Sul sito del Garante Privacy è stata appena pubblicata un’infografica che riassume gli adempimenti a carico degli editori che gestiscono un qualunque sito web, sia in forma amatoriale che d’impresa. L’infografica, che ripubblichiamo di seguito, indica che cosa i webmaster debbono fare per mettersi in regola relativamente alla gestione dei cookie propri e di terze parti.
Come più volte evidenziato, la normativa “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“, ufficialmente in vigore dallo scorso 3 giugno, prevde che per i cookie tecnici non vi sia bisogno di visualizzare alcuna informativa. Sarà sufficiente menzionare il loro impiego nella policy sulla privacy o in un’informativa estesa “linkata” in tutte le pagine del sito web.
Nel caso dei cookie generati da codice di terze parti (cookie delle terze parti), il Garante ha deciso che, nonostante il trattamento dei dati venga di fatto effettuato da parte di società terze, l’editore deve comunque intervenire non soltanto informando il lettore circa il loro impiego ma adoperandosi affinché ne venga bloccata la generazione (e ciò fino all’acquisizione del consenso).
Il codice di terze parti che genera il cookie profilante dev’essere quindi bloccato sintanto che il lettore non avrà fornito il suo esplicito consenso.
Analoga operazione deve essere effettuata nei confronti del codice utilizzato per i servizi di statistica che generano quelli che sono stati battezzati cookie analitici.
Se però il servizio di statistica maschera adeguatamente l’IP dell’utente e non incrocia i dati raccolti con altri strumenti di cui è a disposizione, allora il codice che genera il cookie analitico non deve essere necessariamente bloccato prima dell’acquisizione del consenso del lettore.
Nel caso di Google Analytics, ad esempio, qualora si volesse caricare comunque il codice per le statistiche prima del consenso, si dovrà abilitare l’anonimizzazione (mascheratura IP) e disattivare dal pannello di controllo del servizio gli strumenti che autorizzano Google all’incrocio dei dati.
La notifica al Garante, invece, unitamente con l’esborso di 150 euro, dovrà essere effettuata solamente nel caso in cui si utilizzassero cookie di profilazione di prima parte ossia generati sui sistemi client dei lettori su richiesta dei propri server.
L’infografica, insieme con tutto il materiale informativo distribuito dal Garante negli ultimi giorni, è disponibile a questo indirizzo.
L’effettiva e puntuale applicazione delle prescrizioni del Garante solleva però, ancor’oggi, non pochi punti interrogativi.
Suscita ben più di qualche perplessità, ad esempio, la decisione di adottare un approccio opt-in per la gestione dei cookie da parte degli editori.
Una premessa sul significato di cookie
Nel provvedimento del Garante è possibile evincere la seguente definizione per il termine “cookie“:
“I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente“.
A tal proposito, appare interessante osservare che i cookie non sono niente di subdolo ma si rivelano oggetti di fondamentale importanza per il funzionamento di gran parte delle applicazioni web e dei servizi online. Già in passato avevamo cercato di tracciarne un identikit spiegandone tutte le possibili finalità d’uso: Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web.
Per disporre la creazione di un cookie sul sistema del’utente, il server utilizza un comando “ad hoc” che varia sulla base del linguaggio di programmazione utilizzato. Un cookie può essere creato usando linguaggio di scripting lato server (ad esempio via PHP, ASP.NET, ASP) ma anche via JavaScript.
Il browser web già integra tutti gli strumenti per negare la creazione di qualunque cookie, non solo quelli tecnici ma anche quelli di profilazione. Perché quindi introdurre il concetto di opt-in obbligando gli editori a bloccare preventivamente il caricamento del codice che genera cookie di terze parti quando il lettore, impostando o non impostando il blocco dei cookie sul proprio browser, ha già di fatto espresso la sua volontà?
Dovrebbe essere semmai possibile per l’utente esprimere il suo consenso ad un’eventuale profilazione (cosa che può essere effettuata – e viene oggi effettuata – anche e solo adoperando strumenti completamente diversi dai cookie; c.d. fingerprinting). Tale consenso, però, dovrebbe essere manifestato al soggetto che effettivamente profila e non, ad esempio, all’editore che in proprio non svolge alcun tipo di profilazione e non ha alcun modo di accedere al trattamento di dati svolto da terze parti.
Nell’articolo Cookie law: analisi dei chiarimenti del Garante abbiamo proposto 11 spunti di riflessione che riteniamo meritevoli di analisi.