Cookie Law - chiarimenti del Garante

Proteste e petizioni hanno spinto il Garante della Privacy,a pubblicare un documento contenente dei chiarimenti sulle questioni più spinose e controverse.

1. CHI DEVE RISPETTARE LA COOKIE LAW

Rimarrà deluso chi aspettava semplificazioni o esenzioni (soprattutto per i gestori di blog e siti personali). Il Garante ribadisce – e non poteva essere altrimenti – che il provvedimento riguarda tutti i siti, anche quelli che non perseguono finalità di lucro,

“che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento strumenti situati sul territorio dello Stato”

Viene chiarito, quindi, che lacookie law si applica a tutti i siti che memorizzano cookiesui terminali degli utenti italiani, a prescindere dal dominio utilizzato, dalla localizzazione dei server e dalla presenza di una sede in Italia.

 2. COSA FARE CON I COOKIES “TECNICI”

Il Garante precisa che per l’uso di cookie esclusivamente tecnici (come quelli di navigazione o di sessione) è sufficiente rendere apposita informativa, senza la necessità di implementare l’apposito banner (contenente la c.d. “Informativa breve”) né richiedere il consenso: sarà infatti sufficiente adeguare la privacy policy già presente sul sito.

Ai cookie tecnici sono equiparati quelli analitici (che consentono di analizzare i dati relativi al traffico generato da un sito web), ma solo a patto che siano realizzati e utilizzati direttamente dai gestori del sito per migliorarne la fruibilità (ipotesi, a dire il vero, piuttosto rara nella pratica).

3. COOKIE LAW E GOOGLE ANALYTICS
(e per tutti i cookie analitici di terze parti)

Uno dei temi più spinosi è quello legato ai cookie analitici di terze parti, vista la loro diffusione, e in particolare di Google Analytics (di gran lunga il servizio più utilizzato per analizzare i dati di traffico).

In proposito, nei chiarimenti del Garante – coerentemente con quanto previsto nel Provvedimento dell’8 maggio 2014 – è scritto che, in relazione ai cookie analitici di terze parti, i gestori del sito non sono tenuti ad alcun adempimento a due condizioni:

1. devono essere adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici (ad es. attraverso il mascheramento di porzioni significative dell’indirizzo IP)
2. nel contratto tra il gestore del sito e la terza parte deve essere espressamente contenuto l’impegno di quest’ultima o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

Con riferimento a Google Analytics, il servizio consente al gestore del sito di anonimizzare gli IP (seguendo la procedura indicata qui) e di disabilitare dal proprio pannello di controllo la condivisione dei dati raccolti con altri servizi di Google (come illustrato qui). Tuttavia, all’interno delle condizioni di servizio di Google Analytics è contenuto l’espresso impegno di Google a non incrociare i dati con altre informazioni di cui dispone.

Di conseguenza, i gestori dei siti che vogliano continuare a usare questo servizio, dovranno implementare l’informativa breve (il caratteristico banner) e registrare il consenso dell’utente. Coloro che, invece, continuino ad utilizzare il servizio di Googlenelle sue modalità di default o lo colleghino addirittura ad altri servizi (come ad esempio Google Adsense) dovranno procedere anche a notificare il trattamento al Garante (pagando un importo di 150 euro).

4. COOKIE LAW E SOCIAL NETWORK

Altro tema assai caldo è quello relativo alla condivisione sui social network.

In proposito, il Garante, nei suoi chiarimenti, precisa che

“se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”

Questo, nella pratica, significa che chi intende utilizzare la condivisione sui social per evitare alcuni adempimenti dovrà evitare di utilizzare molti dei più usati strumenti (in quanto, nella norma, installano cookie), avvalendosi di quelle soluzioni che non lo fanno (“spulciando”, ad esempio tra i diversi plugin disponibili per le varie piattaforme).

In caso contrario, dovrà implementare il banner con l’informativa breve e bloccare la memorizzazione dei cookies fino al consenso.

5. LO “SCROLL” VALE COME CONSENSO

Il Garante, infine, chiarisce che lo “scroll“, ovvero la prosecuzione della navigazione all’interno della medesima pagina web, può essere considerata una valida manifestazione del consenso all’utilizzo dei cookies da parte dell’utente, così come ilclick e qualunque altra azione compiuta dall’utente nella pagina.

* * *

IL GARANTE CHIARISCE, MA NON SEMPLIFICA

Adesso che le maggiori incertezze interpretative sono state chiarite, è opportuno iniziare una seria riflessione sulla cookie law.

Il Garante, nel preambolo ai suoi chiarimenti, ha specificato come il provvedimento del 2014 fosse un atto dovuto, il recepimento a regole derivanti da una Direttiva comunitaria del 2009.

Quasi a giustificarsi per prescrizioni che – pur con le più lodevoli intenzioni – finiranno sicuramente con il complicare la vita alla gran parte dei gestori dei siti, senza probabilmente ottenere un risultato apprezzabile in termini di tutela degli utenti.

È già stato osservato, infatti, che difficilmente l’utente medio sarà in grado di districarsi tra le decine di informative in cui si imbatterà quotidianamente e che esistono già strumenti diversi dai cookies che consentono di tracciare il comportamento degli utenti (come il “device fingerprinting”).

FONTE: http://www.chefuturo.it/2015/06/guida-cookielaw-garante-banner-analytics-cookies/