Cookie Law: da biscotto a pasticcio
27-05-2015
I chiarimenti del Garante ai dubbi sulla Cookie Policy
12-06-2015
Sono oramai trascorse più di 24 ore dall'entrata in vigore della normativa sui cookie (spostata al 3 di giugno a causa della Festa delle Repubblica) ed è tempo di fare un primo bilancio su come la Rete ha risposto alle richieste del Garante della Privacy. Tra differenti interpretazioni del provvedimento, ipotesi, voci di corridoio, proteste e petizioni il dato che sicuramente emerge è che il Settore non ha ignorato la Cookie Law, sebbene purtroppo imperversi tanta confusione e la questione sia ben lungi dall'essere chiarita definitivamente.
Posticipo sì o no?
Trovandoci in Italia, in molti si aspettavano ci sarebbe stato un posticipo della data di entrata in vigore (quale legge di successo non parte con una bella proroga, d'altronde?). Purtroppo così non è stato, anche perché siamo già in forte ritardo con l'applicazione della normativa europea (non di poco, si parla di anni) e tra le ultime Nazioni ad attivarsi. Inoltre il provvedimento risale a maggio 2014 e formalmente il Garante ha già lasciato trascorrere un anno prima di renderlo attivo.
Ma io posso evitare sia il banner che il blocco dei cookie!
Dal panico per doversi mettere in regola velocemente (i dettagli del provvedimento sono stati comunicati solo a inizio maggio, in effetti) si è passati alla baraonda di voci non confermate su possibili esenzioni. In diversi blog si è iniziato a vociferare che i gestori di alcune tipologie di siti sarebbero da considerarsi in qualche modo esenti dalla normativa. La fonte? I forum delle piattaforme di blogging che ospitano questi siti e alcuni gruppi su Facebook di addetti ai lavori. Ufficialità zero, ma tanto è bastato per far passare in pochi istanti chi era pronto a chiudere il proprio blog a pensare di mantenerlo attivo inserendo un semplice testo che girasse la responsabilità dell'utilizzo dei cookie al gestore della piattaforma stessa. I sostenitori di questa teoria ritengono infatti che il blogger, quando utilizza una piattaforma di terzi, altro non è che un creatore di contenuti per un sistema non suo e non è quindi responsabile di quello che viene installato, cookie compresi.
Da un lato il ragionamento ci può stare, ma personalmente non sono certo sia a prova di errore: ad esempio, se è il blogger stesso ad installare nelle pagine del suo sito i codici di Analytics o AdSense che effettuano profilazione e di cui è lui stesso a beneficiarne, perché il responsabile del trattamento dei dati sarebbe da considerarsi il fornitore della piattaforma sulla quale gira il blog?
Ovviamente la mia è un'opinione al pari di chi ritiene il contrario, ma mi aspetterei che in questi casi si facesse riferimento alle fonti ufficiali, che al momento sono solo le due indicate di seguito:
Fonti ufficiali di informazione sulla Cookie Law
- il sito del Garante della Privacy (in particolare il testo del provvedimento)
- il kit di implementazione della cookie law
Visto che la questione è delicata e si rischiano sanzioni pesanti, eviterei di prendere come oro colato le opinioni che si leggono in Rete e mi rifarei invece esclusivamente alla documentazione ufficiale, nella quale al momento non si fa riferimento ad esenzioni di alcun tipo, né tanto meno alle piattaforme di Blogger.com, Wordpress.com o Automatic Inc. In attesa di chiarimenti (che si spera arrivino) seguirei le linee guida invece di farmi incantare da facili vie di fuga suggerite da chi non ha l'autorità per farlo.(1)
Notifica al Garante: in quali casi?
Terzo elemento di incertezza è la famosa notifica al Garante e il versamento di 150 €, già definita la "tassa sul web".(2)
Se ci rifacciamo a quanto indicato nel kit, dove è scritto "nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, NON sarà necessario provvedere alla notifica preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito", l'obbligo di notifica sembra valga solo per chi installa dei propri cookie (non di terze parti) per dei sistemi di profilazione personali. Per fare un'esempio, i cookie di Google Analytics o i pulsanti social NON richiederebbero la dichiarazione al Garante (e il conseguente pagamento dei 150 €), mentre se avete un sito di e-commerce con un vostro sistema per tracciare i prodotti visualizzati dai visitatori in modo da registrare le loro preferenze e suggerire acquisti affini, quello è un cookie vostro (non di Facebook, Google o altri) e quindi spetta direttamente a voi la notifica.
Personalmente sposo questa tesi, troverei infatti assurdo dover notificare (e pagare) per cookie che non sono miei, mentre chi li installa e ne beneficia direttamente non è tenuto a fare nulla. Sarebbe però opportuno che il Garante stesso chiarisse questo aspetto in modo da scongiurare fraintendimenti.
Il Garante ha rilasciato dei chiarimenti su alcuni aspetti che nel dibattito degli ultimi giorni erano risultati poco chiari, contribuendo a risolvere alcuni dubbi e smontare qualche interpretazione un po' "furbetta" che girava in Rete e puntava ad auto-esonerarsi dall'obbligo di sottostare al provvedimento.
Purtroppo, per quanto riguarda quello che forse è l'aspetto più contestato della normativa sui cookie - l'obbligo di notifica - le nuove indicazioni ne rendono ancora meno chiaro il senso. Se da quanto indicato in precedenza si lasciava intendere che NON fosse richiesta la notifica al Garante in caso di utilizzo di cookie di profilazione di terze parti (vedi sopra), quest'ultimo aggiornamento sembra cambiare versione. Riferendosi ai siti che utilizzano cookie analitici, la nuova pagina sul sito del Garante specifica che "si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP)".
Se ne evince che se non si rendono anonimi gli ip registrati da Analytics non solo questi cookie passano di definizione da tecnici a di profilazione, ma è necessario notificare la cosa al Garante? Quindi anche in caso di cookie di profilazione di terze parti e non solo per cookie di cui si è direttamente proprietari?
Proseguendo si arriva all'assurdo:
L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.
Certamente! Chiederò al mio "partner tecnologico" Google se posso aggiungere io a penna questa clausola al contratto che sottoscrivo online per usare Analytics e AdSense, ottenendo da loro un formale impegno a rispettare l'accordo (ma io mi chiedo, in che mondo vive chi scrive queste cose?).
L'impressione è che il Garante, nel tentativo di fare chiarezza, abbia creato ulteriore confusione sull'argomento.
Ma cosa stanno facendo le grosse aziende, quelle che dovrebbero far largo uso di sistemi di profilazione per le loro numerose campagne di marketing?
Pronti a vedere come alcuni tra i siti più frequentati si sono adeguati alla normativa sui cookie? Via!(3)
Come diceva il kit di implementazione della Cookie Law? "... percettibile discontinuità nella fruizione dei contenuti... font diverso e colore contrastante con il resto del sito..."
Indubbiamente il banner è pensato per non passare inosservato, balza subito all'occhio tra gli elementi che compongono il sito!
Apple
"Cookie Law? E cos'è?!"
Qualcuno potrebbe obiettare che www.apple.it non è sotto il controllo di Apple Italia. Può essere, in effetti guardando nei Contatti viene fatto riferimento ad Apple Distribution International di Cork, in Irlanda. Tuttavia, se questa fosse la responsabile del trattamento dei dati personali, essendo l'Irlanda tra le nazioni che hanno adottato la direttiva europea sui cookie sarebbe comunque richiesto il banner e quant'altro, come dimostra il prossimo sito.
Telecom Italia
Telecom mette il banner.
E anche 76 cookie (SETTANTASEI) prima di riceve alcun consenso da parte del visitatore. Non mi sono messo a verificarli uno per uno ma nella massa scommetto che ce ne sono almeno un paio di profilazione (altrimenti dovete spiegarmi come mai la vostra home page ha bisogno di ben 76 cookie tecnici!).
Il Sole 24 Ore
Il sito che forse rispecchia maggiormente quella che era l'idea iniziale del Garante: un bel pop-up che blocca chiaramente la pagina dal quale premere OK per continuare (mi piacerebbe vedere le statistiche di quanti visitatori hanno perso con questa soluzione). Peccato che mentre siamo ancora indaffarati a leggerci il testo dell'informativa ci abbiano già installato una dozzina di cookies.
Il Corriere
Il sito de Il Corriere mi consente di navigare tra le sue pagine senza chiudere il banner e dare il consenso. L'unica cosa che avviene se clicco su "Accetto" è che mi installa un cookie per non farmi vedere il banner nelle successive visite, ma i suoi cookie di profilazione e di terze parti sono stati tutti installati in precedenza.
Poste Italiane
L'home page del sito delle Poste mostra il banner e installa 3 cookie che nell'informativa estesa mette sotto il gruppo "tecnici/analitici". Risulta così difficile stabilire se debbano venire bloccati preventivamente, visto che gli analitici possono essere ritenuti di profilazione o meno in base ai dati che registrano. Ai controllori del Garante l'ardua sentenza.
Ministero dell'Interno
Last but not least.
A dimostrazione di come il Governo sia il primo a prendere in seria considerazione quanto viene emanato dai suoi stessi Organi, il sito del Ministero dell'Interno manco si è degnato di mettere un bannerino. E per giunta ci spia (come da tradizione) con un PERICOLOSISSIMO widget di Twitter!
Come minimo mi aspetto un'interrogazione parlamentare sulla questione.
Quasi tutti hanno capito che ci vuole un banner, ma l'obbligo di bloccare i cookie è stato ignorato dalla maggioranza dei siti, forse perché non è stato correttamente recepito ma anche per le indubbie difficoltà tecniche che tale operazione richiede, specialmente per le grosse realtà.
Insomma mettiamoci comodi, perché tra difficoltà di implementazione, norme poco chiare e scarsa propensione degli interessati a mettersi in regola al 100% sapremo com'è andata soltanto tra qualche mese (se non addirittura anno).
A proposito di privacy
Proprio in questi giorni Google ha fatto qualcosa che seppur non legato direttamente alla Cookie Law è sicuramente più importante per chi tiene davvero alla privacy (e che avendola a cuore è disposto a dedicarci del tempo per documentarsi, comprendere e infine scegliere con cognizione di causa come disporre dei propri dati).Basta infatti andare su https://myaccount.google.com (o effettuare il login dalla home page del motore di ricerca) per visualizzare una pagina dove vengono presentate tutte le opzioni per gestire la sicurezza dei vostri dati e dell'account. E - oh-oh, sorpresa! - Google ha realizzato anche una pagina dedicata alla privacy nella quale fornisce in maniera esaustiva una lunga serie di informazioni su quali dati vengono raccolti e come sono trattati.
Interessante, vero? Roba da immaginarsi schiere di tutori della privacy "senza se e senza ma" spendere ore a spulciare queste informazioni per mettersi al riparo dalla fastidiosa e pericolosa invadenza del Grande Fratello di Mountain View... peccato che son sicuro che queste pagine le leggeranno 4 addetti ai lavori, 3 dei quali più per curiosità professionale che per altro.
Avviso per i naviganti
Infine, abbandonando le vesti di possessore di un sito web per indossare quelle di semplice navigatore, la mia principale preoccupazione è che d'ora in poi saprò di essere su un sito europeo per quell'accozzaglia di ridicoli banner che in maniera fastidiosa mi chiederanno il consenso per qualcosa di poco chiaro e che non mi interessa (voglio recuperare il più velocemente possibile il numero della pizzeria per prenotare un tavolo, non mi interessa se nel momento in cui metto un Like alla foto della Quattro Stagioni usate un cookie!).
Evidentemente non sono l'unico ad averlo pensato, tant'è che sono nati diversi plugin per browser che inibiscono la visualizzazione dei banner e accettano in automatico l'installazione dei cookie, in modo da non compromettere l'esperienza di navigazione dei siti web.
Non ho ancora avuto il tempo di testarli, riporto un breve elenco di plugin per Google Chrome:
- CookiesOK (anche per Firefox)
- I don't care about cookies (anche per Firefox)
- Fuck Cookies (dal nome abbastanza autoesplicativo)
- Cookie Notification Preventer
- Anti-Cookie Policy
- Remove cookie policy warnings from websites
Purtroppo per mobile ancora niente, ma state certi che, appena Apple si troverà costretta a deturpare il design del suo sito con qualche banner burocratese, inserirà nel prossimo aggiornamento di iOS la funzione "non scassare" per togliere definitivamente dalla vista l'immondo sfregio. ;-)
(2) Al di là dei 150 € previsti per la notifica, la Cookie Law si è già rivelata una tassa di fatto, perché in termini di tempo e denaro è costata parecchio a tutti coloro i quali hanno un sito in Italia. [back]
(3) I siti sono stati osservati a poco più di 24 ore dall'introduzione della normativa sui cookie e potrebbero essere ancora in fase di aggiornamento per rispondere maggiormente alle richieste del Garante della Privacy. Quella illustrata è una semplice fotografia dello stato attuale delle cose. [back]
6 Comments
Complimenti per l’articolo.
Posso solo dire che come semplice web designer… mi è venuto solo un gran mal di testa!
Grazie, Davide. Dal punto di vista del design e della user experience, obbligare a mostrare un banner che risalti visivamente sul resto della pagina influisce non poco. Non solo non risolve il problema di fondo (ammesso che esista) ma è anche indiscutibilmente “brutto”, al pari – se non più – delle avvertenze scritte in piccolo sotto le pubblicità in tv dei medicinali.
Forse si vede la luce, per lo meno per quanto riguarda i dubbi su cosa si è tenuti a fare in determinate situazioni: http://www.garanteprivacy.it/cookie
Oggi, 11 giugno, il sito http://www.apple.it riporta l’informativa estesa sull’uso dei cookies, accessibile tramite l’nk sull’home page. Non so se fosse così anche il 3 giugno perché dall’immagine che hai pubblicato non si vede il pié di pagina.
Tale sito non utilizza cookies di profilazione, da quanto ho letto e da quanto ho visto controllando i singoli cookies installati, pertanto secondo le direttive del Garante non è tenuto all’esposizione del banner.
Ricordo che il banner è obbligatorio solo per i siti che fanno profilazione mirata e non anonima.
In definitiva, questo è un bell’articolo, abbastanza completo, simpatico e di piacevole lettura, ma presenta delle fastidiose imprecisioni che certamente non aiutano a fare chiarezza.
Grazie Franco “fake.email” per gli apprezzamenti e soprattutto per le osservazioni, mi danno modo di approfondire la questione (mi rincresce solo tu non possa ricevere notifica della mia risposta essendoti autenticato con un indirizzo di posta fasullo, pazienza).
Innanzitutto una precisazione, in quanto il mio intento non è mai stato quello di fare chiarezza: in Rete si trovano centinaia di articoli che spiegano come risolvere il problema della Cookie Law (la soluzione definitiva/cosa fare per mettersi in regola/la risposta definitiva del Garante) dove spesso le opinioni di chi scrive vengono presentate come la Verità assoluta e la risposta ufficiale del Garante. Io non ho la presunzione di aver capito tutti i risvolti della questione, mi limito ad evidenziare le criticità di quello che ritengo un pessimo provvedimento. Come ho scritto altrove, mi faccio più domande delle risposte che mi do.
Venendo al sito Apple, confermo fosse presente una Cookie Policy già settimana scorsa ma non sono così sicuro non utilizzi cookie di profilazione.
Nella home page di http://www.apple.com/it (infatti digitando http://www.apple.it si viene automaticamente reindirizzati a questo indirizzo) vengono utilizzati 16 cookie, tra i quali alcuni come s_ppv e simili che si rifanno a Omniture/Adobe SiteCatalyst, una piattaforma analytics simile a quella di Google, di cui si trovano maggiori informazioni sul sito di Ghostery (si fa riferimento tra l’altro al fatto che vengono memorizzati gli ip dei visitatori).
Se poi vogliamo affidarci a tool esterni di analisi dei cookie come quello di Cookiepedia, il sito http://www.apple.com risulta utilizzare ben 228 cookie, tra i quali ve ne sono 127 di terze parti e 117 sconosciuti. E’ vero che questo sito di analisi utilizza una cache, quindi col tempo potrebbero esserci state delle variazioni, vorrei però ricordare che sullo stesso sito di Apple è presente anche lo store online e che le piattaforme di e-commerce solitamente fanno ampio uso di cookie.
Anche in questo caso non ho una risposta definitiva, la mia non voleva essere un’accusa ad Apple (per essere neutrali ho iniziato analizzando Google e il suo approccio non proprio compliant alle regole del Garante), semmai evidenziare come una legge fatta male avesse ricevuto scarsa attenzione da parte dei big della Rete.
Bello il titolo, già visto altrove, in particolare nel secondo dei seguenti articoli, da leggere per chi vuole comprendere i limiti giuridici del provvedimento del Garante:
Cookie: la disciplina applicabile e le criticità del provvedimento del Garante – 24.5.2015 – http://wp.me/p5ltXn-G
#cookielaw: the day after (v. 0.9) – 3.6.2015 – http://wp.me/p5ltXn-df
#cookielaw: esame senza sconti degli ultimi chiarimenti del Garante – 11.6.2015 – http://wp.me/p5ltXn-hm
@lamiaprivacy #privacy #epicfail #nonchiudeteiblog