Google+ Applicazioni Grafiche: La nuova normativa sui Cookie emessa dal Garante per la Privacy: L'ennesima mazzata sui blog? O Qualcosa di utile?

martedì 2 giugno 2015

La nuova normativa sui Cookie emessa dal Garante per la Privacy: L'ennesima mazzata sui blog? O Qualcosa di utile?

Il due giugno 2015 come tutti saprete, entra in vigore la nuova legge sui Cookie, abbiamo avuto un anno per adeguarci, ma in verità ancora non si è capito molto e tanti, anzi tantissimi sono rimasti indietro.


La diatriba sull’adozione della direttiva Europea sui cookie era già in atto da un po. L’Europa ha già indicato una direzione attraverso una direttiva che i diversi stati devono recepire come meglio credono. E come sempre noi ci adeguiamo in ritardo e male. C’è un sacco di confusione intorno questi temi e spero di aiutarti a fare un po’ di chiarezza. Guardiamo insieme cosa cambia, cosa bisogna fare… e proviamo anche a sfatare qualche mito per riportare sul concreto l’oggetto del contendere.



La normativa è orientata alla protezione della privacy degli utenti… ma è allo stesso tempo un buon compromesso per il mercato dell’advertising online (che riguarda anche gli investitori pubblicitari)?


Il problema non è una semplice contrapposizione fra pubblicitari e utenti. I cookie sono anche usati dalle piattaforme di Web Analytics senza i quali non si potrebbero registrare correttamente le visite di un sito, men che meno sapere che cosa è funzionato e cosa no nelle nostre pianificazioni pubblicitarie. La soluzione individuata va nella direzione di consentire la privacy degli utenti ma senza pregiudicare la navigazione dei siti.

Una bella bugia dire che la nostra privacy ora è al sicuro e se voi vi sentite al sicuro sappiate che non è così. La porta rimane spalancata sui sociale e tutte le informazioni che servono ai mercati alle pubblicità sono già li, la cosa belle è che li le mettiamo noi. Obbligare (che ancora non si è capito sia così o no) i siti a mettere un annuncio sulle proprie pagine è quasi inutile, e ci costringe (noi piccoli editori) ad un ulteriore di programmazione. Ma andiamo per gradi...



Quanti tipi di Cookie esistono?

Il Garante presenta due tipi di classificazione: cookie “tecnici” vs cookie “di profilazione” e cookie installati dal titolare o gestore del sitovs cookie cosiddetti “di terze parti“:


  • I cookie tecnici sono quelli che vengono usati per fornire il servizio in modo migliore a chi ne usufruisce. Sono ad esempio usati dalle piattaforme di Analytics ma sono anche quelli che il sito usa per migliorare l’esperienza di navigazione. Ad esempio i cookie che si ricordano che cosa hai nel carrello o la lingua che preferisci sono autorizzati e basta inserire una informativa su quali usi e perché. In altre parole, non è necessario un preventivo consenso degli utenti per il loro utilizzo.Questo è un punto molto importante che semplifica davvero tanto.
  • I cookie di profilazione, usando le parole del Garante, sono “volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”. Per questi è necessaria una adeguata informativa e una richiesta di consenso perché sia il Garante che l’Europa li considerano invasivi rispetto alla sfera privata degli utenti. Quelli installati dal titolare del sito, una sorta di first-party cookie, sono definiti anche “editoriali” perché la normativa fa quasi sempre riferimento solo alla dicotomia fra editori/concessionarie e advertiser.
  • I cookie di terze parti sono utilizzabili ma l’editore deve creare una descrizione di quali sta usando e perché in una pagina di informativa (la c.d. “informativa estesa” di cui vi parlo più avanti). La differenza con i cookie di profilazione è che il Garante accetta che un editore non sia necessariamente informato su tutti i cookie di terze parti che vengono installati e sul loro funzionamento. In questo caso si accetta che l’editore linki il detentore di queste informazioni – cioè la terza parte – per garantire le informativa necessarie.


A questo punto la normativa si sofferma su quali siano i soggetti coinvolti ovvero: editori e "terze parti".


"Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice.

Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti."

Leggendo queste parole si ha l'impressione che effettivamente l'obbligo di adempiere a tale normativa sia a carico del gestore che eroga il servizio, perché in verità noi non sappiamo e non sapremo mai tutte le interazioni che hanno i cookie che si generano sulla nostra pagina. Ne possiamo bloccarli in verità, quella è una cosa che comunque dovrà fare l'utente che naviga settando il suo browser.

La normativa parla di editori ma ogni sito web è in qualche modo editoriale e i contenuti che vengono pubblicati sono soggetti alla stessa responsabilità del “proprietario” del sito. Questo rende tutte le aziende italiane con un sito – non solo gli editori che si occupano di informazione – soggetti passivi di questa normativa. Non è quindi un tema solo per editori, concessionarie, centri media, agenzie SEM o performance. E’ un tema di interesse per tutte le aziende che oggi hanno un sito. (almeno così dovrebbe essere dalla prima lettura della normativa, ma rimangono sempre poco chiari gli obblighi che abbiamo) Mettersi in regola è tutto sommato facile se sapete un po' di programmazione e smanettate con il pc ma ce ne dobbiamo occupare tutti. Vediamo quindi come.

Quindi cosa devo fare effettivamente? quali modifiche? cosa presentare all’utente quando naviga sul mio sito o blog?


All’utente, sembrerebbe che come minimo, debba venir presentato un banner/pop-up/messaggio on-top la prima volta che entra nel sito nel quale viene spiegato che c’è una informativa e che il sito sta tracciando qualche aspetto della sua navigazione, ovviamente in modo del tutto anonimo. Dalla seconda volta in poi, non sarà più necessario presentare questo banner. Dico sembrerebbe perché in verità ad oggi ancora non si è capito se dobbiamo farlo noi, programmare quindi un pop-up di notifica ed una pagina adeguata per informare il nostro navigatore o se questo servizio verrà implementato dal gestore. Ad esempio da google stesso per tutti quelli che utilizzano la piattaforma "blogspot", ma andiamo avanti come se dovessimo farlo noi, la sicurezza non è mai troppa, e le multe ovviamente sono salatissime.

Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page perché l’utente potrebbe avere come entry page qualsiasi contenuto del sito (i motori di ricerca funzionano così).

Chiunque ha la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti. Le modalità le spiego meglio sotto.

La buona notizia (non dal mero punto di vista del marketing ma proprio per buon senso) è che non è richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma basta continuare la navigazione per accettare implicitamente i contenuti dell’informativa. Un po chi tace acconsente!

Inoltre, i cookie tecnici non hanno bisogno di alcuna autorizzazione! quindi se sul vostro blog girano solo cookie tecnici (di cui abbiamo già parlato prima) siete al sicuro? Io ho paura di no, è sempre meglio mettere l'annuncio. Lo sapete per certo quello che gira sul vostro sito? e poi chi ha l'ad-sense peggio di peggio! Chi ha un account Ad-sense sul proprio canale ha milioni di motivi per mettere banner e quant'altro di necessario! Il sistema Ad-sense è il primo a raccogliere dati su di noi!

Ma non finisce qui!

il tempo è scaduto ora mai, dobbiamo partire quanto prima per redigere un documento (cioè una pagina) in cui presentare i cookie che si usano, sia tecnici (in primis quelli della piattaforma di Web Analytics) che di terze parti. Questa pagina è la cosiddetta “informativa estesa“. (sempre se questi cookie sono presenti, nessuno però ci ha spiegato come vedere se questi cookie sono presenti sulle nostre pagine! Argomento sconosciuto anche per me!)

Dopo di che va predisposto un layer (meglio di un pop-up) – la cosiddetta “informativa breve” – da presentare a tutti i nuovi visitatori del sito in cui mettere il link alla privacy policy e una spiegazione del fatto che continuando la navigazione (leggi: seguendo qualche link o cliccando ovunque) si sta implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di navigazione. Nell’informativa breve va anche indicato se il sito utilizza o meno cookies di terze parti. 


Ma mettiamo che facciamo così e mettiamo questa informativa cosa cambia da prima ad ora per l'utente? Nulla comunque una volta che avrà detto no dovrà andare su una schermata dell'informativa estesa in cui gli verrà spiegato come bloccare i cookie dal suo browser. E quindi tutto questo casino per noi, fra pop-up annunci e rotture durante la navigazione perché gli utenti non sanno nemmeno cosa sono i cookie. ma non era più facile che questo lavoro lo facessero i browser stessi all'inizio della navigazione? o che fossero loro ad avvertiti che in determinati siti i cookie  possono essere carpiti a fini commerciali e statistici? 

Ovviamente ci devono sempre complicare le cose, in modo da renderle sempre più difficili e costringerci a rivolgerci a sempre più figure professionali per fare anche le cose più semplici. Una volta il 730 si compilava a casa, ora noi è così astruso che vai al Caf e ti serve quasi un commercialista, anche perché se sbagli diventi un EVASORE! Colui che non si può nominare.

Vediamo come costruire questa inutile informativa estesa!

Per il momento (cioè fino a quando non usciranno precisazioni ulteriori) nella pagina di informativa più dettagliata, deve esserci:

  1. (più per editori con adv sul sito) L’informazione che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari in linea con le preferenze dell’utente manifestate nella sua navigazione in Rete
  2. (se presenti) Che il sito consente l’invio di cookie di terze parti
  3. Un link alla pagina di informativa estesa che dovrà contenere:
    1. L’elenco dei cookie utilizzati e una indicazione della loro finalità (cioè perché li sto usando, a cosa mi servono)
    2. La possibilità di deselezionare i cookie di profilazione (anche singolarmente)
    3. Nel caso di cookie di terze parti, un link alle pagine di informativa di questi soggetti dove si descrive come funziona il cookie (in questo caso siamo una sorta di intermediario fra il nostro utente e il detentore del cookie e delle motivazioni per le quali viene usato)
    4. L’indicazione che continuando la navigazione si accettano implicitamente i cookie che il sistema andrà a installare
    5. Le istruzioni su come configurare il proprio browser per gestire (non accettare) i cookie del sito
Dobbiamo quindi tenere traccia dell’accettazione o meno della privacy policy e dei cookie di terze parti. Il bello è che il Garante stesso suggerisce di farlo… con un cookie tecnico! RIDICOLO! L’informativa estesa deve essere linkata da tutte le pagine del sito, anche solo nel fotter.

Obbligo di notifica? Si e no! Ma anche qui tutto poco chiaro!

L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti. Quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo” vanno notificati. Con costi di segreteria fino a 150 euro l'anno! Se la sono studiata proprio bene! Traducendo tutto in termini pratici: il Garante chiede una notifica solo dei cookie persistenti che riguardano informazioni personali. Tutti i cookie tecnici – compresi quelli di Web Analytics espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.


Le sanzioni: L'unica cosa chiara del decreto!

Le sanzioni sono come prima già detto piuttosto sparametrate ma, si sa, siamo in Italia questo ed altro! Da 6.000 a 36.000 € per informativa non idonea o mancante ai quali si aggiungono dai 10.000 a 120.000 € per l’inserimento di un cookie non autorizzato!

Serve un avvocato? Si potrebbe evitare ma perché rischiare?

Il consiglio è di far leggere tutto anche a un avvocato ma la normativa è abbastanza chiara e se sei arrivato fin qui potresti avere già tutti gli elementi utili. RICORDO A TUTTI COMUNQUE CHE QUESTO POST NON RAPPRESENTA UNA CONSULENZA LEGALE QUINDI GNI SPIEGAZIONE E RAGIONAMENTO è SOLO A TITOLO INFORMATIVO, MA NON PER QUESTO ESSERE GIUSTO, QUINDI RESCINDO CON QUESTE PAROLE OGNI REPSONSABILITà DELL'USO CHE FARETE DI QUESTE INFORMAZIONI! In caso contrario negherò tre volte prima che il gallo canti di aver mai postato questo articolo :):):)


Comunque, potrete passare al vostro legale (caso mai ne abbiate già uno sotto mano per altri motivi) questo link dove è spiegato tutto con i riferimenti alle normative pregresse e richiamate:
Provvedimento del Garante per la Privacy dell’8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 dello scorso 3 giugno 
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
In conclusione cosa ne penso? Utilità Zero Scocciatura Mille! Ugualmente saremo spiati, e ugualmente le compagnie sapranno tutto di noi, ma da oggi avremo un bellissimo nuovo pop-up che appare durante la navigazione!

Nessun commento :

Posta un commento