#cookielaw: esame senza sconti degli ultimi “chiarimenti” del Garante

Torniamo per la terza volta in pochi giorni ad occuparci della questione della c.d. #cookielaw, su cui ci siamo soffermati per gli aspetti prettamente giuridici nell’articolo Cookie: la disciplina applicabile e le criticità del provvedimento del Garante e sugli aspetti più pratici in #cookielaw: the day after (v. 0.9). Il malcontento da parte soprattutto dei piccoli blogger amatoriali ha dato origine a proteste plateali e petizioni, ma il Garante non ha fatto marcia indietro né ha corretto l’impostazione del proprio intervento. Come traspare dal titolo, di seguito troverete un esame puntuale e non particolarmente benevolo dell’operato del Garante sulla questione #cookielaw e, in particolare, dei suoi ultimi (tardivi) “chiarimenti”. Ma esistono modi semplici e chiari per essere conformi alla disciplina europea e nazionale, come dimostrano gli esempi (taluni anche autorevoli) che vi presentiamo.

Premessa L’articolo propone delle impressioni iniziali, poi si addentra nell’esame puntuale dei “chiarimenti” del Garante, successivamente propone un esempio di banner “italiano” conforme alla disciplina europea e nazionale e, infine, si chiude con le nostre considerazioni finali: Le nostre impressioni Esame puntuale dei chiarimenti ambito di applicazione utilizzo di cookie analitici di terze parti uso di piattaforme che installano cookie soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte modalità di acquisizione del consenso applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU notificazione in caso di realizzazione di più siti web In particolare evidenza Ma era proprio così difficile? Conclusioni

Le nostre impressioni ⇑ La situazione in cui ci troviamo è analoga a quella rappresentata da questa famosa vignetta, in cui il povero Internet Explorer viene raffigurato in mezzo agli altri browser come il più lento rispetto a tutti i concorrenti. Abbiamo già detto che il nostro legislatore nazionale ha impiegato tre anni per recepire la citata direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, col decreto legislativo n. 69 del 2012 (che ha modificato le pertinenti disposizioni del Codice in materia di protezione dei dati personali). E’ evidente che l’intempestività del recepimento, in un campo dove la componente tecnologica e la sua rapida evoluzione assumono un ruolo centrale, comporta di per sé una difficoltà a modellare disposizioni concepite in epoche “remote” su una realtà in gran parte mutata. C’è da dire che nel resto d’Europa se la passano generalmente meglio ma non troppo, come dimostra questo studio di DLA Piper intitolato EU law on cookies che, seppur datato (settembre 2014), rappresenta un quadro d’insieme sconfortante sotto il profilo soprattutto dell’eterogeneità degli approcci seguiti. Ciononostante resta il fatto che l’Autorità nazionale di protezione dati non sia stata in grado, a nostro avviso, di sfruttare il tempo avuto a disposizione per operare una concreta semplificazione della materia – pur rimanendo nell’ambito dello spazio di manovra consentitole dalle vigenti disposizioni – realizzando invece un intervento che ha finito per semplificare l’attività di alcune grandi reti pubblicitarie riversando i relativi oneri informativi e di “mediazione” nella raccolta del consenso in capo ad una costellazione di piccoli gestori. Inoltre l’Autorità non si è impegnata abbastanza (o, comunque, il risultato finale è stato percepito come disastroso) nel rendere agevolmente comprensibile, con un linguaggio accessibile anche ai non giuristi, il da farsi ai destinatari finali degli adempimenti previsti dalla disciplina in questione, gettando nel caos (come abbiamo avuto modo tutti di osservare sul web) una miriade di blogger e piccoli gestori, alcuni dei quali hanno finito addirittura per chiudere i propri spazi sul web per paura delle possibili pesanti sanzioni previste. L’ultimo chiarimento ne è la prova lampante: spiegare o chiarire un provvedimento è un po’ come spiegare una barzelletta, vuol dire che la barzelletta non faceva ridere oppure è stata raccontata male. Infatti, se è vero che la funzione principale di questo genere di provvedimenti del Garante è quella di regolare un determinato settore (ed è quindi naturale che vengano redatti in linguaggio giuridico), è altrettanto vero che, specialmente quando i destinatari delle disposizioni sono i soggetti più disparati e quindi non necessariamente dotati di competenze giuridiche, incombe sull’Autorità l’onere di esprimersi in una forma più agevolmente comprensibile a tale platea di soggetti, in linea con il compito attribuitole per legge di “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati” (art. 154, comma 1, lettera h), del Codice). Quindi il provvedimento doveva essere principalmente lo strumento per far capire a tutti i destinatari delle norme, soprattutto a quelli meno “attrezzati” da un punto di vista giuridico (come i blogger e i piccoli gestori), come comportarsi per conformarsi alla vigente disciplina dei cookie; in più, come abbiamo già detto, in questo caso specifico il provvedimento avrebbe dovuto contenere solamente una semplificazione della modalità per fornire l’informativa agli interessati (non anche, come invece è avvenuto, quella relativa al consenso, che tanti problemi sta creando).

Esame puntuale dei chiarimenti ⇑

Chiarimenti in merito all’attuazione della normativa in materia di cookie Sono pervenute al Garante numerose richieste – provenienti in particolare da piccoli gestori – concernenti alcuni punti del provvedimento in materia di cookie dell’8 maggio 2014. Il Garante, considerata l’importanza e la delicatezza della tematica, che ha l’obiettivo principale di tutelare gli utenti da profilazioni effettuate a loro insaputa sulla base dei loro comportamenti in rete, nel ribadire quanto già disposto, ritiene opportuno fornire alcuni chiarimenti.

L’impressione che abbiamo avuto è proprio che il Garante non abbia adeguatamente considerato fin dall’origine l’evidente impatto della regolamentazione su una platea innumerevole (perché non valutata nella sua consistenza numerica) di soggetti, costituita appunto da noi “piccoli gestori”. Il Garante comunque non fa marcia indietro e, quasi a voler confermare innanzitutto a se stesso di non avere il benché minimo dubbio, ribadisce quanto già disposto: ma perché? O come ha detto qualcuno, che male abbiamo fatto? Possibile che non si sia trovato un modo concreto per venire incontro alle legittime richieste di operare una effettiva semplificazione, o quantomeno di rimuovere le artificiose complicazioni introdotte dal provvedimento (in particolare sulla gestione dei cookie di terzi), da più parti avanzate?

Preliminarmente, occorre rappresentare che gli obblighi in materia di cookie derivano da una normativa europea da ultimo modificata nel 2009 – e recepita in Italia con un decreto del 2012 – che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo. Il provvedimento del Garante, la cui definitiva adozione è stata preceduta da una consultazione pubblica, ha inteso semplificare gli adempimenti previsti dalla norma ed ha lasciato ai destinatari un anno di tempo per adeguarsi.

Il Garante cerca di respingere le accuse mossegli da più parti sulla gestione della vicenda #cookielaw affermando in sostanza che questa burocrazia “ce l’ha imposta l’Europa” e l’Autorità con il suo provvedimento ha solo cercato di semplificarci la vita, dandoci ben un anno di tempo per adeguarci! 😥 Ma chi sono i “consultati”? Qual è stato il loro apporto alla consultazione pubblica e quale invece è la porzione di responsabilità dell’Autorità? Una consultazione è pubblica nella sua interezza, non solo nella fase di suo avvio o nei comunicati propagandistici. Vorremmo quindi vedere pubblicati tutti i lavori preparatori di questo provvedimento, con l’esplicitazione degli intervenuti e dei relativi contributi. Dov’erano le associazioni di consumatori? E quelle dei piccoli operatori del web (sempre che ne esitano)? Gli esperti del mondo accademico e della ricerca? Insomma, tutti quei soggetti che ci si immagina partecipino a una consultazione attivata da un’autorevole Autorità indipendente.

1. Ambito di applicazione ⇑ Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

Per i cookie c.d. tecnici (definizione quantomeno approssimativa, come vedremo) basta l’informativa tradizionale (senza banner), e questo il nostro blog, insieme a tanti altri, aveva cercato da subito di spiegarlo ai meno ferrati in campo giuridico.

2. Utilizzo di cookie analitici di terze parti ⇑ Nell’ottica della semplificazione che l’Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).

Il Garante qui conferma un duplice errore quando, in un sol colpo: crea la categoria dei cookie tecnici, di cui la legge non parla poiché si riferisce invece ai cookie: “finalizzati unicamente ad effettuare la trasmissione di una comunicazione elettronica” oppure a “quelli strettamente necessari al fornitore di un servizio – esplicitamente richiesto dall’utente – per erogare tale servizio”, casistiche che andrebbero collocate nella più corretta definizione di cookie “indispensabili” e vi assimila anche i cookie analitici (vi risulta che i cookie analitici servano per effettuare la comunicazione elettronica o che siano strettamente necessari per fornire i servizi esplicitamente richiesti dall’utente?). Ma anche a volerci passare sopra, il Garante non spiega quale sarebbe logicamente e giuridicamente la differenza tra cookie analitici di prima parte e quelli di terze parti: perché i primi sarebbero cookie “tecnici” e gli altri no?

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

In questo passaggio la visione totalmente distorta della realtà da parte del Garante raggiunge il culmine. L’Autorità ci dice che se usiamo servizi analitici di terze parti: possiamo evitare la notificazione(il famigerato obolo dei 150 euro) e non richiedere il consenso (questo il Garante non lo dice espressamente, ma possiamo affermarlo con certezza poiché la notificazione e il consenso per questo tipo di cookie vanno di pari passo – di conseguenza non serve neanche il banner né il blocco preventivo dei cookie ma è sufficiente rendere l’informativa con modalità “ordinarie”) a condizione che la prima parte (il gestore del blog/sito) adottati tecniche di anonimizzazione dei dati (ad esempio mediante il mascheramento di unaparte degli indirizzi IP degli utenti) e… il piccolo e insignificante blogger vada da Google& C. e imponga loro di modificare le “condizioni generali del contratto” in modo da inserirvi espressamente l’impegno «della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano». Blogger vs Google Senza entrare nel merito della soluzione prospettata da Garante di anonimizzare, a cura o con la partecipazione attiva della prima parte, i dati con i quali viene effettuata la profilazione, ci limitiamo ad osservare che le tecniche di (reale) anonimizzazione dei dati sono purtroppo alla portata di pochi (usare le funzioni preconfezionate da Google & c. è un mero palliativo) e la loro effettiva efficacia dipende dalla concreta modalità di anonimizzazione rispetto al patrimonio informativo accessibile al soggetto che la pone in essere. Un’efficace anonimizzazione è un’attività complessa, nel realizzare la quale hanno talvolta fallito anche colossi del mondo digitale. L’esemplificazione per cui basterebbe non tenere conto di porzioni significative dell’indirizzo IP è sbagliata, laddove anche cancellando l’intero indirizzo IP (come ha fatto America Online nel 2006) non si garantisce l’anonimato! Circa la seconda condizione posta dal Garante, è di tutta evidenza come in questo settore le prime parti si trovino a dover accettare quelli che sono dei veri e propri contratti per adesione, nei quali i margini di azione della parte debole (nel nostro caso la prima parte) rispetto al proponente (il fornitore della rete pubblicitaria o il relativo intermediario) sono sostanzialmente nulli.

3. Uso di piattaforme che installano cookie ⇑ In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.

Siamo tutti convinti che debbano essere i gestori delle piattaforme a dover fare queste modifiche, ma ciò che il Garante non chiarisce è: chi risponde del mancato adeguamento medio tempore? Secondo il nostro parere, come abbiamo già manifestato e motivato logicamente e giuridicamente qui e qui, l’effettiva gestione dei cookie in questione e la relativa responsabilità fanno capo al gestore nella piattaforma, non al blogger o al gestore del sito.

4. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte ⇑ Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

Qui sembrava esserci una mezza apertura…

È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

… ma poi la storia finisce diversamente. Sull’argomento hanno già scritto criticamente in molti, tra cui segnalo l’ottima disamina contenuta in questo articolo di Bruno Saetta.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.

Di questo non avevamo mai dubitato, peccato però che nessuno oggigiorno utilizzi sistemi di questo genere, che risalgono all’epoca del web 1.0, a parte forse residuati web giunti fino a noi da quel lontano e felice periodo in cui le cose erano più semplici per tutti. Qualcuno sul web prova a riderci su.

Al riguardo, si coglie l’occasione per ribadire che le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.

Purtroppo anche in questo caso il Garante deve soffermarsi su questioni che avrebbero potuto essere chiarite fin dal principio; in effetti in questi giorni si è vista in giro gente che, forse spaventata dalla potenziale entità delle sanzioni, per sicurezza ha messo nell’informativa persino la marca dei biscotti che mangia a colazione 😉

Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.

Su questo non siamo e non saremo mai d’accordo. Prima di tutto, che fine ha fatto la notificazione? Se il Garante dice che la prima parte in questo caso deve rendere l’informativa (tramite banner??) e acquisire il consenso vuol dire che ritiene che effettui attività di profilazione; ma in tal caso la prima parte dovrebbe anche notificare l’attività di profilazione. Altrimenti, se la prima parte non profila (e quindi non deve notificare), allora non deve neanche acquisire il consenso… A quando il chiarimento del chiarimento? Al riguardo, oltre alle obiezioni avanzate sul punto dall’articolo di Bruno Saetta, che ho già citato e al quale faccio rimando anche per le soluzioni tecnicamente praticabili per venire fuori da questo guazzabuglio, quello che vogliamo proporre è un approccio totalmente differente che si concentra su chi è l’effettivo titolare dell’«attività di profilazione a mezzo cookie», della quale il sito/blog è tante volte un mero spettatore o al più un utente. Infatti la profilazione e la pubblicità comportamentale (sua “gemella siamese”) sono attività complesse per effettuare le quali è necessario disporre, oltre che di un’adeguata infrastruttura, di una quantità rilevante di informazioni che, chiaramente, non sono necessariamente contenute nel cookie ma per le quali il cookie stesso è il veicolo che consente al profilatore di conoscere e riconoscere l’utente, riuscendo a correlare tra loro le molteplici informazioni a propria disposizione (di cui quelle memorizzate nel cookie costituiscono spesso solo una piccola parte, se non un mero identificatore) e sulla base di queste ad individuare un profilo dell’utente, generalmente utilizzato per somministrargli pubblicità mirata. La profilazione si fa così e non la fa di certo il sitarello o il bloggettino. Tutte le elaborazioni, tutte le attività di effettiva profilazione, non vengono svolte dai gestori dei siti ma da coloro – i profilatori veri – di cui i gestori dei siti sono a loro volta clienti poiché “vendono” a tali soggetti, o ai loro partner commerciali, lo spazio necessario per ospitare pubblicità mirata. Il Garante questo dovrebbe saperlo perché ha contribuito insieme agli altri Garanti europei a redigere il Parere 2/2010 “sulla pubblicità comportamentale online”, di cui abbiamo già parlato, in cui l’attività di profilazione legata alla pubblicità comportamentale è stata dettagliatamente esaminata in modo tecnico e completo. Qui si dice chiaramente che: «nell’ambito della pubblicità comportamentale, il cookie consentirà al fornitore di rete pubblicitaria di riconoscere un visitatore che ritorna su quel sito web o visita un qualsiasi altro sito web partner di quella rete pubblicitaria. Le visite ripetute consentiranno al fornitore di rete pubblicitaria di creare un profilo del visitatore, che sarà usato per la trasmissione di messaggi pubblicitari personalizzati. Poiché i tracking cookie sono collocati da un soggetto terzo, diverso dal web server che pubblica il contenuto principale della pagina web (ossia l’editore), essi sono spesso definiti “cookie di terzi”»; «le reti pubblicitarie costruiscono i profili predittivi combinando tecniche di tracciamento, tecnologie basate sui cookie e software di estrapolazione dati. Il sesso e la fascia di età possono essere dedotti dall’analisi delle pagine visitate dall’interessato e dai messaggi pubblicitari da cui è attratto. Il profilo basato sull’analisi dei cookie archiviati nell’apparecchiatura terminale dell’interessato può essere arricchito con dati aggregati dedotti dal comportamento di interessati che mostrano tratti comportamentali analoghi in altri contesti. I sistemi di pubblicità online spesso classificano gli interessati in segmenti a seconda delle loro aree di interesse o delle categorie di marketing (per esempio, “giardinaggio”, “cura del corpo”, “elettronica”, ecc)». Siccome “i tracking cookie sono collocati da un soggetto terzo, diverso dal web server che pubblica il contenuto principale della pagina web (ossia l’editore)”, come può essere quest’ultimo responsabile della loro gestione (rendere l’informativa e acquisire il consenso)? Solo chi fa queste cose, ossia le reti pubblicitarie, si può correttamente dire che faccia attività di profilazione. I blog e i siti web, pur essendo il veicolo attraverso il quale quest’attività viene svolta, non hanno in essa – salvo possibili limitate eccezioni – alcun ruolo attivo. Dire che inserire nelle proprie pagine web il codice necessario per ospitare pubblicità mirata rende automaticamente tale soggetto un profilatore è come dire che chi affitta dei locali ad uso ufficio ad un avvocato diventa automaticamente avvocato (e deve pure pagare la tassa di iscrizione all’ordine, leggasi notificazione al Garante)! 😉 Quindi la nostra posizione è che si debba trovare un modo chiaro e concreto per escludere sitarelli e bloggettini da adempimenti inutili, onerosi e vessatori come quelli individuati dal Garante. Nonostante la confusione, una cosa ormai è certa anche per il Garante: i siti che ospitano solo pubblicità generalista e non mirata (ad esempio, tutti i blog ospitati gratuitamente su WordPress.com) che non hanno materialmente la possibilità di usare cookie di profilazione, non devono inserire banner o bloccare alcunché ma per tali blog “ospitati” è sufficiente, come ho consigliato già nei miei precedenti articoli, di inserire nella propria informativa tradizionale il link a quella del proprio gestore di CMS (content management system; ad esempio a quella predisposta da Automattic per il proprio servizio WordPress.com).

5. Modalità di acquisizione del consenso ⇑ Come noto, nel Provvedimento è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie” (cfr. punto 1, lett. e), del dispositivo).Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.

Il Garante mantenendo questa posizione conferma di voler andare in controtendenza e in contrasto con i principi generali relativi alle modalità di acquisizione del consenso e con quelli specificamente individuati con riferimento ai cookie, di cui abbiamo già detto qui ma sulle quali dobbiamo necessariamente tornare. Come già detto nel precedente articolo, nel Documento di lavoro 02/2013 recante “indicazioni su come ottenere il consenso per i cookie” del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali (Gruppo di lavoro art. 29) si legge, tra l’altro, che: «Il procedimento attraverso il quale gli utenti possono manifestare il loro consenso per i cookie deve passare attraverso un’azione positiva o altri comportamenti attivi e purché siano stati pienamente informati di ciò che tale azione rappresenta. Pertanto gli utenti possono manifestare il proprio consenso sia facendo click su un pulsante o un link oppure barrando una casella all’interno o vicino allo spazio in cui viene fornita l’informativa (se viene eseguita l’azione congiuntamente al momento in cui viene fornita l’informativa sull’uso dei cookie) o ponendo in essere qualsiasi altro comportamento attivo da cui un gestore di sito web può desumere inequivocabilmente che ciò rappresenti la manifestazione di un consenso specifico e informato. Per comportamento attivo si intende un’azione che l’utente può eseguire, in genere un’azione che si basa su una richiesta tracciabile dell’utente verso il sito web, come ad esempio cliccare su un link, su un’immagine o su altro contenuto presente sulla pagina di avvio del sito web, ecc. Le forme di queste tipologie di azioni richieste agli utenti devono essere tali che il gestore del sito web può essere sicuro che l’utente abbia attivamente richiesto di impegnarsi con il sito web e che lo faccia dunque effettivamente esprimendo il consenso all’uso dei cookie (supponendo che l’utente sia completamente informato) e che l’azione sia un indicatore attivo di tale consenso». Affinché il gestore del sito web possa essere sicuro che l’utente abbia voluto esprimere con una determinata azione il proprio consenso all’utilizzo dei cookie è necessario che l’utente abbia compiuto un’azione che inequivocabilmente indichi tale consenso e, a parere di chi scrive e del Gruppo di lavoro art. 29, uno scroll verso il basso o un click in una qualsiasi zona del sito non può costituire una valida accettazione dell’uso dei cookie poiché azioni come quelle in questione possono essere eseguite anche inconsapevolmente o per altri motivi o senza aver letto il banner di avviso contenente l’informativa sintetica. Per avere un esempio pratico del modo corretto di porre in essere gli adempimenti in questione può essere utile dare un’occhiata a come hanno adempiuto ai medesimi obblighi le istituzioni dell’Unione europea, a partire da quella che ha approvato la citata direttiva 2009/136/CE da cui deriva la c.d. cookielaw. Infatti il sito del Parlamento europeo propone un banner che richiede di accettare o rifiutare i cookie ovvero fornisce ulteriori informazioni. Se l’utente non effettua una scelta, il banner rimane visualizzato anche se si naviga su altre pagine del sito, finché l’utente non esprime il proprio consenso o diniego all’utilizzo dei cookie cliccando sulle rispettive caselle: nessuno scroll verso il basso o click chissà dove viene considerato equivalente all’espressione del consenso. Ma il “Garante semplificatore” da questo orecchio non vuole proprio sentirci… Leggere l’informativa dettagliata sui cookie del sito del Parlamento europeo può essere molto utile, soprattutto per capire il tipo di rapporto che c’è tra la prima parte (il Parlamenti UE) e i gestori di cookie di terze parti, compresi quelli analitici. Ad esempio, per i classici cookie relativi ai servizi Google analytics il Parlamento UE si limita ad indicare le modalità per procedere alla loro disattivazione mediante l’utilizzo dell’apposito modulo complementare per i principali browser realizzato dallo stesso gestore (Google). Altro spunto interessante riguarda la sezione dedicata ad un’altra particolare categoria di cookie di terze parti, ossia quelli utilizzati dai cosiddetti pulsanti social. Ciò conferma tutto quello che avevamo affermato fin dal principio nei nostri precedenti articoli, ovvero che tutte le tipologie di cookie di terze parti vengono considerate di pertinenza dei relativi gestori e il Parlamento UE, lungi dal bloccarne preventivamente l’utilizzo (o anche a posteriori), si limita a rimandare alle informative fornite da tali gestori terzi e ai sistemi da essi individuati per la gestione del relativo consenso.

6. Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU ⇑ In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).

Chi segue la materia della protezione dei dati personali sa che queste disposizioni – anche in base alle più recenti interpretazioni giurisprudenziali della normativa europea – si applicano in tutti i casi in cui il trattamento coinvolge interessati (utenti) o dispositivi situati sul territorio dell’UE, indipendentemente dal luogo in cui risiede il titolare del trattamento o nel quale si trova il server remoto che in concreto effettua le operazioni. Abbiamo già detto più volte che, a nostro parere, quella indicata dal Garante nel suo provvedimento e in questi successivi chiarimenti è un’interpretazione alquanto peculiare della disciplina europea e nazionale sui cookie che, invece di semplificare, in tanti casi complica inutilmente la vita a utenti e gestori senza effettivi benefici in termini di protezione dei dati personali. Non esiste ancora uno studio a livello europeo aggiornato e completo sullo stato di applicazione di questa disciplina nei vari Stati membri né sulle differenze applicative tra i vari Paesi. Ma cosa potrebbe succedere se ciascuna authority adottasse misure leggermente diverse? Il gestore di un sito in Italia è sicuramente tenuto a rispettare la disciplina vigente nel nostro Paese ma, estendendo il ragionamento che scaturisce dalla suddetta corretta affermazione del Garante, il gestore dovrebbe rispettare anche quelle vigenti nei diversi paesi di provenienza degli utenti che accedono al proprio sito. Ci pensate? Quindi se il sito in questione fosse utilizzato anche da utenti di altri Paesi UE, ad esempio da utenti francesi o tedeschi, ecc., e se ciascuna delle autorità privacy di quei paesi si inventasse regole sue, più o meno aderenti alla direttiva 2009/136/CE ma ognuna caratterizzata da qualche “frivolezza”, cosa dovrebbe fare il povero blogger che, in teoria, sarebbe tenuto a conoscerle ed osservarle tutte? Ma questa è un’altra storia, per ora limitiamoci alle questioni che più da vicino ci interessano. Ci troviamo, infatti, di fronte al tipico esempio della “frammentazione regolamentare” causata dalla mancanza di una disciplina europea direttamente applicabile ai singoli Stati e del modo in cui una singola autorità nazionale di protezione dati può distorcere la portata di una disposizione di legge con un’interpretazione non conforme al dettato normativo e alla disciplina europea da cui la legge nazionale promana. Questo è proprio il tipo di criticità cui il nuovo regolamento in materia di protezione dei dati personali intende porre rimedio, riducendo lo spazio di manovra attribuito agli stati membri in fase di recepimento delle direttive europee, e quello di successiva “integrazione della normazione” attualmente lasciato alle singole autorità nazionali, a favore di un’applicazione più uniforme sul territorio dell’Unione europea della disciplina in materia di protezione dei dati personali. Per altro verso, quello dell’applicazione della disciplina di protezione dati europea al di fuori dell’UE è un tema molto complesso e dibattuto e secondo noi le soluzioni attuali non sono ancora mature; in futuro bisognerà individuare un modo diverso per approcciare a livello normativo tematiche come questa, distinguendo, ad esempio, tra operatori “multinazionali per natura” e operatori “accidentalmente multinazionali” e pensare misure distinte per affrontare i due diversi casi.

7. Notificazione in caso di realizzazione di più siti web ⇑ Si ritiene condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco. Ulteriori chiarimenti potranno essere forniti dall’Autorità a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire.

Sul fatto che un titolare possa effettuare un’unica notificazione per tutti i propri siti non c’erano dubbi, visto che l’art. 38 del possa lo dice chiaramente al comma 1. Bisogna anche sapere che «una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima», quindi, quando vi stancherete di profilare continuamente tutti i vostri utenti o se avrete intenzione di farlo diversamente, dovrete effettuare una nuova notificazione (ripetiamo, anche in caso di cessazione della profilazione). Infine, riportiamo di seguito la parte conclusiva e più schematica del “chiarimento” del Garante, evidenziando in verde le parti sicuramente corrette, in rosso quelle non corrette o inattuabili, in arancio quelle nelle quali il Garante ha dato una interpretazione non in linea con la direttiva europea e con il suo recepimento nazionale, in blu quelle in cui la posizione del Garante è imprecisa o approssimativa.

IN PARTICOLARE EVIDENZA ⇑ Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner. I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità. Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora: siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP); la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone. Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso. Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport). È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio. Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

Ma era proprio così difficile?⇑ Tutti abbiamo notato in questi giorni lo sforzo fatto dai gestori di servizi sul web per adeguarsi alla disciplina in questione ed è impressione diffusa che il risultato finale sia solamente fastidioso e in gran parte inutile.Eppure non mancano degli esempi positivi in cui i gestori sono riusciti a conformarsi alla normativa europea e nazionale in modo ordinato ed efficiente, come potete constatare voi stessi dalle seguenti immagini tratte da un “normalissimo” blog di ricette culinarie.All’atto della prima visita il sito propone questa informativa in forma di banner da cui l’utente, in un colpo solo, può apprendere che il sito utilizza non solo cookie necessari (per i quali non serve il consenso – da notare che si fa correttamente riferimento ai cookie “necessari” e non a quelli “tecnici”) ma anche cookie di altri cookie evidentemente non necessari (analitici, di profilazione, ecc.). L’utente può decidere di usare solo i cookie necessari, accettare tutti i tipi di cookie o visualizzare maggiori dettagli.Visualizzando gli ulteriori dettagli si riceve un’informativa estesa, in cui ci viene giustamente spiegato che “I cookie sono piccoli file di testo…” (anche se ormai dovrebbero saperlo quasi tutti) e che la legge afferma che si possono memorizzare sul dispositivo dell’utente solo quelli strettamente necessari per il funzionamento del sito, mentre per gli altri serve il consenso dell’utente e anche che il sito usa diversi tipi di cookie. Selezionando il tab “Dichiarazione per i cookie” si possono visualizzare, distinti per categoria, tutti i cookie utilizzati dal sito con l’indicazione per ciascuno di una sintetica descrizione dello scopo del cookie e delle relative tipologia e scadenza.Complimenti, 10 e lode! Semplice, pulito ed efficace.Anche qui nessuno scroll verso il basso o click chissà dove viene considerato equivalente all’espressione del consenso. Dopo aver visto diversi siti web che hanno adottato soluzioni analoghe a questa, viene da chiedersi se la “semplificazione” delle modalità di acquisizione del consenso proposta dal Garante fosse davvero necessaria oppure se l’intervento dell’Autorità non abbia avuto come principale effetto quello di aver contribuito involontariamente ad alimentare la confusione esistente sull’argomento.

Conclusioni⇑ Le vicende di questi giorni ci hanno spinto ad approfondire le possibili cause di quello che per primi abbiamo definito “proprio un bel pasticcio”! Il Garante ha voluto andare oltre il compito strettamente assegnatogli dalla legge (art. 122, comma 1, del Codice in materia di protezione dei dati personali) e, spinto forse dall’esigenza di proporsi all’opinione pubblica come soggetto incline alla semplificazione, ha prodotto all’atto pratico un’effettiva complicazione per tanti piccoli gestori. Sui problemi giuridici legati a questo approccio, realizzato tra l’altro attraverso un atto non avente natura prescrittiva per la parte relativa agli aspetti sul consenso, ci siamo già espressi nei nostri precedenti articoli (qui e qui).Alcuni giorni fa un rappresentante dell’autorità è intervenuto ad un incontro per fornire chiarimenti sul provvedimento in questione. Il suo intervento pubblicato da Class CNBC il 5 giugno (parte 1 e parte 2) è molto istruttivo e credo sia utile per tutti dargli uno sguardo per aiutarci a contestualizzare la vicenda. Per i più pigri, riportiamo di seguito due passaggi, trascritti alla lettera: parte 1 – min. 2:15 circa: «quando noi navighiamo su un sito in realtà visitiamo il sito, il sito scarica sul nostro computer o sul nostro telefonino un piccolo programmino, diciamo così. Questo programmino [ndr: secondo lui, il cookie è un “piccolo programmino” 😦 ] in alcuni casi serve a facilitare la navigazione, sono i cosiddetti cookie tecnici, per cui conserva memoria che noi abbiamo messo una password, ci consente di fare acquisti online, ci consente di navigare con tranquillità e usare le funzioni normali, sono appunto i cookie tecnici; esistono poi invece dei cookie di profilazione che invece registrano quelli che sono i nostri movimenti, le nostre preferenze, e quindi raccontano al sito che li raccoglie – che alcune volte non è il sito che stiamo visitando ma è un terzo sito che si interessa a raccogliere le nostre preferenze – e consente di seguirci. Ad esempio in alcuni “I like” che noi mettiamo, siamo noi positivamente che diciamo “sì”, “no” e diamo dei dati oppure inseriamo dei dati in un modulo; in molti casi quando navighiamo noi diamo dei dati senza accorgercene. E allora il provvedimento dei cookie […] vuole dare consapevolezza e consentire agli utenti di scegliere quali dati dare, quali dati – sia il sito che visitiamo sia gli altri siti – possono effettivamente raccogliere». parte 2 – min. 2:30 circa: «abbiamo cercato, sebbene la normativa imponesse consenso e informativa, di semplificarla, nel senso di adattarla al mondo del web, per rendere facile la possibilità […] di esprimere il consenso e di esprimerlo nel modo più semplice». Ma di quale web stiamo parlando? Qualcuno ha definito questa vicenda «un inferno burocratico che non tutela nessuno, crea enormi disagi a gestori di piccoli blog». Il Garante ha invece provato a spiegarci, tra le altre cose, che quello dell’Autorità italiana è stato un intervento che ha cercato di semplificare l’attività dei blogger e dei piccoli gestori e ha anche ammesso indirettamente che, per raggiungere questo obiettivo, il provvedimento del Garante contiene degli aspetti originali e delle soluzioni non seguite nel resto d’Europa. La frequenza con cui le eccezioni producono risultati positivi non è solitamente molto elevata e per esperienza sappiamo che quando qualcuno compie un atto “singolare” (quindi straordinario, eccezionale, insolito), in genere appartiene ad una delle seguenti due categorie: o è un genio, oppure è l’esatto opposto. Ciascuno giudichi per proprio conto. Noi un’idea ce la siamo fatta, ma non vogliamo condizionarvi 😉 Torna su ⇑

Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su: @lamiaprivacy su twitter lamiaprivacy su facebook lamiaprivacy su Google+ lamiaprivacy su Tumblr lamiaprivacy su Pinterest