PRIVACY

CookieLaw : non tutto il “male” vien per nuocere…

4020277369_882d43fb20_z
Scritto da Alberto Nicolai

In questi giorni si sta assistendo ad una sorta di insurrezione del popolo del Web, che fatica a comprendere la c.d. CookieLaw e gli adempimenti ivi previsti. In risposta al Provvedimento del Garante fioccano già le prime petizioni volte a modificarlo in chiave meno gravosa per i gestori dei Siti Web. Cerchiamo, con il presente articolo, di sfatare alcuni luoghi comuni relativi al Provvedimento, riflettendo al contempo sull’impatto avuto nei confronti del popolo di Internet.

(Foto di Brian Richardson, Flickr)

FACCIAMO CHIAREZZA

Dal 3 Giugno è entrato ufficialmente in vigore il provvedimento del Garante per la Privacy dell’8 Maggio 2014, ribattezzato dal popolo del Web come “Cookie Law”, con il quale viene IMPOSTO l’obbligo per tutti i Siti Web di informare gli utenti circa i Cookies utilizzati, implementando un apposito banner all’apertura del Sito che li avvisi di tale utilizzo.

Questa affermazione è corretta?

NO.

Dal 3 Giugno tutti i Siti internet che utilizzano cookies POSSONO giovarsi del provvedimento del Garante per fornire ai propri utenti un’informativa SEMPLIFICATA su TUTTI i Cookies utilizzati (siano essi meramente tecnici, analitici o di profilazione) e per acquisire un consenso SEMPLIFICATO per i soli Cookies di profilazione.

Questa affermazione, invece, è CORRETTA.

(per una spiegazione dei diversi tipi di cookies si rimanda a QUESTO articolo; per una guida completa alla luce degli ultimi chiarimenti del Garante si rimanda a QUESTO articolo).

In questi giorni circolano le più disparate e fantasiose teorie circa il provvedimento n. 3118884 del Garante per la Protezione dei dati personali, e ritengo pertanto doveroso fare chiarezza sul senso – e sulla bontà – di tale provvedimento, a cui seguirà una mia personale riflessione.

PRIMA DELLA COOKIE LAW…

Non sono scattati il 3 Giugno 2015 gli obblighi di informativa e consenso per l’utilizzo dei Cookies.

Tali obblighi sono stati sanciti a livello europeo prima dalla Direttiva 2002/58/CE, in seguito aggiornata dalla Direttiva 2009/136/CE, che è stata recepita in Italia con la modifica dell’art. 122 del nostro Codice Privacy per effetto dell’art. 1, comma 5, del D.L. n.69/2012.

Sono quindi ben 3 anni che il nostro Codice Privacy parla di “Informazioni raccolte nei riguardi del contraente o dell’utente”, prevedendo che:

“L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3.[…]”

Il Provvedimento del Garante dell’8 Maggio fornisce, per l’appunto, le MODALITA’ SEMPLIFICATE indicate nell’art.122.

E tali modalità – studiate per venire maggiormente incontro alla comunità digitale – non sono piovute dall’alto per imposizione del Garante, ma sono state formulate tenendo in debito conto le proposte delle:

associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

così come previsto dallo stesso art. 122, comma 1, ultimo periodo, e come di fatto accaduto a seguito della consultazione pubblica indetta il 22 Novembre 2012.

… DOPO LA COOKIE LAW

Pertanto, dal 3 Giugno sono scattate le modalità indicate nel provvedimento del Garante per informare gli utenti – in maniera differente e semplificata rispetto alla generale normativa Privacy –  sull’utilizzo dei Cookies, e per acquisire il loro consenso informato con riferimento a determinati cookies più invasivi, ovvero i cookies di profilazione.

IN COSA CONSISTE TALE SEMPLIFICAZIONE?

La più rilevante semplificazione riguarda il meccanismo di acquisizione del CONSENSO all’uso dei Cookies di profilazione da parte dell’utente, che può avvenire anche per “comportamento concludente”, ovvero tramite continuazione della navigazione o click su un elemento esterno al “banner” informativo.

Questo meccanismo di acquisizione del consenso tramite comportamento concludente è una assoluta novità in ambito Privacy, dove il consenso deve essere – di norma – acquisito in modo:

  • Espresso
  • Libero
  • Informato
  • Con riferimento ad un trattamento chiaramente individuato
  • Documentato per iscritto

Capite bene che, in assenza del Provvedimento del Garante dell’8 Maggio 2014, l’acquisizione del consenso in forma “standard” e NON semplificata sarebbe risultato decisamente più complesso, e pertanto avrebbe comportato “disagi” ben maggiori.

RIFLESSIONI

La Cookie Law sta scuotendo la comunità del Web.

Un provvedimento in ambito Privacy sta – finalmente – attirando l’attenzione del popolo informatico/tecnologico, settore che detiene l’assoluto primato con riferimento all’enorme mole di dati dati personali e/o sensibili che ogni giorno vi circola, in maniera pressoché indisturbata e libera.

Si alzano cori in nome della “libertà di parola”, si elevano voci a difesa dei piccoli blogger che trattano di cucina o di bricolage nei loro siti, si lanciano petizioni dirette a “colpire” i browser Internet, piuttosto che i Titolari del trattamento.

A tal proposito – in particolar modo con riferimento al presunto adeguamento di ogni realtà online alla Cookie Law – trovo illuminanti le parole del Presidente dell’ANDIP, Avv. Michele Iaselli, che sul tema si è così espresso pubblicamente su Facebook:

 Attenzione: l’argomento cookies e relativo adeguamento secondo le recenti prescrizioni del Garante è un argomento molto delicato che non deve finire in pasto ai soliti speculatori. Già sento parlare di necessità per tutti i siti ed addirittura i blog di adeguarsi, mentre tale necessità riguarda solo coloro che installano i cookies. I maggiori problemi, tra l’altro, li creano i cookie di profilazione, per i quali i titolari dei siti non devono limitarsi alla sola informativa (breve ed estesa) e relativo consenso, quello è il minimo, ma devono provvedere anche alla necessaria notificazione all’Autorità.

A questo punto, con riferimento ai vari moti di protesta che circolano in rete, mi sorgono spontanee alcune domande:

  • Tutti quelli che oggi si lamentano della Cookie Law, dov’erano (circa) un anno fa quando è stato emanato il provvedimento del Garante?
  • Hanno forse partecipato alla pubblica consultazione per sollevare all’Autorità tutti i loro legittimi dubbi in materia?
  • Hanno mai considerato prima gli aspetti Privacy relativi al loro sito?
  • Sono consapevoli che non solo il mancato adeguamento alla Cookies Law può comportare pesanti sanzioni ma, per esempio, anche inviare newsletter senza aver acquisito il preventivo consenso, ovvero profilare i proprio utenti senza effettuare la dovuta notificazione al Garante?

Anche l’avv. Rocco Panetta, già dirigente al Garante Privacy e avvocato dell’anno per NCTM in ambito Privacy, ha affermato che:

 Le norme e i nuovi obblighi si rivolgono in particolare a coloro i quali attraverso l’uso dei cookies sul web intendano svolgere anche attività di profilazione di clienti e utenti, anche occasionali. I meccanismi in apparenza semplici, nascondono profili interpretativi controversi. Le sanzioni non lasciano molto all’immaginazione e quindi la compliance col quadro normativo europeo non può essere messa in secondo piano.

Tuttavia, il provvedimento sui Cookies sta diventando, secondo l’opinione dello scrivente, una sorte di spartiacque tra il vecchio mondo del Web anarchico, ignorante e disinteressato ai profili Privacy, e una nuova concezione del Web, dove la Privacy merita ogni giorno di più di essere rispettata, nella consapevolezza dei reali pericoli insiti in un uso indiscriminato delle nostre informazioni e dei nostri dati personali.

Il Provvedimento non deve essere visto come un passo indietro, come un blocco allo sviluppo della rete internet, ma come un intervento necessario ad evitare pericolosissime derive.

Dobbiamo imparare dal caso NSA/Snowden e tutelarci prima che sia troppo tardi, prima che la rete e il suo meccanismo totalizzante limiti i nostri diritti fondamentali.

Bisogna leggere il provvedimento del Garante in chiave – scusate il gioco di parole – “Garantista”, e non in chiave “burocratico-afflittiva”: obiettivo del Garante è quello di tutelare il patrimonio dei dati personali di ognuno di noi, non è quello di colpire il business online o di bloccare il progresso tecnologico!

Ecco la bontà del Provvedimento del Garante, che va oltre il diretto impatto del suo contenuto e dei suoi “obblighi”, e che riesce nell’intento (forse non voluto) di convogliare l’attenzione di un popolo restio dal rispettare le regole nel trattamento dei dati personali.

UN ESEMPIO

Immaginiamo di uscire a fare una passeggiata.

Entriamo in un negozio di scarpe, diamo un occhiata, non compriamo nulla, salutiamo e usciamo. Prima di uscire, però, ci dicono che arriverà un bel paio di scarpe rosse settimana prossima, e si scusano per non averle materialmente in negozio.

Era la nostra prima volta in quel negozio, ma le scarpe rosse erano proprio il nostro desiderio. Ce l’abbiamo scritto in faccia?

Entriamo quindi in un secondo negozio, ci accolgono salutandoci per nome mostrandoci un ottimo paio di scarpe rosse, proprio quelle che volevamo, sia come modello che come rapporto qualità/prezzo.

Le compriamo, e ci dicono che ce le mandano a casa con un corriere espresso, alla via che già conoscono ovviamente. Per il pagamento nessun problema, accettano sia la Paypal di cui conoscono l’indirizzo mail, che la nostra carta di credito Visa 5869*******.

Siamo clienti di questo negozio da un paio di anni, ma certe informazioni non ci sembrava di averle mai fornite, o comunque non vorremmo fossero in loro possesso.

Usciamo dal negozio di scarpe, ed entriamo in bibilioteca: ci chiedono se vogliamo noleggiare un libro giallo, oppure un film d’azione. Questo perché sanno già che, negli ultimi 3 anni, abbiamo letto solo libri gialli e visto l’80% di film d’azione, il restante 20% sono serie tv che loro non noleggiano.

Come fanno a saperlo? Mah… 

Prendiamo un libro di Michael Connelly e torniamo a casa sorridenti.

Bene, tutto questo accade quotidianamente online, anche e soprattutto tramite i Cookies: siamo – in molti casi – dei semplicissimi libri aperti, da sfogliare a piacimento e da spremere fino al midollo.

Dobbiamo pensare che i Cookies svolgono una funzione, per certi versi, analoga a quella di un commesso nei negozi. Questi rimane ad osservare quali vestiti guardiamo e quali potrebbero piacerci, così appena richiamiamo la sua attenzione cerca di indirizzarci su cosa potremmo volere. Ci potrebbe addirittura suggerire vestiti che nemmeno stavamo guardando, ma che sono comunque in linea con le nostre scelte espresse (ergo rilevabili osservando i nostri comportamenti).

Ma non solo. Il commesso presta molta attenzione anche alle telefonate che facciamo all’interno del suo negozio, cerca di leggere gli sms che mandiamo mentre giriamo cercando i capi di abbigliamento che desideriamo, ci interroga e memorizza all’istante qualsiasi nostra informazione utile, così da poterla riferire al suo capo, che ne farà l’uso più lucrativo possibile, eventualmente anche cedendo tali informazioni ad altri interessati.

Ma alcuni potrebbero – giustamente – essere particolarmente infastiditi dal commesso “ficcanaso”, che tenta in tutti i modi di carpirci informazioni e dati.

Ecco, chiedere di bloccare i Cookies è più o meno come chiedere ad un commesso di non assillarci con continue domande, invitandolo gentilmente ad osservare qualcun altro presente nel negozio.

CONCLUDENDO

Ma dai, ho capito dove vuoi andare a parare, ma riempire di banner tutti i siti non serve a nulla! Tanto la gente non legge né il contenuto dei banner, né tantomeno l’informativa completa…

E’ il solito macro-problema tutto italiano: manca una CULTURA PRIVACY, un’educazione al valore dei dati personali, che giorno dopo giorno stiamo tentando, nel nostro piccolo, di infondere ai nostri lettori.

… sono solo costi per noi gestori dei siti, costi inutili per evitare sanzioni eccessive!

La Privacy dovrebbe essere vista dai gestori dei siti – e così dalle aziende – come un valore aggiunto, come un “Plus” concorrenziale, come una dichiarazione di lealtà nei confronti del cliente, come un’opportunità di sano sviluppo in melius del proprio Business.

I clienti dovrebbero scegliere (anche) in base alla trasparenza sul trattamento dei dati personali, onde evitare di trovarsi poi vessati da telefonate, mail, messaggi, richieste, promozioni, offerte di terzi di cui si ignora l’esistenza, e a cui si è inconsapevolmente fornito i propri riferimenti personali più riservati.

Pertanto, e concludendo davvero: ben venga la Cookie Law, ben vengano le “polemiche” annesse, ben venga il dialogo in tema Privacy.

Quanto dovremo aspettare perché anche i Media – soprattutto televisivi – aprano le porte al mondo della Privacy, e trattino temi delicati come l’utilizzo dei Cookies?

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

  • L’articolo è particolarmente indulgente con l’operato del Garante.

    Nessuno dubita delle buone intenzioni dell’Autorità, ma il risultato finale non convince.
    Se siete interessati ad una lettura più critica, vi consigliamo:

    #cookielaw: esame senza sconti degli ultimi chiarimenti del Garante

    Esame puntuale e non particolarmente benevolo dell’operato del Garante sulla questione #cookielaw e, in particolare, dei suoi ultimi (tardivi) chiarimenti. Il malcontento da parte soprattutto dei piccoli blogger amatoriali ha dato origine a proteste plateali e petizioni, ma il Garante non ha fatto marcia indietro né ha corretto l’impostazione del proprio intervento. Vengono proposti degli esempi semplici e chiari su come essere conformi alla disciplina europea e nazionale (taluni anche autorevoli).

    @lamiaprivacy:disqus #privacy #nonchiudeteiblog #easycookielaw

    https://lamiaprivacy.wordpress.com/2015/06/11/cookielaw-esame-senza-sconti-degli-ultimi-chiarimenti-del-garante/

    • Alberto Nicolai

      L’articolo è volutamente provocatorio.

      L’Italia ha bisogno di una scossa dal lato Privacy.

      Certamente il provvedimento non è esente da critiche: date le plurime letture degli interpreti, è evidente che il Garante non è riuscito nell’intento di offrire una chiave di lettura univoca delle proprie intenzioni.

      Tuttavia – dal punto di vista pratico – abbiamo offerto la nostra interpretazione con la seguente guida, che riteniamo esaustiva: http://www.dirittiweb.it/2015/06/i-chiarimenti-del-garante-sullutilizzo-dei-cookies-proviamo-a-capirne-di-piu/

      Per quanto riguarda i piccoli blogger, peraltro toccati in minima parte dalla Cookie Law, sono mai stati consapevoli dei risvolti Privacy del loro sito? E dei rischi connessi ad un uso superficiale dei dati personali dei loro utenti ex art. 15 Codice Privacy?

      La CookieLaw può essere vista come l’occasione giusta per adeguarsi ad una Legge, vigente in Italia già dal 1996, troppo spesso ignorata e ridicolizzata.

      • Tutta la vicenda dei “cookie all’italiana” è un esempio lampante dell’inadeguatezza di certe istituzioni, i cui rappresentanti sono spesso dei vecchi arnesi della politica, degli scartati che vengono ricompensati con delle poltrone che vengono viste come delle buonuscite di lusso.
        Persone senza competenze specifiche e prive dell’umiltà necessaria per immedesimarsi nei panni di tanti piccoli operatori del web, prima di emanare provvedimenti di pessima qualità che incidono pesantemente su quelle persone e sui rispettivi utenti. Invece i big player sicuramente saranno stati sentiti e considerati…
        E’ ora di finirla con queste pagliacciate, anche il Garante dovrebbe obbligatoriamente essere tenuto ad effettuare una valutazione di impatto della normazione prima di emanare provvedimenti.
        Quello che possiamo fare, ora che i buoi sono usciti dal recinto, è criticare costruttivamente per far apportare le modifiche necessarie.
        Non è più il tempo di essere indulgenti con il potente di turno che, per dolo o incapacità, compie stupidaggini.

  • Se l’intento a monte può essere positivo (fare maggiormente luce sul problema della privacy in rete), la Legge e la sua attuazione tecnica sono invece completamente sballate, inutili e addirittura controproducenti.
    In questo modo, per chi basa davvero il proprio business sulla profilazione dei dati, sarà tutto ancora molto più semplice (e legale)!

  • duccioarmenise

    E’ vero, almeno l’entrata in vigore della “cookie law” sta finalmente costringendo un po’ tutti a fare i conti col problema dei rischi per la privacy connessi all’utilizzo dei cookies. Fortunatamente la legge può sempre essere migliorata. Stanno nascendo una serie di proposte nel gruppo “Fatti di Cookies” su facebook. Una riguarda la redistribuzione delle responsabilità fra siti e browser, in tal senso è già disponibile una petizione qui: https://www.change.org/p/la-cookielaw-deve-rivolgersi-a-una-decina-di-browser-non-a-miliardi-di-siti-cookiechange

    • Alberto Nicolai

      Certamente, la Legge può sempre essere migliorata.

      Per quanto riguarda la redistribuzione di responsabilità fra Siti e Browser, mi trova in disaccordo dal punto di vista strettamente giuridico, anche se dal punto di vista pratico sarebbe senza dubbio più comodo.

      Il Garante si rivolge al soggetto di diritto deputato al trattamento dei dati personali, ovvero al Titolare. I browser sono meri intermediari, che offrono un servizio agli utenti di Internet.

      Al Titolare spetta il più ampio margine di libertà nell’utilizzo dei dati personali, e così di strumenti quali i cookies, ed è colui che risponderà in caso insorgessero responsabilità per danni nel trattamento dei dati personali.

      Quindi: bisognerebbe responsabilizzare i Browser? Nominarli ex lege Responsabili del trattamento di TUTTI i siti internet?

      Tale impianto, a mio modo di vedere, non regge, e non è compatibile né con la nostra normativa Privacy, né con quella Europea.

      • duccioarmenise

        L’impianto che vedo io è invece il seguente: Il browser è lo strumento che serve a navigare, è la tua nave, e deve essere sicura. Se i naviganti del web sapessero usare la propria “nave”, e se questa “nave” fosse più facile da “governare”, ci sarebbero molti meno rischi per la loro privacy.
        Provo anche con un’analogia automobilistica in cui il browser fa le veci della macchina e il sito è una strada privata: è obbligo del proprietario della strada indicarti una curva pericolosa, ma tu devi saper guidare la tua macchina che deve rispondere a tutta una serie di norme di sicurezza. A quel punto il cartello di pericolo messo dal proprietario della strada può limitarsi a dire “curva pericolosa a destra” e non “si consiglia di sterzare ruotando il volante velocemente in senso orario, in caso non si trovi il volante è necessario premere sul pedale centrale con forza”. Ho reso l’idea?

        Inoltre anche un sito che offre cookie di terze parti è un “mero intermediario” che offre un servizio ai suoi utenti. Perché il browser no?

        • Alberto Nicolai

          Hai reso l’idea con ottimi esempi, ma il nostro Codice Privacy è basato sul rapporto Titolare-Responsabile-(Incaricato)-Interessato.

          Quindi, come qualificare il Browser?

          Senza contare che il nostro Garante non può discostarsi dalla normativa comunitaria, pertanto tale impianto non ritengo possa essere adottato…

          • duccioarmenise

            Direttamente a livello italiano non si può fare, sono d’accordo. A livello nazionale sarebbe già tantissimo ottenere anche solo l’opt-out, come in UK!
            Proposte di modifica più radicale sono da presentare a livello Europeo.

Leggi articolo precedente:
8182590_98f030bc01_z
I chiarimenti del Garante sull’utilizzo dei Cookies. Proviamo a capirne di più

9386166498_db00d1357c_z
Dipendente che chatta su Facebook durante l’orario di lavoro: licenziato

3294310361_4f67c511a3_z
Deroga alla competenza giudiziaria con un click? L’Europa dice SI’

Chiudi