto il consenso.

Ricapitolando?

Per i cookie tecnici o di analisi ma che non coinvolgono terze parti, una pagina interna nelle Privacy Policy, e nessun bisogno di avviso. Per i cookie di profilazione banner e blocco preventivo.

Come deve essere fatto il banner che avvisa l’utente?

In teoria il webmaster può utilizzare qualsiasi metodo per avvisare l’utente. Al Garante basta il banner testuale che abbiamo inserito nel provvedimento del maggio 2014. Il criterio di accettazione è la “Discontinuità”, ovvero l’utente deve fare una azione che faccia esplicitamente capire che accetta. Il Garante considera come certamente valida, oltre ogni dubbio, l’azione di cliccare sul banner, o su qualsiasi altro punto dello schermo, sia di un pc che di uno smartphone.

Se il proprietario di un sito affida ad un tecnico l’incarico di implementare il nuovo sistema, e il tecnico sbaglia o comunque non si è norma, il Garante a chi spedisce la multa?

Dipende caso per caso. Come in tutte le situazioni ove un titolare si avvale di un responsabile esterno, si apre una istruttoria, e si cerca di capire come si è comportato il Titolare. Ha scelto un tecnico qualificato? ha dato istruzioni chiare e precise? ha controllato che tutto fosse in regola? se il Titolare ha verificato tutto al meglio, l’errore è del tecnico esterno, ed è a quest’ultimo che viene applicata la sanzione.

Chi farà i controlli e spedirà le multe?

Innanzitutto preciso che il Garante, in ossequio alla propria tradizione, non vuole spaventare e non ha intenzione di distribuire sanzioni. Siamo in una fase in cui la priorità è spiegare le norme e farle capire per un applicazione vasta ed omogenea. Solo in un secondo periodo l’Autorità procederà ai controlli ed alle verifiche. I controlli potranno essere a campione, su segnalazione e in alcuni casi particolari, potranno essere fatte delle ispezioni in loco.

Gli utenti potrebbero accettare il banner senza nemmeno leggere. Questa norma sarà veramente utile?

Quello a cui si fa riferimento è un problema generale di tutta la privacy, non solo dei cookie. In realtà abbiamo fatto un enorme passo in avanti. Prima i cookie tracciavano l’utente e questi era completamente passivo. Se navigava su un sito di scarpe, iniziava a vedere pubblicità di scarpe da tutte le parti. Solo così poteva immaginare che qualcuno lo stava seguendo nella navigazione per carpirne gusti ed abitudini di consumo.

Ora siamo andati avanti: con questo strumento l’utente decide consapevolmente se accettare i cookie e la pubblicità di un determinato sito. Insomma, può scegliere la natura, l’argomento degli annunci che gli verranno proposti sia sul sito che in generale durante la sua navigazione web.

Alcuni webmaster potrebbero scrivere delle privacy policy con regole assurde per diversi servizi, e farle accettare sfruttando malamente il banner. E’ possibile?

Assolutamente no. Questo avviso è esclusivamente dedicato ai cookie e la legge dice che il consenso deve essere preventivo, informato e specifico. Non si può fare di tutt’erba un fascio, e far accettare tutto quello che si vuole con un unico consenso, bisogna chiedere il permesso di volta in volta indicando chiarente le finalità. Il Garante in un caso del genere, punirebbe questo comportamento.