Punti chiave
Il provvedimento con cui il Garante della Privacy regolamenta l’utilizzo dei cookie sui siti web, e soprattutto obbliga a chiedere il consenso per il loro uso, ha letteralmente scatenato la confusione fra i webmaster.
I proprietari di siti non sanno esattamente come comportarsi, non riescono ad interpretare correttamente la legge, si rivolgono ad esperti che non hanno mai un parere univoco, e l’informazione sul web non riesce a dipanare completamente i dubbi. Le multe, che arrivano a 120mila euro per gli inadempienti, hanno davvero spaventato il mondo dei piccoli editori.
Legge sui Cookie. Intervista esclusiva al Garante della Privacy
Alground si è rivolto all’unica fonte definitivamente attendibile, e ha raggiunto telefonicamente il Dott. Luigi Montuori, Direttore del Dipartimento comunicazioni e reti telematiche presso il Garante per la protezione dei dati personali, che ci ha rilasciato un’intervista in esclusiva. Precisiamo che la fonte ha avuto modo di rileggere l’intervista, prima che venisse pubblicata.
Dott. Montuori, perchè questo provvedimento, adesso?
Il provvedimento in realtà non introduce obblighi di informativa e consenso per i cookie. L’Unione Europea già nel 2002 e la legge italiana nel 2003, avevano addirittura proibito l’uso di cookie di profilazione e previsto informativa e consenso per quelli tecnici.
Poi il testo fu riformato nella direttiva nel 2009 in Europa, e recepito nel 2012 in Italia. In quella occasione venne stabilito che la presenza dei cookie tecnici, quelli necessari per il funzionamento del sito, doveva essere chiaramente comunicata agli utenti, mentre per usare le altre tipologie di cookie, era necessario ottenere l’esplicito consenso dell’utente.
La medesima direttiva del 2009 non prevedeva novità solo per i cookie ma se ricordate aveva un’altra importante previsione, quella dei data breach. Il Garante così, nel 2012, è inizialmente intervenuto per stabilire le norme di comportamento sui data breach (le violazione dei dati personali) subite da operatori telefonici o ISP. In questo caso è stato deciso che l’operatore dovesse avvisare del fatto il Garante e gli utenti, entro 2/3 giorni dalla scoperta del fatto. Chiusa la fase dei data breach, il Garante si è concentrato sull’argomento dei cookie, ma in realtà riguarda tutti i marcatori utilizzati nel web.
Come è nato il provvedimento, come lo avete pensato?
Fermo restando che l’onere già grava nel nostro Paese, così come nel resto d’Europa, da diversi anni, il Garante ha avviato una consultazione pubblica aperta alle Università, alle associazioni dei consumatori e alle associazioni di qualsiasi tipo operanti nel settore, che hanno discusso approfonditamente sulla natura del provvedimento.
L’obiettivo finale era quello di elaborare un sistema alternativo presente nella legge (un cookie – un consenso) che fosse semplice, rapido ma efficace per informare gli utenti e chiederne il permesso, anche considerato che ormai i principali device sono smartphone e tablet, per cui era necessario trovare una formula “easy”.
Al termine della consultazione pubblica, è stato adottato il provvedimento, 13 maggio 2014, ed è stato concesso un anno di tempo per poter apportare eventuali modifiche ai siti, modifiche che consentissero di adottare le misure semplificate, individuate nel corso del procedimento.
Nel frattempo, tra le molte iniziative tese a comunicare la possibilità di utilizzare la soluzione “semplificata” individuata, sono state pubblicate delle FAQ e realizzato un video tutorial postato anche su Youtube.
Partiamo dai cookie tecnici, cosa sono e come sono regolamentati?
I cookie tecnici sono quelli fondamentali per l’utilizzo di un sito, quelli che “ricordano” i dati dell’utente e permettono di eseguire azioni come il login ad un profilo personale, ad esempio. E’ sufficiente che sia scritto nella policy privacy, anche in una pagina interna del sito, che si fa uso di questi cookie. In questo caso non serve esibire nessun banner.
Invece per i cookie destinati all’analisi e alle statistiche del sito?
Nel caso in cui il software di analisi è residente sul server del proprietario del sito, e da lui completamente gestito e non condiviso con nessuno, non è necessario esporre un banner, basta che sia indicato nell’informativa presente nelle Privacy Policy.
Invece i cookie che profilano, come quelli per le pubblicità, necessitano del consenso?
Assolutamente sì. Sia chiaro che in questo caso bisogna esporre il banner e i cookie devono essere bloccati preventivamente, attivandosi solo ed esclusivamente dopo aver ottenuto il consenso.
Ricapitolando?
Per i cookie tecnici o di analisi ma che non coinvolgono terze parti, una pagina interna nelle Privacy Policy, e nessun bisogno di avviso. Per i cookie di profilazione banner e blocco preventivo.
Come deve essere fatto il banner che avvisa l’utente?
In teoria il webmaster può utilizzare qualsiasi metodo per avvisare l’utente. Al Garante basta il banner testuale che abbiamo inserito nel provvedimento del maggio 2014. Il criterio di accettazione è la “Discontinuità”, ovvero l’utente deve fare una azione che faccia esplicitamente capire che accetta. Il Garante considera come certamente valida, oltre ogni dubbio, l’azione di cliccare sul banner, o su qualsiasi altro punto dello schermo, sia di un pc che di uno smartphone.
Se il proprietario di un sito affida ad un tecnico l’incarico di implementare il nuovo sistema, e il tecnico sbaglia o comunque non si è norma, il Garante a chi spedisce la multa?
Dipende caso per caso. Come in tutte le situazioni ove un titolare si avvale di un responsabile esterno, si apre una istruttoria, e si cerca di capire come si è comportato il Titolare. Ha scelto un tecnico qualificato? ha dato istruzioni chiare e precise? ha controllato che tutto fosse in regola? se il Titolare ha verificato tutto al meglio, l’errore è del tecnico esterno, ed è a quest’ultimo che viene applicata la sanzione.
Chi farà i controlli e spedirà le multe?
Innanzitutto preciso che il Garante, in ossequio alla propria tradizione, non vuole spaventare e non ha intenzione di distribuire sanzioni. Siamo in una fase in cui la priorità è spiegare le norme e farle capire per un applicazione vasta ed omogenea. Solo in un secondo periodo l’Autorità procederà ai controlli ed alle verifiche. I controlli potranno essere a campione, su segnalazione e in alcuni casi particolari, potranno essere fatte delle ispezioni in loco.
Gli utenti potrebbero accettare il banner senza nemmeno leggere. Questa norma sarà veramente utile?
Quello a cui si fa riferimento è un problema generale di tutta la privacy, non solo dei cookie. In realtà abbiamo fatto un enorme passo in avanti. Prima i cookie tracciavano l’utente e questi era completamente passivo. Se navigava su un sito di scarpe, iniziava a vedere pubblicità di scarpe da tutte le parti. Solo così poteva immaginare che qualcuno lo stava seguendo nella navigazione per carpirne gusti ed abitudini di consumo.
Ora siamo andati avanti: con questo strumento l’utente decide consapevolmente se accettare i cookie e la pubblicità di un determinato sito. Insomma, può scegliere la natura, l’argomento degli annunci che gli verranno proposti sia sul sito che in generale durante la sua navigazione web.
Alcuni webmaster potrebbero scrivere delle privacy policy con regole assurde per diversi servizi, e farle accettare sfruttando malamente il banner. E’ possibile?
Assolutamente no. Questo avviso è esclusivamente dedicato ai cookie e la legge dice che il consenso deve essere preventivo, informato e specifico. Non si può fare di tutt’erba un fascio, e far accettare tutto quello che si vuole con un unico consenso, bisogna chiedere il permesso di volta in volta indicando chiarente le finalità. Il Garante in un caso del genere, punirebbe questo comportamento.
La questione di fondo è un’altra: perché siamo arrivati a questo punto?
Negligenza, improvvisazione, dilettantismo da parte del Garante e dei destinatari?
Possibile che il Garante non sia stato in grado di scrivere, fin dal principio, delle linee guida comprensibili al pubblico cui dovevano essere destinate?
Per chi fosse interessato, qui ci sono degli approfondimenti:
Cookie: la disciplina applicabile e le criticità del provvedimento del Garante – http://wp.me/p5ltXn-G
#cookielaw: the day after (v. 0.9) – http://wp.me/p5ltXn-df
@lamiaprivacy:disqus #privacy #epicfail #nonchiudeteiblog
Quindi se inserisco un video di youtube o una mappa di google (i quali rilasciano cookie di profilazione) devo bloccarli preventivamente?
Si, sono cookies di terze parti quindi va chiesto il consenso prima di poterli utilizzare.
Buongiorno,
non mi è chiara una cosa. una volta che l’utente ha deciso di cliccare per l’accettazione, devo salvare il suo consenso ? come ?
saluti
Daniele
Con un cookie.
Quanto allo scrolling, si naviga nel buio più totale, e si apre la strada a dbase sul server, strutturati non si sa come e dalla validità ignota: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
Leggi il punto 5: “in grado di generare un evento,
registrabile e documentabile presso il server del gestore del sito
(prima parte), che possa essere qualificato come azione positiva
dell’utente.”
Si ma lo scroll è stato definitivamente accettato come prova di consenso.
“Nel caso invece dei cookie di analisi, che si appoggiano a terze parti,
la rigorosa lettura della legge, prevederebbe l’esposizione del banner e
il blocco degli stessi cookie, fino al consenso dell’utente. Tuttavia,
il Dott. Montuori ha promesso alla Redazione e ai lettori di Alground
una nuova intervista, dove risponderà ufficialmente a questa domanda.”
Una nuova intervista? Quanti secoli ci vogliono per dipanare finalmente la questione dei servizi che contano le visite, pur raccogliendo i dati in forma anonimizzata (v. G.Analytics opportunamente configurato, o Shinystat)?