via conceptio.it

Lettera al Garante per la privacy: il pasticcio dei cookie e il chiarimento che non chiarisce

A seguito dell'introduzione della nuova regolamentazione sui cookie, sussistono ancora molti dubbi e sollecitiamo il Garante a chiarire. Questa lettera è stata spedita via mail al Garante. Se volete unirvi alla nostra richiesta di chiarimenti, potete copiare la lettera e inviarlaurp@gpdp.it

Lettera inviata dall'autore dell'articolo alle 14:30 del 4 giugno 2015.

Spett.le Garante per la protezione dei dati personali,

premesso

- che al 3 giugno 2015 era previsto l'obbligo di porre in regola tutti i siti web gestiti da soggetti “stabiliti” in Italia;
- che purtroppo allo stato, nonostante il provvedimento dell'8 marzo 2014, e le FAQ relative all'attuazione delle regole in materia di cookie, permangono alcuni dubbi;
- che in particolare non è chiaro come debba regolarsi un sito web di un privato (un piccolo blog) che fa uso di cookie di terze parti, specialmente in relazione ai social plugin ormai presenti praticamente su tutti i siti;
- nello specifico il problema sorge perché dalle istruzioni del provvedimento dell'8 marzo 2014 sembrerebbe evincersi che al gestore di un sito web spetti comunque, oltre che di fornire nell'informativa breve l'indicazione della presenza di cookie di terze parti, e di fornire i link alle policy privacy delle terze parti nell'informativa estesa, anche l'obbligo di acquisire il consenso prima di inviare i cookie dei plugin sociali;
- che il detto adempimento risulta di particolare difficoltà tecnica non essendo sempre possibile per il gestore del sito capire esattamente quali cookie utilizzano i terzi (e i social plugin), di conseguenza molti siti si stanno orientando nel bloccare tutti i cookie indifferentemente, con le ovvie conseguenze sulle funzionalità dei siti medesimi;
- che la normativa in materia di tutela dei dati personali stabilisce che un soggetto può essere ritenuto responsabile degli adempimenti rispetto ai quali riveste un ruolo attivo e che rientrano nell'ambito della propria sfera d'azione e non certo, invece, per comportamenti sui quali non ha alcuna possibilità di intervento, perché in caso contrario si arriverebbe ad una ingiustificata attribuzione di una sorta di responsabilità oggettiva per comportamenti altrui, e quindi il recepimento del consenso e per la fornitura della relativa informativa relativamente ai cookie di terzi dovrebbe spettare esclusivamente ai terzi;
- che sotto tale aspetto il gestore del sito web non tratta alcun dato relativamente ai social plugin ma il trattamento è tutto a carico del social network;
- che ulteriormente il gestore del sito web non sempre è in grado di capire se il proprio sito veicola cookie da social plugin e quali sono, e quali dati tali plugin social trattano, di conseguenza qualunque informativa in merito fornita dal gestore del sito web sarebbe incompleta e qualunque consenso fornito dall'utente che visita il sito sarebbe non informato e quindi giuridicamente non valido;
- che la conclusione dovrebbe essere nel senso che giuridicamente il gestore del sito web non ha alcun obbligo in merito ai cookie di terze parti, specialmente con riferimento ai social plugin;
- che la normativa di riferimento prevede che i social plugin debbano tracciare solo soggetti iscritti al social e già loggati, e nessun altro;
- che l'eventualità che il social network utilizzi i plugin sociali per tracciare anche soggetti non loggati nel social (attraverso il browser) o addirittura non iscritti al browser è totalmente indipendente dal gestore del sito web, il quale non sarebbe nemmeno in grado di verificare la circostanza;
- che quindi una eventuale violazione della normativa da parte del social network non può tradursi in un inasprimento degli oneri burocratici a carico del gestore del sito web, ma è di competenza del Garante indagare e perseguire tali violazioni;
- che allo stato effettivamente risultano indagini in materia da parte del Garante del Belgio (ricerca del centro interdisciplinare di diritto e ICT (ICRI), del dipartimento di sicurezza informatica e crittografia dell’Università di Leuven e dal dipartimento dedicato alle telecomunicazioni, ai media e all’informatica (Smit) della Vrije Universiteit di Bruxelles http://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_04_2015.pdf ).

Tutto ciò premesso e ritenuto, si

chiede

al Garante per la tutela dei dati personali di chiarire quale deve essere esattamente il comportamento del gestore di un sito web in relazione ai cookie di terze parti, e nello specifico:

- se il gestore del sito web che veicola cookie di terze parti deve bloccare i cookie fino ad ottenimento del consenso (ok su banner o secondo modalità alternativa) oppure può inviare i cookie al momento della prima visita essendo, come precisato nel provvedimento dell'8 marzo 2014, l'informativa e il consenso a carico esclusivamente della terza parte;
- se l'obbligo di inserire i link alle policy privacy delle terze parti nell'informativa estesa è soggetto a sanzioni in quanto tali policy privacy potrebbero mutare indirizzo web e quindi sarebbe defatigante per il gestore del sito web controllare costantemente tali pagine web e aggiornare l'informativa estesa.

firma

-----------------------------------------

 L'intervista a Wired e il chiarimento che non chiarisce

Ieri è uscito un articolo su Wired dal titolo: Cookie law, il chiarimento del Garante. Un articolo che vorrebbe rasserenare gli animi, ma purtroppo ottiene, ad una attenta lettura, l'effetto opposto. Il problema rimane, fermo restando che occorrerebbe, semmai, un chiarimento ufficiale sul sito del Garante.

"Se il tuo sito non ha pubblicità, preoccupati solo che i widget social siano semplici link e non sparino cookie ai tuoi lettori". Così apre l'articolo. Ma tutti i social button usano cookie. I widget social che sono semplici link sono ben altra cosa. Per chiarirci, i button che trovate ai lati di questo articolo non sono semplici link ma utilizzano cookie. Un semplice link è, invece, ad esempio, quello che trovate qui immediatamente sotto (e non usa cookie).
facebookSi tratta di due cose completamente diverse e chi gestisce un sito è perfettamente in grado di capire. È strano che il Garante non precisi questa differenza fondamentale. Considerato questo, appare ovvio che la rassicurazione contenuta nell'articolo è diretta ad una percentuale di siti prossima allo zero!

Ancora: "Un blog non commerciale, un sitarello senza pubblicità, probabilmente deve solo pubblicare una informativa informale in cui dice di avere cookie tecnici e non di profilazione". Purtroppo non è vero, un sitarello che presenta i social button fa uso di cookie di profilazione, quelli dei social, e quindi pubblicare la sola informativa apre la strada a pesanti multe.

Continuando nell'articolo, addirittura un virgolettato: “Se sono semplici link di rimando ai siti social, nessun problema. Non ci sono cookie di profilazione. Sta poi al gestore del sito sapere se invece i widget mandano cookie di profilazione all’utente”. Ecco, sta al gestore sapere che i suoi sono, quasi certamente, social button con cookie, e quindi c'è profilazione e ci sono i problemi. Gravi problemi.

" Lo stesso Garante sta valutando se fare un provvedimento per chiarire alcuni aspetti della normativa". Un provvedimento è ormai assolutamente necessario, ecco perché abbiamo inviato al Garante la lettera sopra riportata. L'articolo non aiuta affatto, non chiarisce nulla, anzi peggiora la situazione.

"Sono i siti commerciali ad avere cookie di profilazione". Assolutamente no, il mio blog (brunosaetta.it) ha cookie, ValigiaBlu ha cookie, entrambi i siti non sono commerciali, ma entrambi usano cookie di terze parti e sono di profilazione. Chiunque usa i social button ha cookie di profilazione.

La questione rimane aperta, quindi. Il problema non è chi ha o chi non ha i cookie di profilazione (chi usa i social button li ha!), ma a chi spetta chiedere il consenso al visitatore: a me piccolo  gestore di blog che non so nemmeno quali cookie passano i social button, oppure al social network che gestisce i cookie e tratta i dati recuperati attraverso i cookie? Ed è questo che abbiamo chiesto con la lettera sopra. Ed è questo che il Garante non ha ancora chiarito.

Dall'articolo di Wired sembrerebbe, invece, che tocchi a me, gestore del blog, chiedere il consenso e se non lo faccio mi becco sonore multe. Addirittura l'impressione è che chi usa social button deve notificare il trattamento al Garante (costo=150 euro).
A questo punto occorre un chiarimento al più presto possibile. E un generico “Non temete, non abbiamo intenzione di metterci subito a fare le multe" non aiuta per nulla. IO NON VOGLIO ESSERE FUORI LEGGE basandomi sulla bontà del Garante, voglio una legge che sia chiara e mi sia possibile rispettarla, senza dover spendere cifre enormi. Io non gestisco i dati dei social plugin, ma li gestiscono i social stessi, tocca a loro chiedere il consenso. Scaricare sui piccoli gestori di blog, che si limitano ad usare servizi "chiavi in mano" predisposti dalle grandi aziende, oneri che spetterebbero a queste ultime ha come unico effetto quello di spingere la gente a non usare più Internet.
Aspettiamo una risposta del Garante.

Segnala un errore