Il chiarimento del Garante privacy sui cookie: un disastro. A rischio moltissimi siti italiani
7 min letturaIl Garante ha pubblicato un ulteriore chiarimento in tema di cookie. Per chi si è perso le puntate precedenti consiglio di leggere le istruzioni per mettere in regola il sito (occorre però anche tenere presente quanto dirò più sotto), un articolo esplicativo delle problematiche relative ai cookie di terze parti, articolo di lamiaprivacy, ottimo per comprendere i profili giuridici del problema, ed infine la lettera inviata al Garante al fine di ottenere chiarimenti.
Ovviamente il Garante non risponde direttamente a me (non ho tale presunzione), per cui il chiarimento va interpretato. La premessa è d'obbligo, la mia interpretazione è prudenziale, e comunque sarei ben contento se qualcuno mi convincesse di avere torto.
Altra premessa essenziale, la direttiva europea rimanda alla regolamentazione di dettaglio dei Garanti nazionali, quindi noi italiani (o meglio gestori di siti stabiliti in Italia) dobbiamo rispettare la regolamentazione del Garante italiano.
Plugin sociali
In relazione ai plugin sociali, cioè quei bottoni like e share che utilizzano cookie, il Garante precisa che il consenso va acquisito dal gestore del sito. È vero che, come avevamo già detto, è la terza parte ad avere la responsabilità del consenso e dell'informativa (quindi è il cosiddetto “editore”), ma “per la natura 'distribuita' di tale trattamento” comunque il gestore del sito dovrà acquisire il consenso bloccando i cookie dei social plugin fino al consenso. In sostanza il gestore del sito diventa il delegato ad acquisire la dichiarazione (informativa) del responsabile del trattamento (la terza parte) e il consenso.
Si conferma il contrasto con la normativa, che prevede un consenso informato, cosa che il gestore del sito (la prima parte, come la definisce il Garante) non potrà mai dare. Il link alle policy privacy da inserire nell'informativa estesa non risolve il problema perché, come da istruzioni del Garante, anche la prosecuzione della navigazione del sito può essere considerato consenso, per cui potrà accadere che alcuni siti informino (banner) i visitatori della presenza di cookie di terze parti per poi inviare loro i cookie appena cliccano sulla pagina dell'informativa (quindi prima di avere letto le informative policy dei terzi e prima di una informazione completa).
Il tutto si risolve in un mero onere burocratico che non tutela nessuno, ma nel contempo crea enormi disagi a molti gestori di piccoli blog, specialmente ai gestori di blog su piattaforme estere (es. WordPress), per le quali il blogger non ha alcuna possibilità di inserire script di blocco dei cookie.
Occorre inoltre che i link alle policy privacy presenti nell'informativa estesa siano “aggiornati”. Dovete controllarli costantemente e, se cambiano, dovete aggiornarli.
Viene ribadito che l'elencazione dei cookie per i quali si chiede il consenso può essere fatta per categorie, quindi è inutile elencare i singoli cookie.
Ricordiamo che il consenso può essere acquisito secondo modalità diverse, quindi un click sul bottone di Ok presente nel banner (informativa breve), oppure lo scorrimento della finestra, oppure il click su altra parte del sito, quindi la prosecuzione della navigazione. Essenziale, però, è che i cookie dei social plugin siano bloccati fino a consenso, altrimenti si sta violando la legge.
Per questi cookie, comunque, non occorre notificazione al Garante, in quanto il trattamento non è effettuato dal gestore del sito.
Per risolvere alla radice il problema si può utilizzare lo script di Panzi su Github, che non invia cookie fin quando l'utente non clicca sul plugin (attivandolo). In quel caso diventa servizio richiesto dall'utente espressamente, e quindi esentato da consenso. Verificate se ci sono plugin o estensione per i vostri CMS che implementano quello script, nel quale caso non dovrete nemmeno più citare i cookie da social plugin (ma dovrete comunque citare cookie da altri servizi di terzi) né chiedere alcun consenso.
L'unico dubbio riguarda l'inciso dove il Garante precisa che “l'obbligo di rendere l'informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti”.
Cosa vuol dire? Chi non ospita alcuna pubblicità non deve chiedere consenso o fornire informativa? In realtà consenso e informativa sono correlati alla profilazione, indipendentemente dal fatto che il sito web ospiti o meno pubblicità.
Cookie di analytics
Per quanto riguarda i servizi di analytics, quindi con particolare riferimento a Google Analytics, la questione è complessa. I cookie sono considerati di profilazione, e quindi soggetti a consenso, anzi occorre addirittura la notifica del trattamento al Garante (costo 150 euro) perché in questo caso è anche il gestore del sito a usufruire dei dati ottenuti tramite i cookie.
Per non doverli trattate come cookie di profilazione (e quindi non essere obbligati alla notifica) occorre che i dati siano anonimizzati (in pratica deve essere troncato l'IP), e occorre che “la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone”. È un virgolettato dal testo del Garante, per far notare come il Garante creda che sia possibile che un piccolo utente possa dialogare e imporre scelte ad una grande azienda come Google. Questo, casomai, cioè imporre specifici aggiustamenti ai loro servizi in modo da renderli conformi alle regole comunitarie e andare incontro alle esigenze degli utenti europei, dovrebbe essere compito dei Garanti. In Belgio, in Germania e altri paesi europei, i Garanti nazionali si muovono proprio in tal senso.
Comunque, tornando al nostro problema quello che occorre per evitare di rendere troppo gravoso l'uso di servizi come Google Analytics, è quanto segue.
Occorre accedere al pannello di controllo di Google Analytics, sezione Amministrazione, e cliccare su Impostazioni dell'Account. Alla voce Impostazioni di Condivisioni dei dati occorre togliere la spunta a tutti i seguenti servizi: Prodotti e servizi Google (così i dati di analytics non vengono incrociati con altri servizi Google); Assistenza tecnica; Esperti dell'Account (entrambe le voci).
Alla fine avrete un pannello così:
Attenzione, non dovete attivare le funzioni pubblicitarie, se già attivate vanno disattivate, in caso contrario state facendo profilazione e dovrete, oltre a chiedere il consenso ai visitatori, notificare il trattamento al Garante.
A questo punto rimane solo di anonimizzare gli IP. In sostanza vanno troncati in modo che non sia leggibile tutto l'indirizzo IP. Per impostazione predefinita Google utilizza l'intero indirizzo IP, ma è possibile chiedere il mascheramento degli IP (sperando che la porzione mascherata -l'ultimo ottetto- sia “significativa” per il Garante, perché l'utente non può certo scegliere).
Se già utilizzate Google Analytics avete un codice nella pagina web (codice sorgente) al quale va aggiunta questa riga, da inserire sotto la riga con l'ID del monitoraggio:
- ga('set', 'anonymizeIp', true);
Purtroppo si tratta di una procedura tecnica (qui le spiegazioni) che comporta conoscenze di programmazione, quindi non alla portata di tutti. Verificate se esistono dei plugin o estensione per i vostri CMS, oppure script già pronti per i vostri siti, se no il consiglio è di non utilizzare più Google Analytics o comunque servizi di analytics di terze parti.
Del resto a questo punto, anche considerando che più volte il Garante ha fatto riferimento ai social link (da non confondere coi social plugin), appare ovvio che l'intento del Garante è di disincentivare l'utilizzo di servizi di terze parti, specialmente se americani.
Le attività previste per mettere in regola il sito non sono semplici e molti gestori di siti web saranno scoraggiati a tal punto da preferire chiudere. Io stesso ho difficoltà dal punto di vista tecnico (sono un avvocato non un programmatore), attualmente il mio sito non è conforme alla legge (come la quasi totalità dei siti italiani del resto).
Ambito di applicazione
Infine il Garante precisa che la normativa in materia di cookie “riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy)”. Questo punto era già chiaro, ma il Garante ci ritorna avendo ricevuto evidentemente delle specifiche richieste.
Allora precisiamo che i cookie (e tecnologie similari) vengono installati sul computer dell'utente e sono da considerare “strumenti situati nel territorio italiano” utilizzati al fine del tracciamento dell'utente. Quindi anche se il titolare del trattamento (es. Google) è situato al di fuori del territorio italiano comunque deve rispettare la normativa italiana.
Considerazione finale
Devo precisare che nonostante le numerose critiche alla normativa detta “cookie law”, io personalmente continuo a credere che sia una conquista importante per l'Europa. In assenza di informazioni l'utilizzo dei cookie diventa un “trattamento a raccolta occulta” (Raccomandazione 1/99 del Gruppo Article 29) che non è ammissibile, in quanto viola i diritti del cittadino.
Ma il succo della normativa è di rendere consapevole il visitatore che viene tracciato e profilato dalle grandi aziende, e quindi porlo in condizioni di difendere la propria privacy. Sotto tale duplice profilo la cookie law, o meglio la sua attuazione, rimane estremamente carente.
Di fatto non informa, perché è ovvio che i banner e le informative estese non sono in grado di rendere consapevole il visitatore di quello che accade ai suoi dati. Il visitatore va su un sito per leggere un articolo e ovviamente tutto ciò che si frappone tra lui e l'articolo è un ostacolo da rimuovere. Risultato? Nella stragrande maggioranza dei casi cliccheranno su Ok senza leggere (chi legge le informative?).
Inoltre non tutela. Nella sua applicazione (specialmente in Italia) la normativa non fa altro che scaricare sul piccolo blogger il compito di tutelare il visitatore, cosa che è assolutamente impossibile. Chiedere il consenso per cookie di servizi terzi e dire che sta utilizzando dei cookie terzi non informa in alcun modo. L'informazione è corretta se si comunica cosa viene fatto coi cookie (finalità) non certo che ci sono (che ci sono sempre).
E comunque disabilitare i cookie non è sufficiente, perché oggi il tracciamento avviene tramite l'impronta dei browser e dei dispositivi (fingerprint).
Per una reale protezione degli utenti occorre, invece, agire ad un diverso livello, imponendo specifici obblighi alle grandi aziende, quelle che gestiscono i cookie sul serio, e che ricevono e trattano i dati. E lato utente occorre agire sui tracker, ad esempio invitando gli utenti ad utilizzare estensioni come Privacy Badger (o Ghostery o Disconnect) che protegge decisamente molto meglio rispetto ad un banale opt out sui cookie.
In conclusione l'attuazione della cookie law si presenta come una mera operazione di maquillage che non tutela affatto i visitatori, quanto piuttosto costringe molti blogger a obblighi burocratici defatiganti che scoraggeranno moltissimi dall'aprire e gestire siti web.