#cookielaw: the day after (v. 0.9)

Cookie_nuclear_explosionNell’articolo di qualche giorno fa dal titolo Cookie: la disciplina applicabile e le criticità del provvedimento del Garante avevamo manifestato le nostre perplessità sul provvedimento del Garante recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Attenzione: le reazioni che abbiamo osservato sul web (segnatamente quelle di blog e forum che chiudono perché dichiarano di non voler rischiare sanzioni per l’odiata #cookielaw) ci hanno spinto ad accorciare i tempi per cercare di dare una mano a quanti si sentono disorientati e stanno prendendo decisioni drastiche e affrettate. Abbiamo ricevuto tante domande e richieste di aiuto, a qualcuna abbiamo risposto direttamente ma abbiamo pensato di farvi cosa gradita nel condividere con voi il nostro punto di vista. Ci riserviamo di ampliare l’articolo con successive release 😉 anche in base alle vostre osservazioni e richieste e di precisare meglio alcuni passaggi dell’articolo.

Gli adempimenti previsti dal provvedimento hanno destato molte preoccupazioni nei gestori di siti web di vario genere, soprattutto in coloro che, non avendo né una specifica preparazione giuridica, né uno stuolo di giuristi alle spalle che potesse aiutarli all’interpretazione delle disposizioni in materia di protezione dei dati personali, hanno dovuto barcamenarsi in prima persona per mettersi in regola.
Ieri, 2 giugno, è infatti scaduto il termine fissato dal Garante per adeguarsi ed oggi, senza tornare di nuovo sulle critiche di carattere più strettamente giuridico già evidenziate in linea teorica nell’articolo, riteniamo utile soffermarci sugli effetti pratici che il provvedimento in questione ha in concreto avuto sugli adempimenti in materia di cookie nel nostro Paese, esaminando alcuni casi esemplificativi che potranno aiutarci a comprendere gli errori più comuni e ad individuare le migliori prassi da seguire.


1. L’esempio di banner predisposto dal Garante
2. Esaminiamo il sito web del Garante (il caso dei soli cookie di sessione)
3. Blog e forum gestiti su piattaforme CMS (content management system)

  1. piattaforme CMS in modalità hosted
  2. piattaforme CMS e siti web gestiti in proprio

4. I pulsanti “social”

Per ciascun esempio esaminato verrà indicato se la soluzione seguita è, a parere di chi scrive, conforme alla legge e/o al provvedimento del Garante (che nel precedente articolo viene in alcune parti criticato poiché ritenuto non in linea con la legge, in quanto più permissivo per i “grandi operatori” rispetto a quanto consentito dal legislatore nazionale ed europeo e più invasivo e vessatorio per i piccoli operatori) ed evidenziando, infine, se ciascuna soluzione è conforme o meno anche rispetto alla lettura più stringente (e più garantista per l’utente) delle predette disposizioni.

⇑ torna all’inizio ⇑

1. L’esempio di banner predisposto dal Garante

Il Garante ha pubblicato già dal giugno 2014 il seguente modello di banner esemplificativo dei requisiti che l’Autorità ritiene sufficienti affinché il trattamento di dati personali effettuato da gestori di siti web mediante l’uso di cookie risulti conforme al proprio provvedimento.

Esempio_banner_cookie_Garante

Secondo il Garante nel banner contenente l’informativa sintetica sarebbe sufficiente inserire:

Questo sito utilizza cookie di profilazione [propri e di altri siti] per inviarti pubblicità in linea con le tue preferenze...
Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui
Se accedi a un qualunque elemento sottostante questo banner acconsenti all'uso dei cookie

Peccato che questo esempio, per i motivi ampiamente esposti nel precedente articolo, non sia in linea con le disposizioni europee contenute nella direttiva 95/46/CE e da ultimo nella direttiva 2009/136/CE e nemmeno con quelle della normativa nazionale, di cui all’art. 122 del Codice privacy, nel quale sono state recepite la predette disposizioni europee; e ciò per i seguenti motivi:

  • viene richiesto all’utente di effettuare specifiche azioni per negare il consenso all’utilizzo – totale o parziale – dei cookie “di profilazione”, quando invece il loro utilizzo dovrebbe essere subordinato al rilascio preventivo del consenso da parte dell’interessato con una azione positiva (vuol dire che di default i cookie “non necessari” dovrebbero essere disabilitati e  che dovrebbe essere data comunque la possibilità di accedere al sito/servizio anche se non viene consentito il loro utilizzo);
  • viene indicato che l’accesso ad un qualunque elemento sottostante al banner comporta l’assenso all’uso dei cookie, quando invece la disciplina generale sull’acquisizione del consenso prevede che l’azione che l’interessato deve compiere per dare il proprio consenso debba essere inequivocabilmente ricollegabile a quella specifica volontà (ad esempio, se si clicca su una immagine presente nel sito lo si fa sicuramente perché si vuole visualizzare quella immagine e non è detto che questa azione sia anche indicativa della volontà di chi la compie di accettare i cookie “di profilazione”).

La gran parte della confusione sull’argomento trae origine – a nostro avviso – da questa fuorviante lettura data dal Garante alle disposizioni in questione, su cui non torniamo ulteriormente perché ne abbiamo già scritto abbondantemente nel precedente articolo.

Conclusione: l’esempio di banner predisposto dal Garante è fuorviante e risulta maggiormente in linea con il quadro normativo vigente un meccanismo di acquisizione del consenso:

  1. che ammetta quale ordinaria modalità di fruizione dei contenuti del sito quella che non prevede il rilascio del consenso dell’interessato per l’uso di cookie non indispensabili (quali quelli di profilazione);
  2. che richieda una azione positiva e non equivoca dell’utente per il rilascio del proprio consenso (quindi, niente scroll o click sotto il banner ma solo se si clicca OK nel banner);
  3. in sostanza, il rilascio del consenso deve costituire un scelta positiva (opt-in) e non una mera opzione negativa da esercitare per esprimere la propria opposizione al trattamento mediante cookie (opt-out);
  4. tale consenso dovrebbe riguardare i solo cookie gestiti direttamente dal gestore del sito e non anche quelli di terze parti, per i quali le rispettive informative e i relativi consensi fanno capo a tali terze parti (in assenza di tali adempimenti, le terze parti non dovrebbero usare cookie e, in ogni casi, esse dovranno essere ritenute le uniche responsabili di eventuali abusi).

⇑ torna all’inizio ⇑

2. Esaminiamo il sito web del Garante (il caso dei soli cookie di sessione)

Abbiamo letto molte critiche sul fatto che sul sito del Garante non sia presente il banner relativo all’uso dei cookie, è questo in effetti è un problema. La criticità però non riguarda l’assenza del banner (che, come vedremo, nel caso specifico non è richiesto), ma il vero problema è che le critiche rivolte al sito del Garante dimostrano palesemente che, da un lato, la gran parte delle persone non ha capito quale sia il modo corretto per adempiere alle disposizioni sui cookie e che, dall’altro, il Garante ha fallito clamorosamente nell’adempiere ad uno dei suoi compiti principali, ossia quello di “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità” (art. 154, comma 1, lett. h), del Codice in materia di protezione dei dati personali.

sito_Garante_cookie

Il banner non è richiesto poiché il sito del Garante utilizza solo due cookie di sessione, che rientrano tra quelli “finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.

In questo caso è possibile utilizzare i cookie senza richiedere il preventivo consenso dell’utente e l’informativa può essere fornita anche con modalità tradizionali, ossia inserendo le informazioni necessarie nella normale informativa privacy, proprio come ha fatto il Garante nella sua informativa raggiungibile attraverso il link presente in calce ad ogni pagina del proprio sito. In tale informativa, nella parte relativa ai cookie, si legge:

Cookies
Nessun dato personale degli utenti viene in proposito acquisito dal sito.
Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti.
L'uso di c.d. cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell'utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l'esplorazione sicura ed efficiente del sito.
I c.d. cookies di sessione utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utente e non consentono l'acquisizione di dati personali identificativi dell'utente.

Conclusione: se si utilizzano solo cookie di sessione, non è necessario acquisire uno specifico consenso dagli interessati né rendere loro l’informativa mediante banner sull’uso dei cookie e si può usare la classica informativa attraverso appositi link visibili sul sito.

⇑ torna all’inizio ⇑

3. Blog e forum gestiti su piattaforme CMS (content management system)

La gran parte di coloro che, come noi, gestisce un blog o un forum in modo amatoriale lo fa usufruendo dei servizi resi da gestori di piattaforme CMS (content management system) come WordPress, Joomla, Drupal, Blogger, ecc.

Sebbene alcune di queste piattaforme siano disponibili solo per l’installazione del relativo software CMS su proprie macchine, altre (come WordPress nella versione MU – multi utente gestita da Automattic) rendono possibile creare blog senza disporre di propri server e senza dovere gestire l’installazione e la manutenzione del relativo software, lasciando agli autori la possibilità di concentrare le proprie energie sui contenuti. I due casi vanno esaminati distintamente.

⇑ torna all’inizio ⇑

3.a piattaforme CMS in modalità hosted

Il modo più semplice e anche sempre più frequente per avviare un blog (soprattutto per gli utenti non professionali) è quello di utilizzare un servizio in versione hosted come quello reso disponibile da Automattic tramite il sito https://it.wordpress.com/.

In tale tipologia di blog ospitata su questo genere di CMS gli autori non trattano direttamente i dati personali di chi fruisce dei contenuti del blog stesso ma si affidano, al pari degli altri utenti del blog, ai servizi resi – e ai trattamenti effettuati – dal gestore della piattaforma. Quindi, in linea di principio, il “gestore” di un blog collocato su un CMS “ospitato” non assume – generalmente – la qualifica di titolare del trattamento dei dati personali di quanti accedono al blog ed eventualmente lo alimentano, poiché anch’egli si rivolge al gestore della piattaforma CMS in modo analogo a un qualsiasi altro utente, con in più la possibilità di alimentarne i contenuti.
Da ciò deriva che, a parere di chi scrive, l’onere di rendere l’informativa (e anche di acquisire i consensi eventualmente necessari) per l’eventuale uso di cookie – di cui gli autori del blog possono legittimamente non conoscere l’esistenza – ricade sul fornitore del servizio CMS, che è il soggetto che effettivamente tratta i dati di navigazione dell’utente e gestisce i cookie e che rispetto a tali trattamenti di dati personali riveste la qualità di titolare del trattamento.

Più in generale, a parere di chi scrive i gestori di siti web non sono tenuti a dare una informativa (e ad acquisire eventuali consensi) per quei servizi che vengono offerti da un terzo (il gestore della piattaforma CMS) attraverso tali siti, salvo fornire – eventualmente e per eccesso di zelo – un generico riferimento alla presenza di cookie e/o servizi terzi e, nei casi di CMS “ospitati”, eventualmente all’informativa del gestore della piattaforma CMS.

Ciò in quanto un soggetto può essere ritenuto responsabile degli adempimenti rispetto ai quali riveste un ruolo “attivo” nel relativo trattamento di dati personali e che rientrano nell’ambito della propria sfera d’azione e non anche per quelli che altri soggetti effettuano attraverso apposite funzioni o aree presenti o ospitate sul proprio sito che siano al di fuori dell’ambito del rispettivo trattamento. In caso contrario, si arriverebbe ad un’ingiustificata attribuzione ai primi di una sorta di responsabilità oggettiva rispetto agli adempimenti dei secondi, circostanza questa che il nostro ordinamento in generale vede con particolare sfavore e che è riconosciuta solo in specifici ambiti e a particolari condizioni.

Conclusione: se si utilizza una piattaforma CMS in modalità hosted, gli adempimenti relativi alla gestione di cookie (informativa e consenso) ricadono in capo al gestore della piattaforma (che dovrà, se necessario, predisporre appositi banner, ecc.). Si suggerisce, per chiarezza, di indicare nella propria informativa, da fornire in modo “tradizionale” attraverso gli appositi link visibili sul sito, il link all’informativa del gestore della piattaforma.

⇑ torna all’inizio ⇑

3.b piattaforme CMS e siti web gestiti in proprio

Diverso, invece, è il caso di quei servizi per i quali anche la piattaforma tecnologica (CMS, ecc.) viene gestita dagli stessi gestori del servizio (blog, ecc.): in questi casi, siccome il funzionamento della piattaforma in genere comporta il trattamento di dati personali, il gestore deve rendere l’informativa su tali trattamenti e, dove necessario, acquisire il consenso ed eventualmente effettuare la notificazione al Garante (ad es., se intende effettuare attività di profilazione).

A nostro avviso, per gli stessi motivi indicati con riferimento ai CMS hosted, tali adempimenti devono riguardare i soli trattamenti di dati personali effettuati direttamente dai gestori e non anche quelli (quali i pulsanti social e sezioni del sito affidate alla gestione di terze parti) che ricadono in capo ad altri soggetti (fatto salvo, eventualmente, l’inserimento di un cenno nella propria informativa circa la presenza di tali trattamenti).

Conclusione: coloro che gestiscono in proprio piattaforme CMS e siti web gestiti in proprio, devono porre in essere gli adempimenti relativi alla gestione di cookie (informativa e consenso e, nei soli casi di profilazione degli utenti fatta direttamente da loro, alla notificazione al Garante).

⇑ torna all’inizio ⇑

4. I pulsanti “social”

Un breve accenno ai pulsanti “social” di condivisione presenti su un blog e ai relativi trattamenti di dati personali (sui quali torneremo): essi sono sicuramente al di fuori della portata degli autori del blog stesso e ricadono sicuramente in capo al fornitore del servizio di destinazione (Twitter, Facebook, Youtube, Vimeo, Google+, ecc.) e – a seconda dei casi – anche nella sfera di competenza del gestore della piattaforma CMS (nel caso di WordPress.com, in capo ad Automattic) o dell’autore del widget/plugin eventualmente utilizzati per gestire tali contenuti (se l’autore è diverso dal fornitore del servizio e se il suo funzionamento comporta il trattamento di dati da parte dell’autore stesso).
Pulsanti_socialNon bisogna dimenticare, infatti, che le informative relative ai servizi offerti dai fornitori di piattaforme social (Youtube, Twitter, Vimeo, Facebook, Google+, ecc.) dovrebbero già essere state rese dai medesimi fornitori all’atto della registrazione a tali servizi e l’eventuale omissione di tale adempimento ricade nell’alveo della loro sfera di responsabilità (come anche l’acquisizione dei consensi necessari per determinati trattamenti).

Per oggi finiamo qui, attendiamo vostre domande e commenti. Prossimamente integreremo l’articolo con altri casi ed esempi.


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Annunci

36 pensieri su “#cookielaw: the day after (v. 0.9)

  1. “di default i cookie “non necessari” dovrebbero essere disabilitati e che dovrebbe essere data comunque la possibilità di accedere al sito/servizio anche se non viene consentito il loro utilizzo)”: questo vuol dire che bisognerebbe avere sul proprio sito il blocco preventivo dei cookie?
    Le informative (brevi ed estese) un semplice blogger “ospitato” riesce a inserirle, il blocco preventivo no. Ho dei blog su Blogger e WordPress (e su Tumbrl, ma leggo che essendo stanziato in USA sarebbe estraneo alle leggi europee: è così?), ho utilizzato Chrome, l’addon Ghostery e anche un servizio come WebCookies.org per cercare di capire quali cookie venissero installati al primo accesso, e mi sembra che oltre ai cookie tecnici ci siano anche quelli dei pulsanti social (su WordPress anche di Gravatar).
    Inoltre: usando diversi metodi per identificare i cookie mi sembra che non ci sia unanimità, ed è anche difficile capire quali sono quelli tecnici necessari solo per la comunicazione e gli altri.

    Mi piace

    • La domanda a cui devi rispondere non è soltanto se il tuo “sito” utilizza cookie non necessari ma:
      1) se sei tu a gestire questi cookie oppure
      2) se li gestisce la piattaforma che stai utilizzando.
      Nel primo caso ti devi preoccupare direttamente degli adempimenti relativi ai cookie e, per i soli cookie non necessari (tipo quelli di profilazione), acquisire il consenso dell’utente prima del loro utilizzo.
      Nel secondo caso, che è quello dei “blog ospitati”, siccome la gestione dei cookie esula dalla tua sfera di azione (tecnicamente vuol dire che non sei titolare dei trattamenti effettuati tramite quei cookie), ti dovrai preoccupare solamente di inserire nella tua informativa – da dare volendo anche con modalità tradizionali, quindi non è necessario il banner – l’avviso che il il gestore della “piattaforma blog” usa cookie e il link all’informativa del gestore stesso.

      Mi piace

      • Molte grazie, è quello che avevo capito anche io fino a poco tempo fa, ma in giro ho letto anche opinioni che interpretano l’articolo 122 in maniera molto restrittiva (riversando sul titolare del blog l’onere di bloccarlo preventivamente).
        Un’altra domanda: nel caso dei siti che dovessero non essere in regola con la legge è previsto un avviso prima dell’arrivo della multa? Cioè è scritto chiaramente nella legge che prima si abbia la possibilità di sistemare le cose?

        Mi piace

        • Prima di irrogare una qualsiasi sanzione l’Ufficio del Garante è tenuto ad effettuare una specifica istruttoria, chiedendo informazioni al titolare o al responsabile del trattamento. Nel momento in cui viene avviata questa istruttoria è però già tardi per “sistemare le cose” perché la violazione – ove presente – si è già verificata.
          Qualunque gestore di blog “amatoriale” che dovesse ricevere richieste di chiarimenti o contestazioni dal Garante per questa storia dei cookie, è pregato di rivolgersi privatamente al nostro blog, gli daremo volentieri e gratuitamente una mano.

          Mi piace

  2. ho un vecchio sito web personale (che era) hostato su “spazioinwind” (si parla dei primi anni 2000), che poi è passato sotto gestione “libero.it” e di cui non ho più le credenziali di accesso per poterlo cancellare (non mi interessa più mantenerlo online). Non faccio uso di cookies di “prima parte”, ma solo eventualmente di cookies di “terze parti” derivanti dall’uso della piattaforma hw/webserver. Secondo te che cosa mi conviene fare?

    Mi piace

    • In linea teorica il massimo della diligenza che ti può essere chiesta consiste nell’inserire nella tua informativa quello che hai scritto nel commento, ossia che non fai “”uso di cookies di “prima parte”, ma solo eventualmente di cookies di “terze parti” derivanti dall’uso della piattaforma hw/webserver””.
      Se riesci a recuperare le credenziali, al posto tuo farei così come ti ho detto.
      In caso contrario, ad impossibilia nemo tenetur.

      Mi piace

      • grazie per la risposta, se riesco vorrei cancellarlo, in caso contrario spero che non cada nelle maglie del garante!

        non è affatto semplice anche capire a quale indirizzo di libero.it scrivere per avere chiarimenti

        Liked by 1 persona

  3. OTTIMO articolo di approfondimento! Congratulazioni!
    Concordo su quasi tutto, ma non mi convince quando viene detto che, per i blog ospitati su piattaforma WP.com gli autori non trattano direttamente i dati personali di chi fruisce dei contenuti del blog stesso ma si affidano, al pari degli altri utenti del blog, ai servizi resi – e ai trattamenti effettuati – dal gestore della piattaforma. Ciò non corrisponde propriamente al vero nel caso, per esempio, di contact-forms o di e-mail followers: in questo caso vengono acquisiti e gestiti alcuni dati personali. O, ancora, se si utilizzano i sondaggi polldaddy, vengono acquisiti gli indirizzi IP degli utenti che rispondono.
    Io sono uno di quelli che, per eccesso di zelo, ho inserito il banner con la dicitura che “il blog potrebbe utilizzare cookies”. Il problema sta infatti che non solo non gestiamo i cookies, ma nemmeno sappiamo di quali cookies si tratti (in particolare quelli di profilazione” per i quali il banner è obbligatorio). Nei forum che si sono alimentati negli ultimi giorni su WP ci siamo sbattuti inutilmente per cercare di creare un surrogato di banner, e tutto ciò che siamo riusciti a fare è visibile nei ns. blog. Non potendo utilizzare java-script, il banner NON può scomparire su impulso dell’utente, ma ritengo che non sia questo il problema, data la previsione che il banner possa scomparire SOLTANTO dietro un comportamento attivo in tal senso dell’utente, ma non viene prescritto che il banner debba scomparire per forza. Puoi dare un’occhiata e dirmi cosa ne pensi?
    http://rinnovamentolivorno.wordpress.com
    GRAZIE.

    Mi piace

    • Ciao Pierpaolo.
      Ti ringrazio per i complimenti, ma non sono sufficienti per esimermi dal dirti che… il banner sul tuo blog, scusa se te lo dico, esteticamente fa pena 😉
      Toglilo, per favore, non è necessario!
      La tua vecchia informativa privacy era più che sufficiente, io l’avrei integrata solo col paragrafo che hai messo in quella sui cookie dove giustamente rimandi all’informativa privacy di Automattic.
      Infatti se non puoi sapere se e quali cookie utilizza il gestore della piattaforma dei cui servizi usufruisci, non ti può essere legittimamente imposto di fornire informazioni che non hai e di gestire cose di cui non disponi.
      Circa i contact form, le mailing list, ecc., questa roba esisteva ben prima della disciplina sui cookie e la relativa informativa avresti già dovuto darla. Sul nostro blog, ad esempio, per l’iscrizione degli utenti tramite email abbiamo inserito direttamente nel form di iscrizione una sintetica informativa che recita:
      “Inserisci il tuo indirizzo email per seguire questo blog e ricevere notifiche di nuovi messaggi via e-mail. Ai sensi dell’art. 13 del Codice privacy, si informa che l’indirizzo email sarà utilizzato esclusivamente per comunicazioni non commerciali relative agli aggiornamenti del blog”.
      Questo è più che sufficiente se con gli indirizzi email degli iscritti non intendi fare altro…
      Questa famigerata #cookielaw ha spaventato inutilmente tanta gente e c’è qualcuno che ha addirittura chiuso il blog per paura di sanzioni! NON FATELO, ci difenderemo insieme, contattatemi ma non chiudete!

      Mi piace

      • Grazie dei consigli. Per ora il banner lo lascio, lo so che è brutto, infatti proprio mentre mi stavi scrivendo l’ho sostituito con un footer. Concordo con quanto scrivi, anche secondo me ci siamo spaventati per nulla. Poi c’è da tener presente un’altra cosa: le sanzioni del Garante in genere non vengono applicate d’ufficio, ma dietro segnalazione di terzi. Speriamo di non trovare qualche zelante stronzetto!! GRAZIE ancora. Saluti.

        Mi piace

  4. Mi sorgono alcuni dubbi,
    nel caso in cui il mio sito non utilizzi cookie di profilazione, ma mostri comunque degli elementi terzi nei frame (es.youtube, google maps ecc) che fanno uso di cookie, l’onere dell’informativa e del consenso su chi ricade?
    Inoltre, cosa cambia dalla pubblicazione di un post su facebook alla pubblicazione dello stesso post su wordpress.com?
    Ciao e grazie!

    Mi piace

    • Riccardo, hai colto nel segno.
      Non c’è quasi differenza tra una pagina pubblica di facebook e un blog “gestito” su WordPress.com.
      Come ho cercato di spiegare nei due articoli, in gestori di blog non sono – a mio parere – responsabili di ciò che viene fatto attraverso gli elementi presenti sulle pagine del proprio blog ma gestiti dalle terze parti (i trattamenti di dati effettuati attraverso i “frame di terzi” ricadono nella sfera esclusiva di responsabilità di tali terzi, sia con riferimento all’informativa che al consenso che alla notificazione). Il gestore del blog al più per scrupolo può inserire nella propria informativa alcune indicazioni sulla presenza di tali elementi gestiti da terze parti, ma non può esserne responsabile.

      Mi piace

      • Esatto, anche io la avevo capita così. ma allora, sempre rimanendo su frame di terze parti, e quindi trattandosi di cookie di terze parti, perché l’onere di informare gli utenti ricade su di me???!!! Questo discorso credo sia la madre di tutti i problemi. Infatti, se io non utilizzo frame non devo informare nessuno di nulla. Sono bottoni e video che mi creano problemi. Ma nell’epoca della condivisione e dei social network come fa un gestore di sito a tenere conto di tutto quello che viene condiviso sul proprio sito? Che ne so che un utente mi ficca in un commento un frame snapchat, piuttosto che qualcos’altro di cui non ho dichiarato provenienza?

        Mi piace

        • Riccardo, hai centrato il punto e questo è il principale errore commesso dal Garante nelle proprie linee guida. Come ho già scritto ognuno può essere ritenuto responsabile solamente di ciò che rientra nella sua sfera di “azione e controllo”. Il massimo della diligenza che ti può essere chiesta consiste nell’inserire nella tua informativa che tu non fai uso di cookies di “prima parte” e che la piattaforma da te non gestita può anche far uso di cookies di “terze parti”, sui quali tu non hai controlli.
          Vale in questo caso il brocardo “ad impossibilia nemo tenetur”.

          Mi piace

  5. Hosting americano (extra UE) e dominio .it. Tecnicamente il luogo del trattamento dei dati personali è fuori dalla CE, dunque immagino non ci sia un obbligo di adozione della normativa. Mi sbaglio?
    Ciao,
    Emanuele

    Mi piace

    • Ciao Emanuele,
      purtroppo il fatto che il sito sia ospitato fuori dall’UE non implica che l’intero trattamento venga effettuato al di fuori dell’UE e, in particolare, quello relativo ai cookie comporta anche la memorizzazione sul dispositivo dell’utente di uno o più file di testo (i cookie, appunto).
      Queste disposizioni – in base alle più recenti interpretazioni giurisprudenziali della normativa europea – si applicano quando il trattamento coinvolge interessati (utenti) o dispositivi situati sul territorio dell’UE, indipendentemente da dove si trova il server remoto che in concreto effettua le operazioni.
      Quindi anche nel tuo caso (dominio .it ospitato su Amazon WS o analoghi) devi conformarti alla disciplina in questione se il tuo servizio coinvolge utenti UE (questo tema è molto complesso e dibattuto e secondo me le soluzioni attuali non sono ancora mature; pensa, ad esempio, che se il tuo sito viene visualizzato anche da utenti francesi o tedeschi, ecc. e al caso in cui ognuna delle autorità privacy di quei paesi si inventasse regole sue… in teoria, saresti tenuto ad osservarle!! Ma questa è un’altra storia, per ora limitiamoci alla creatività del nostro Garante…).
      Chiaramente, in base a quanto spiegato nei nostri articoli, solo se sei tu che usi cookie non indispensabili al funzionamento del servizio (ad esempio, cookie di profilazione) sei tenuto a inserire il banner e tutto il resto.

      Mi piace

  6. Scusate, io vorrei un consiglio di sostanza: finora ho sempre visto Privacy Policy più o meno scopiazzate gli uni dagli altri, specie nei siti amatoriali, ma anche in qualli di alucne agenzie di webdesign; in questi giorni anche molti professionisti del web si stanno affidando a servizi esterni che costruiscono l’informativa in modo semiautomatico…ma i costi non sono banali, specie se uno ha tanti progetti perosnali aperti e non realizza siti per i clienti.
    Voi cosa suggerite: un testo scritto in proprio? VEdo che siti anche autorevoli hanno provacy policy e cookie policy scritte in modo comprensibile, sintetiche, scritte da “un umano”; ma bisogna temere di dimneticare qualcosa?
    grazie!!!

    Mi piace

    • Un testo scritto in modo comprensibile (o umano che dir si voglia) è la cosa migliore. Nell’informativa bisogna scrivere solo quello che effettivamente e l’uso di formule preconfezionate spesso comporta l’inserimento di trattamenti che in realtà non vengono fatti. Se vuoi, puoi mandarci in privato una bozza o il link al tuo sito e gli daremo uno sguardo, senza impegno.

      Mi piace

      • Per il momento, preso un po’ dallo, ho messo tutti i miei siti (che hanno probabilmente una visita per dito della mano) offline, perchè in questi giorni volevo trovare una soluzione..anche perchè ci son oalcuni siti fatti gratis per amici e un paio di lavoretti semi-profesisonali, e mi piacerebbe trovare una soluzione seria sia per me sia da proporre in futuro per eventuali clienti.
        Comunque volentieri possiamo sentirci in privato, come vi contatto?
        grazie mille

        Liked by 1 persona

  7. Innanzitutto complimenti per il blog e per gli articoli approfonditi!
    Per riassumere e avere conferma di quello che sto per fare 🙂 vi chiedo: ho aperto da pochi mesi (purtroppo per me poco prima del temibile 2 giugno…) un blog ospitato su piattaforma WordPress.com, quindi dovrò solo creare una privacy policy che però non mi citi come titolare del trattamento dei dati ma che spieghi come il tutto sia gestito da Automattic con rimando alla loro privacy policy, giusto? Devo quindi evitare di sbrodolarmi nei vari “Titolare…”, “Finalità del trattamento…”, “Modalità…”?
    E la stessa cosa vale per i cookie mi sembra di capire, nel senso che gli unici che potrebbero installarsi sono relativi ai pulsanti social nei commenti, per cui posso anche qui linkare alle relative privacy policy delle terze parti (Facebook, Twitter, ecc.)?

    Liked by 1 persona

    • Grazie mille per i complimenti!
      Credo che, trovandoti nella nostra stessa situazione, la nostra informativa privacy possa essere una buona base di partenza, magari sfrondandola di alcune parti che abbiamo inserito per finalità “pseudo-didattiche”: https://lamiaprivacy.wordpress.com/benvenuti/
      Il Garante – tuttora – non ha fatto chiarezza ma la nostra informativa è conforme alla legislazione europea e nazionale (e se ne infischia del provvedimento del Garante nelle parti in cui lo riteniamo illegittimo).
      Se vuoi puoi provare ad abbozzare la tua e a mandarcela via email [honeybadger(chiocciola)virgilio.it] e gli daremo uno sguardo. Ti suggeriremo – controvoglia 😉 – anche eventuali modifiche necessarie per adempiere a quelle prescrizioni del Garante tuttora difformi dalla normativa europea e nazionale.

      Mi piace

      • Grazie! L’ho già abbozzata e ritoccata tenendo presente le vostre indicazioni, ve la mando volentieri per sapere cosa ne pensate.
        Cosa intendi per eventuali modifiche, ti riferisci al banner?

        Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...