Cerchiamo di fare il punto della situazione ad analizziamo i chiarimenti del garante punto per punto.
Siti che non utilizzano cookie
Il garante, come prima cosa, ha ritenuto opportuno precisare un aspetto che, a dire il vero, era già piuttosto chiaro: i siti web che non fanno uso di cookie sono totalmente esclusi dall'ambito di applicazione della normativa. Questo il passaggio:
Resta fermo che i siti che non consentono l'archiviazione delle informazioni nell'apparecchio terminale dell'utente o l'accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa.
Siti che utilizzano solo cookie tecnici
In secondo luogo viene precisato che anche per i siti che usano solo cookie tecnici (per la distinzione fra i vari tipi di cookie si legga qui) gli adempimenti di legge sono piuttosto leggeri:
Si conferma che per l'uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell'informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.
In altre parole: se il sito utilizza solo cookie tecnici non serve nessun consenso preventivo e quindi nessun banner di avviso. E' sufficiente aggiungere, anche in modo informale, una nota all'interno della privacy policy del sito (che ricordiamo è obbligatoria!) dove il gestore comunica all'utente il sito fa uso di cookie tecnici per la gestione di talune funzionalità e per garantire un corretto funzionamento dei servizi.
Siti che utilizzano cookie analitici
La normativa equipara i cookie analitici ai cookie tecnici solo ed esclusivamente ove questi siano gestiti direttamente dal titolare del sito. Se così non fosse, invece, i cookie analitici vengono fatti rientrare nella famiglia dei cookie di profilazione, con tutto quello che ne consegue.
Resosi conto che nella stragrande maggioranza dei casi le statistiche dei siti web sono misurate attraverso strumenti di terze parti (primo fra tutti Google Analitycs) il garante, in un ottica di semplificazione, ha ritenuto tuttavia opportuno precisare quanto segue:
In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP).
In altre parole: se utilizzate Google Analytics provvedete subito ad effettuare l'anonimizzazione degli IP degli utenti. Così facendo il codice di tracciamento di Analytics può essere utilizzato "tranquillamente" senza obblighi particolari (se non, ovviamente, quello di indicare la presenza di questi cookie all'interno della policy del sito). Ancora una volta, quindi, sembrerebbe non servire nessun blocco preventivo né il banner di avviso su tutte le pagine.
In un successivo passaggio il Garante, tuttavia, ci spiega che l'anonimizzazione degli IP potrebbe non essere sufficiente essendo altresì necessario che il vostro fornitore del servizio si impegni contrattualmente a non utilizzare i dati per fini ulteriori a quello di erogare il servizio di statistiche:
L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.
A questo punto, quindi, sarà opportuno dare un'occhiata al TOS (Terms Of Service) del vostro fornitore di statistiche per vedere se quanto richiesto è contemplato o meno. In caso contrario, quindi, torna l'obbligo del blocco preventivo e del banner.
Siti web che installano cookie di terze parti
E veniamo alla questione più spinosa. Cioè cosa fare quando il nostro sito web fa da tramite all'installazione di cookie ad opera di altri siti (cosidetti cookie di terze parti). Sul punto, purtroppo, il garante sottolinea la "linea dura": pur consapevole della difficoltà tecnica di implementazione, infatti, l'autorità sottolinea come il termine di 12 mesi sia stato - a suo avviso - più che sufficiente per trovare delle soluzioni, magari appellandosi alle community open-source oppure a servizi specializzati:
In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.
Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell'8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l'applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.
Dopo questa premessa, il garante sottolinea come anche per l'installazione di cookie di terze parti sia necessario prevedere sistemi che subordinino ciò al consenso preventivo dell'utente:
Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull'installazione dei cookie, consentendo loro di inibire l'installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l'installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.
In altre parole: se il tuo sito usa AdSense o qualche widget sociale, integra un video di YouTube o una mappa... devi bloccare tutto in attesa di ricevere prima il consenso degli utenti!
Il garante prosegue sull'argomento precisando che al titolare del sito è chiesto un duplice adempimento in merito ai cookie di terze parti:
È bene precisare, tuttavia, che per la natura "distribuita" di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all'uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l'evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall'altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l'utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.
In altre parole, il nostro sito dovrà avere:
- il banner con l'informativa breve ed un sistema in grado di bloccare i cookie di terze parti prima del ricevimento del consenso dell'utente;
- indicare, all'interno dell'informativa estesa, i link verso le privacy policy di tutte le aziende terze che trasmettono cookie mediante il tramite del sito stesso.
Il documento di chiarimento prosegue poi sottolineando come i semplici link siano esclusi dall'ambito di applicazione dell'informativa (ndr: e chi mancherebbe!):
Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c'è bisogno di informativa e consenso.
Ancora in merito ai cookie di terze parti, il Garante ritiene opportuno sottolineare come la normativa riguardi solamente quei siti che, per libera scelta, hanno deciso di utilizzare sistemi pubblicitari che utilizzino cookie per erogare messaggi mirati:
Preme sottolineare che l'obbligo di rendere l'informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.
Peccato, ovviamente, che ad oggi - nel mondo - tutti i sistemi di advertising digitale utilizzino tali tecnologie rendendo, di fatto impossibile al singolo webmaster adottare soluzioni differenti.
Modalità di acquisizione del consenso
Uno degli ultimi paragrafi del documento è dedicato alle modalità di (valida) acquisizione del consenso da parte dell'utente in merito all'utilizzo di cookie.
Come noto, nel Provvedimento è stato stabilito che "la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie".
In altre parole, il consenso dell'utente può essere validamente manifestato non solo con il click su un eventuale pulsante di accettazione splicita presente all'interno del banner d'informativa, ma anche in altri modi "taciti". Il primo di questi è indicato chiaramente: se l'utente clicca su un link o accede, anche in altro modo, in un'altra pagina del sito il consenso s'intende acquisito.
Oltre a questo il Garante ha ritenuto doveroso soffermarsi anche su un'altra modalità molto utilizzata, quella dello scroll di pagina:
Al riguardo, si rappresenta che soluzioni per l'acquisizione del consenso basate su "scroll", ovvero sulla prosecuzione della navigazione all'interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell'informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell'utente.
Da questo passaggio possiamo trarre alcune informazioni importanti, innanzitutto che lo scroll è considerata una valida forma di prestazione del consenso a condizione che:
- ciò sia chiaramente indicato nell'informativa breve;
- che l'evento scroll possa essere registrato, documentato e chiaramente identificato come un'azione positiva dell'utente.
Quest'ultima frase - a dire il vero - non è chiarissima. Ad opinione di chi scrive, tale requisito può essere ritenuto soddisfatto nel momento in cui sia possibile registrare in modo preciso l'attività di scrolling (magari misurandola in termini di pixel) e che a ciò segua una trasmissione di un cookie tecnico che cristallizzi tale evento quale atto di accettazione.
Applicazione della cookie law italiana anche a siti che hanno sede in Paesi extra EU
Visti i numerosi quesiti ricevuti, l'autorità garante per la protezione dei dati personali si è espressa anche in merito ad un argomento molto dibattuto, ovvero l'obbligo di adeguamento o meno per i siti web gestiti in paesi extra UE:
In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato"
In altre parole: non è importante se il gestore del sito è Europeo o meno oppure se il server web si trova in Russia piuttosto che in Australia. Secondo il Garante, infatti, per ricadere nell'ambto di operatività della norma è sufficiente che il sito venga visitato da un cittadino italiano sul cui computer vengano installati cookie!
Sul punto credo non sia nemmeno necessario esprimersi: forse chi ha scritto questa norma non sa che io, italiano, posso vedere tramite il mio computer siti di tutto il mondo e che, pertanto, tutti questi siti sarebbero "obbligati" (uso le virgolette!) ad adeguasi alla normativa italiana... sinceramente, tuttavia, vedo difficile obbligare siti russi, cinesi o americani ad adeguarsi alla nostra normativa...
Notificazioni in caso di gestione di più siti
Il Garante sottolinea che, qualora il medesimo gestore operi mediante una pluralità di siti web che trasmettono cookie di terze parti, non sarà necessario provvedere ad una notificazione per ciascun sito ma sarà sufficiente un unico atto di notifica contenente l'elenco di tutti i siti gestiti:
Si ritiene condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco.
Ulteriori chiarimenti
Per finire, il documento apre a futuri chiarimenti:
Ulteriori chiarimenti potranno essere forniti dall'Autorità a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire.
Conclusioni
In merito al documento di chiarimenti pubblicato sul sito del garante, purtroppo, non mi è possibile che esprimere ulteriori perplessità. L'orientamento scelto dall'autorità garante della protezione dei dati personali, infatti, appare a chi scrive eccessivamente rigoroso e poco consapevole delle reali dinamiche della Rete: vincolare i gestori di ogni sito web a controllare i cookie di terze parti, infatti, appare eccessivamente oneroso così come appare irrealistico voler obbligare ogni sito della Rete mondiale ad adeguarsi alla cookie law qualora a visitarlo sia un utente italiano.
Forse chi ha redatto la norma non conosce a fondo le dinamiche che portano alla creazione di un sito web moderno ed alla struttura distribuita della Rete: l'utilizzo di widget, banner, mappe, video, plugin sociali, ecc. è all'ordine del giorno e intimare il blocco preventivo di questi strumenti significa voler riportare indietro le lancette dell'orologio.
Se l'Unione Europea ritiene così pericolosi i cookie - ma non abbiamo problemi ben più gravi? - perché non chiedere ai produttori di browser di bloccarli di default o di prevedere strumenti informativi e di scelta da mostrare all'utente in fase di installazione e configurazione del software? Così facendo si sarebbe evitato di scatenare il panico in Rete e di obbligare milioni di siti web (grandi e piccoli) ad infarcire le proprie pagine di avvisi noiosi che finiranno presto per essere ignorati dagli utenti.
Altra via, ancora, avrebbe potuto essere quella di riunire ad un tavolo Google, Facebook, Twitter e pochi altri player chiedendo loro di escludere dai loro servizi l'utilizzo di cookie di profilazione per l'utenza Europea. Anche in questo caso si sarebbe potuto risolvere il problema dei cookie coordinando il lavoro di pochi tecnici, tra l'altro molto preparati e ben retribuiti... piuttosto che far venire il mal di testa (o togliere il sonno) a migliaia di piccoli webmaster non sempre in possesso delle giuste competenze per adeguarsi alle richieste (tecnicamente molto complesse) della normativa.
Purtroppo così non è stato, ed a noi webmaster (piccoli, grandi, bravi e meno bravi) non resta che adeguarci... o in alternativa chiudere (nel timore di sanzioni davvero stratosferiche!)