Sono oramai trascorse più di 24 ore dall'entrata in vigore della normativa sui cookie (spostata al 3 di giugno a causa della Festa delle Repubblica) ed è tempo di fare un primo bilancio su come la Rete ha risposto alle richieste del Garante della Privacy. Tra differenti interpretazioni del provvedimento, ipotesi, voci di corridoio, proteste e petizioni il dato che sicuramente emerge è che il Settore non ha ignorato la Cookie Law, sebbene purtroppo imperversi tanta confusione e la questione sia ben lungi dall'essere chiarita definitivamente.
Trovandoci in Italia, in molti si aspettavano ci sarebbe stato un posticipo della data di entrata in vigore (quale legge di successo non parte con una bella proroga, d'altronde?). Purtroppo così non è stato, anche perché siamo già in forte ritardo con l'applicazione della normativa europea (non di poco, si parla di anni) e tra le ultime Nazioni ad attivarsi. Inoltre il provvedimento risale a maggio 2014 e formalmente il Garante ha già lasciato trascorrere un anno prima di renderlo attivo.
Dal panico per doversi mettere in regola velocemente (i dettagli del provvedimento sono stati comunicati solo a inizio maggio, in effetti) si è passati alla baraonda di voci non confermate su possibili esenzioni. In diversi blog si è iniziato a vociferare che i gestori di alcune tipologie di siti sarebbero da considerarsi in qualche modo esenti dalla normativa. La fonte? I forum delle piattaforme di blogging che ospitano questi siti e alcuni gruppi su Facebook di addetti ai lavori. Ufficialità zero, ma tanto è bastato per far passare in pochi istanti chi era pronto a chiudere il proprio blog a pensare di mantenerlo attivo inserendo un semplice testo che girasse la responsabilità dell'utilizzo dei cookie al gestore della piattaforma stessa. I sostenitori di questa teoria ritengono infatti che il blogger, quando utilizza una piattaforma di terzi, altro non è che un creatore di contenuti per un sistema non suo e non è quindi responsabile di quello che viene installato, cookie compresi.
Da un lato il ragionamento ci può stare, ma personalmente non sono certo sia a prova di errore: ad esempio, se è il blogger stesso ad installare nelle pagine del suo sito i codici di Analytics o AdSense che effettuano profilazione e di cui è lui stesso a beneficiarne, perché il responsabile del trattamento dei dati sarebbe da considerarsi il fornitore della piattaforma sulla quale gira il blog?
Ovviamente la mia è un'opinione al pari di chi ritiene il contrario, ma mi aspetterei che in questi casi si facesse riferimento alle fonti ufficiali, che al momento sono solo le due indicate di seguito:
Visto che la questione è delicata e si rischiano sanzioni pesanti, eviterei di prendere come oro colato le opinioni che si leggono in Rete e mi rifarei invece esclusivamente alla documentazione ufficiale, nella quale al momento non si fa riferimento ad esenzioni di alcun tipo, né tanto meno alle piattaforme di Blogger.com, Wordpress.com o Automatic Inc. In attesa di chiarimenti (che si spera arrivino) seguirei le linee guida invece di farmi incantare da facili vie di fuga suggerite da chi non ha l'autorità per farlo.(1)
Terzo elemento di incertezza è la famosa notifica al Garante e il versamento di 150 €, già definita la "tassa sul web".(2)
Se ci rifacciamo a quanto indicato nel kit, dove è scritto "nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, NON sarà necessario provvedere alla notifica preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito", l'obbligo di notifica sembra valga solo per chi installa dei propri cookie (non di terze parti) per dei sistemi di profilazione personali. Per fare un'esempio, i cookie di Google Analytics o i pulsanti social NON richiederebbero la dichiarazione al Garante (e il conseguente pagamento dei 150 €), mentre se avete un sito di e-commerce con un vostro sistema per tracciare i prodotti visualizzati dai visitatori in modo da registrare le loro preferenze e suggerire acquisti affini, quello è un cookie vostro (non di Facebook, Google o altri) e quindi spetta direttamente a voi la notifica.
Personalmente sposo questa tesi, troverei infatti assurdo dover notificare (e pagare) per cookie che non sono miei, mentre chi li installa e ne beneficia direttamente non è tenuto a fare nulla. Sarebbe però opportuno che il Garante stesso chiarisse questo aspetto in modo da scongiurare fraintendimenti.
Il Garante ha rilasciato dei chiarimenti su alcuni aspetti che nel dibattito degli ultimi giorni erano risultati poco chiari, contribuendo a risolvere alcuni dubbi e smontare qualche interpretazione un po' "furbetta" che girava in Rete e puntava ad auto-esonerarsi dall'obbligo di sottostare al provvedimento.
Purtroppo, per quanto riguarda quello che forse è l'aspetto più contestato della normativa sui cookie - l'obbligo di notifica - le nuove indicazioni ne rendono ancora meno chiaro il senso. Se da quanto indicato in precedenza si lasciava intendere che NON fosse richiesta la notifica al Garante in caso di utilizzo di cookie di profilazione di terze parti (vedi sopra), quest'ultimo aggiornamento sembra cambiare versione. Riferendosi ai siti che utilizzano cookie analitici, la nuova pagina sul sito del Garante specifica che "si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP)".
Se ne evince che se non si rendono anonimi gli ip registrati da Analytics non solo questi cookie passano di definizione da tecnici a di profilazione, ma è necessario notificare la cosa al Garante? Quindi anche in caso di cookie di profilazione di terze parti e non solo per cookie di cui si è direttamente proprietari?
Proseguendo si arriva all'assurdo:
L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.
Certamente! Chiederò al mio "partner tecnologico" Google se posso aggiungere io a penna questa clausola al contratto che sottoscrivo online per usare Analytics e AdSense, ottenendo da loro un formale impegno a rispettare l'accordo (ma io mi chiedo, in che mondo vive chi scrive queste cose?).
L'impressione è che il Garante, nel tentativo di fare chiarezza, abbia creato ulteriore confusione sull'argomento.
Ma cosa stanno facendo le grosse aziende, quelle che dovrebbero far largo uso di sistemi di profilazione per le loro numerose campagne di marketing?
Pronti a vedere come alcuni tra i siti più frequentati si sono adeguati alla normativa sui cookie? Via!(3)
"Cookie Law? E cos'è?!"
Qualcuno potrebbe obiettare che www.apple.it non è sotto il controllo di Apple Italia. Può essere, in effetti guardando nei Contatti viene fatto riferimento ad Apple Distribution International di Cork, in Irlanda. Tuttavia, se questa fosse la responsabile del trattamento dei dati personali, essendo l'Irlanda tra le nazioni che hanno adottato la direttiva europea sui cookie sarebbe comunque richiesto il banner e quant'altro, come dimostra il prossimo sito.Quasi tutti hanno capito che ci vuole un banner, ma l'obbligo di bloccare i cookie è stato ignorato dalla maggioranza dei siti, forse perché non è stato correttamente recepito ma anche per le indubbie difficoltà tecniche che tale operazione richiede, specialmente per le grosse realtà.
Insomma mettiamoci comodi, perché tra difficoltà di implementazione, norme poco chiare e scarsa propensione degli interessati a mettersi in regola al 100% sapremo com'è andata soltanto tra qualche mese (se non addirittura anno).
Basta infatti andare su https://myaccount.google.com (o effettuare il login dalla home page del motore di ricerca) per visualizzare una pagina dove vengono presentate tutte le opzioni per gestire la sicurezza dei vostri dati e dell'account. E - oh-oh, sorpresa! - Google ha realizzato anche una pagina dedicata alla privacy nella quale fornisce in maniera esaustiva una lunga serie di informazioni su quali dati vengono raccolti e come sono trattati.
Interessante, vero? Roba da immaginarsi schiere di tutori della privacy "senza se e senza ma" spendere ore a spulciare queste informazioni per mettersi al riparo dalla fastidiosa e pericolosa invadenza del Grande Fratello di Mountain View... peccato che son sicuro che queste pagine le leggeranno 4 addetti ai lavori, 3 dei quali più per curiosità professionale che per altro.
Infine, abbandonando le vesti di possessore di un sito web per indossare quelle di semplice navigatore, la mia principale preoccupazione è che d'ora in poi saprò di essere su un sito europeo per quell'accozzaglia di ridicoli banner che in maniera fastidiosa mi chiederanno il consenso per qualcosa di poco chiaro e che non mi interessa (voglio recuperare il più velocemente possibile il numero della pizzeria per prenotare un tavolo, non mi interessa se nel momento in cui metto un Like alla foto della Quattro Stagioni usate un cookie!).
Evidentemente non sono l'unico ad averlo pensato, tant'è che sono nati diversi plugin per browser che inibiscono la visualizzazione dei banner e accettano in automatico l'installazione dei cookie, in modo da non compromettere l'esperienza di navigazione dei siti web.
Non ho ancora avuto il tempo di testarli, riporto un breve elenco di plugin per Google Chrome:
- CookiesOK (anche per Firefox)
- I don't care about cookies (anche per Firefox)
- Fuck Cookies (dal nome abbastanza autoesplicativo)
- Cookie Notification Preventer
- Anti-Cookie Policy
- Remove cookie policy warnings from websites
Purtroppo per mobile ancora niente, ma state certi che, appena Apple si troverà costretta a deturpare il design del suo sito con qualche banner burocratese, inserirà nel prossimo aggiornamento di iOS la funzione "non scassare" per togliere definitivamente dalla vista l'immondo sfregio. ;-)
6 Comments
Complimenti per l’articolo.
Posso solo dire che come semplice web designer… mi è venuto solo un gran mal di testa!
Grazie, Davide. Dal punto di vista del design e della user experience, obbligare a mostrare un banner che risalti visivamente sul resto della pagina influisce non poco. Non solo non risolve il problema di fondo (ammesso che esista) ma è anche indiscutibilmente “brutto”, al pari – se non più – delle avvertenze scritte in piccolo sotto le pubblicità in tv dei medicinali.
Forse si vede la luce, per lo meno per quanto riguarda i dubbi su cosa si è tenuti a fare in determinate situazioni: http://www.garanteprivacy.it/cookie
Oggi, 11 giugno, il sito http://www.apple.it riporta l’informativa estesa sull’uso dei cookies, accessibile tramite l’nk sull’home page. Non so se fosse così anche il 3 giugno perché dall’immagine che hai pubblicato non si vede il pié di pagina.
Tale sito non utilizza cookies di profilazione, da quanto ho letto e da quanto ho visto controllando i singoli cookies installati, pertanto secondo le direttive del Garante non è tenuto all’esposizione del banner.
Ricordo che il banner è obbligatorio solo per i siti che fanno profilazione mirata e non anonima.
In definitiva, questo è un bell’articolo, abbastanza completo, simpatico e di piacevole lettura, ma presenta delle fastidiose imprecisioni che certamente non aiutano a fare chiarezza.
Grazie Franco “fake.email” per gli apprezzamenti e soprattutto per le osservazioni, mi danno modo di approfondire la questione (mi rincresce solo tu non possa ricevere notifica della mia risposta essendoti autenticato con un indirizzo di posta fasullo, pazienza).
Innanzitutto una precisazione, in quanto il mio intento non è mai stato quello di fare chiarezza: in Rete si trovano centinaia di articoli che spiegano come risolvere il problema della Cookie Law (la soluzione definitiva/cosa fare per mettersi in regola/la risposta definitiva del Garante) dove spesso le opinioni di chi scrive vengono presentate come la Verità assoluta e la risposta ufficiale del Garante. Io non ho la presunzione di aver capito tutti i risvolti della questione, mi limito ad evidenziare le criticità di quello che ritengo un pessimo provvedimento. Come ho scritto altrove, mi faccio più domande delle risposte che mi do.
Venendo al sito Apple, confermo fosse presente una Cookie Policy già settimana scorsa ma non sono così sicuro non utilizzi cookie di profilazione.
Nella home page di http://www.apple.com/it (infatti digitando http://www.apple.it si viene automaticamente reindirizzati a questo indirizzo) vengono utilizzati 16 cookie, tra i quali alcuni come s_ppv e simili che si rifanno a Omniture/Adobe SiteCatalyst, una piattaforma analytics simile a quella di Google, di cui si trovano maggiori informazioni sul sito di Ghostery (si fa riferimento tra l’altro al fatto che vengono memorizzati gli ip dei visitatori).
Se poi vogliamo affidarci a tool esterni di analisi dei cookie come quello di Cookiepedia, il sito http://www.apple.com risulta utilizzare ben 228 cookie, tra i quali ve ne sono 127 di terze parti e 117 sconosciuti. E’ vero che questo sito di analisi utilizza una cache, quindi col tempo potrebbero esserci state delle variazioni, vorrei però ricordare che sullo stesso sito di Apple è presente anche lo store online e che le piattaforme di e-commerce solitamente fanno ampio uso di cookie.
Anche in questo caso non ho una risposta definitiva, la mia non voleva essere un’accusa ad Apple (per essere neutrali ho iniziato analizzando Google e il suo approccio non proprio compliant alle regole del Garante), semmai evidenziare come una legge fatta male avesse ricevuto scarsa attenzione da parte dei big della Rete.
Bello il titolo, già visto altrove, in particolare nel secondo dei seguenti articoli, da leggere per chi vuole comprendere i limiti giuridici del provvedimento del Garante:
Cookie: la disciplina applicabile e le criticità del provvedimento del Garante – 24.5.2015 – http://wp.me/p5ltXn-G
#cookielaw: the day after (v. 0.9) – 3.6.2015 – http://wp.me/p5ltXn-df
#cookielaw: esame senza sconti degli ultimi chiarimenti del Garante – 11.6.2015 – http://wp.me/p5ltXn-hm
@lamiaprivacy #privacy #epicfail #nonchiudeteiblog