giovedì 11 giugno 2015

Cookie Law - I chiarimenti del Garante Privacy

Lo scorso 5 giugno, e quindi a soli due giorni dall’entrata in vigore della normativa sui cookie, il Garante Privacy ha pubblicato i propri chiarimenti all’attuazione del provvedimento n. 229 del 2014 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878).

Questi in estrema sintesi i punti che l’Autorità si è sentita in dovere di precisare.
1. I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
2. Per l'utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
3. I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
4. Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
a) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell'IP);
b) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
5. Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l'installazione di cookie di profilazione non c'è bisogno di informativa e consenso.
6. Nell'informativa estesa il consenso all'uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
7. È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell'ambito dello stesso dominio.
8. Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.
Con i chiarimenti in commento l’Autorità ha cercato di porre un freno al proliferare di critiche alla nuova normativa, piovute dal mondo di internet, da sempre refrattario a regole giudicate liberticide.
Permango però dubbi e ciò per il fatto che non è sempre facile comprendere se un cookie possa essere considerato un elemento puramente tecnico e quindi neutro, e quando invece venga utilizzato come strumento di profilazione, perché magari legato ad elementi social.
Una delle situazioni che più ha fatto nascere incertezze è quella dei blog. Per evitare di incorrere in sanzioni, i blogger e i gestori dei siti non commerciali devono eliminare ogni possibile fonte di cookie di profilazione, e ciò non è così immediato nell’era dei social e della condivisione.
A ben vedere, i reali destinatari della cookie law sembrano essere le attività commerciali, ovvero quei siti che non possono rinunciare ai cookie di profilazione: i siti web di marketing e pubblicità, i siti di ecommerce e, più in generale, tutte quelle attività (davvero numerose) che necessitano di una integrazione con gli strumenti Facebook-Google.
Il titolare di uno di questi siti dovrebbe porre in essere tutti gli adempimenti previsti dalla normativa appena entrata in vigore: banner, informativa estesa, notifica al Garante e adottare script che blocchino i cookie prima che l’utente dia il consenso.
In definitiva, sul tema dei cookie sembra esserci molta confusione a tal punto che il Garante Privacy ha preannunciato che l’applicazione delle sanzioni, almeno inizialmente sarà molto soft.