Soluzioni Hosting

Cookie: alcuni chiarimenti (?) dal Garante della Privacy

Qualche giorno fa il Garante ha pubblicato alcune risposte a domande che sono state poste in merito ai cookies. A quanto pare seguiranno altre risposte nei prossimi giorni. Speriamo bene…

Di seguito sinteticamente i chiarimenti:

  1. Siti che non rilasciano cookies non sono soggetti a tali obblighi
  2. Utilizzo di cookies analitici di terze parti: Google Analytics, se anonimizzato, è da intendersi cookie tecnico, quindi non soggetto a banner, ma solo all’informativa estesa. Questo con garanzia che i terzi non utilizzino tali dati per rivenderli etc (ma noi come facciamo a controllare ciò?)
  3. Uso di piattaforme che installano cookie. In sintesi: io vi ho dato un anno di tempo per adeguarvi, ora se non siete in grado di bloccare preventivamente widget e snippet di terzi o di permetterne l’installazione solo dopo approvazione dell’utente, sono affari vostri.
  4. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte
    In sostanza il banner va messo nel caso vi siano cookies di profilazione e quindi serve a documentare (tramite ulteriore cookie) l’approvazione di essi da parte dell’utente. Che siano primari o di terze parti.
    Inoltre cito:
    “Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”
    e…
    “Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.”
    Come si fa a sapere se i banner pubblicitari o i collegamenti con i social network NON siano link semplici e NON siano profilanti?
    A mio avviso lo si riconosce dal fatto che rilasciano cookies al fine di proporre pubblicità a seconda dei gusti dell’utente. Circuiti come Adsense sono profilanti, altri, in cui è necessario inserire un codice javascript che inietta cookies a soli fini statistici, non lo sono (forse).
    I pulsanti dei social network sono profilanti? Lo sono quelli che tengono conto del tuo like o condivisione e del tuo mi piace al profilo “box” condiviso sul sito stesso. Non lo sono i semplici link di condivisione (che non contengano un contatore per intenderci) o i pulsanti di rimando ai  social del sito.
    Bloccare Adsense prioritariamente oltre che portare minori entrate ai piccoli gestori di siti, va contro la politica di Google Adsense, che potrebbe decidere di estromettervi dal programma. Come comportarsi quindi?
    La risposta a questo quesito è 42
  5. Proseguiamo: Modalità di acquisizione del consenso: cliccando su link o scroll, oltre che cliccando su ok. Va però segnalato nel banner.
  6. Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU: “tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).
    Quindi in pratica su tutti i siti del mondo? Come fa un Pakistano a sapere che il cookie verrà installato sul sito di un italiano e ottemperare quindi alla legge? La risposta è anche qui 42
  7. Notificazione in caso di realizzazione di più siti web: sì, se hai più siti collegati puoi fare un’unica policy e reinviare tutti i banner di tutti i siti a quella policy.

Soddisfatti delle risposte? Io no.

In particolare riguardo i pulsanti social, se non sei loggato, non viene rilasciato alcun cookie, e se vuoi farlo ti viene chiesta autorizzazione in quel contesto, quindi perché bloccare ulteriormente a priori tali pulsanti social inibendo l’interazione?

Google Adsense e altri programmi profilanti: non ti vengono a chiamare a casa, non prelevano i tuoi dati, ma valutano solamente quali tipo di prodotti potrebbero interessarti proponendoli. Meglio vedere la pubblicità di una vacanza ai tropici o di un prodotto dimagrante?

Queste le mie riflessioni sulle risposte del Garante. Per i clienti, è appurato che se c’è Google Analytics anonimizzato, il banner non è da utilizzare (anche perché non blocchi un bel niente). Quindi tanto sbatti per niente, su questo punto. Sul resto, vale sempre 42 come risposta 🙂

 

Laura Gargiulo, web designer freelance e blogger. Autrice di "Come diventare web-coso" e "Consigli di webdesign base", moglie dal dicembre 2010 e madre dal dicembre 2012. Portfolio personale: Lauryn.it Parlo anche di viaggi ed expat su: Myplaceintheworld.it

20 Comments

  • Corrado

    8 giugno 2015, 09:10

    Anche google analytics può essere un problema, in quanto google, come dice qui http://www.google.com/analytics/terms/it.html e relativa pagina http://www.google.it/policies/privacy/partners/ utilizza le informazioni di quei cookie, insieme alle altre in suo possesso.
    A me ha lasciato confuso, forse l’unico dubbio che ancora mi rimane. In attesa di capirci di più ho disattivato analytics.

    • Lauryn

      8 giugno 2015, 09:29

      ciao corrado. infatti se c’è già scritto, io non capisco come possa essere stata recepita una legge del genere, ma soprattutto i suggerimenti successivi…

  • Marina

    8 giugno 2015, 11:37

    Mi sale il nazismo. E il fatto che molte delle risposte date sia 42 non aiuta.
    Ho scritto al garante per informazioni sulle mailing list… Ho paura che anche lì saremo in un mare di m***a.

    • Lauryn

      8 giugno 2015, 11:40

      ciao marina, le mailing list non rientrano nella cookie law. vale come è sempre stato, cioè che all’iscrizione si confermi di aver preso visione sull’informativa sulla privacy, e si dia la possibilità di disiscriversi. niente a che vedere con il discorso cookies.

  • Marina

    8 giugno 2015, 18:07

    Lo spero, ma attendo risposta…

    • Lauryn

      8 giugno 2015, 18:18

      scusa la domanda provocatoria ma: sai cos’è un cookies?

  • Marina

    10 giugno 2015, 22:05

    Vagamente 😛
    A parte gli scherzi, forse mi sono espressa male. Più che sul cookie in sé mi preoccupa fin dove si arriverà con il confine della profilazione: quando con la mailing list segmenti in base alle preferenze espresse o precedenti acquisti, per il garante è profilare? Quindi devo dare notifica?
    Questo per me sarebbe molto brutto.

    • Lauryn

      11 giugno 2015, 10:28

      Marina, acquisire i dati tramite newsletter, sì, significa profilare, ma ripeto: non ha nulla a che fare con la legge sui cookies, per cui non devi notificare niente 🙂
      La legge riguarda unicamente i cookies profilanti. La newsletter non rilascia cookies, ma acquisisci VOLONTARIAMENTE dati da parte degli iscritti. Nel momento in cui si iscrivono infatti già manifestano tale volontà. Il cookie invece si installa sul computer dell’utente, e non preleva nome, cognome e mail come fai con la newsletter, ma dati di altro tipo.
      Spero di essere stata sufficientemente chiara 🙂

  • Emanuele

    10 giugno 2015, 22:45

    Credo che il timore di Marina sia questo: Anche una semplice newsletter sarà considerata profilazione?

    Grazie!

  • Marina

    11 giugno 2015, 15:07

    Esatto Emanuele, questo perché si va a incrociare il tutto con la legge sulla privacy, la 196 per le notifiche, come si vede anche nell’infografica che hanno tirato fuori:

    http://www.garanteprivacy.it/cookie

    Lauryn tu sei chiarissima e infatti il buonsenso è in quello che hai scritto, non ci piove. Sfortunatamente siamo in Italia e nella legge sui cookie dicono cose tipo: “si applica ANCHE a siti responsive”, come se il fatto di avere un sito responsive o meno fosse legato ai cookie. Da qualche parte ho letto una similitudine bellissima, tipo: “è vietato uccidere, anche il giovedì”.

    Detto questo, nella 196 c’è l’articolo Art. 37. Notificazione del trattamento che dice:

    “1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

    (punti vari…)

    d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

    E mo? Rientro anche io per il garante nella profilazione “prima parte”? Sono in profilazione “terze parti?” o non ci sono prprio? Come le interpretano queste cose? E’ lì che sta il dubbio. Spero di preoccuparmi per niente 😀

    • Lauryn

      11 giugno 2015, 15:33

      ahhahah vero, quella dei responsive mi ha ucciso stecchita, segno che non sanno di cosa parlano 😀
      in ogni caso ripeto: qui stiamo parlando di cookies, il tuo dubbio è legittimo ma è fuori tema 🙂

  • Corrado

    11 giugno 2015, 15:32

    Guardando l’infografica sembra proprio che per Google Analytics ci voglia la notifica. O almeno non ho trovato come far a limitare l’invio dei dati a google stessa, che i dati li usa insieme alle altre informazioni che dice chiaramente.
    Che poi profilazione terze parti non ci vuole la notifica, analitici terze parti sì. Sempre più stranito.

    • Lauryn

      11 giugno 2015, 15:36

      quale infografica Corrado?

      • Marina

        11 giugno 2015, 16:11

        Probabilmente quella linkata nel mio post fuori tema 😀

  • Corrado

    11 giugno 2015, 15:47

    Quella nel sito del garante di cui ha messo il link Marina.
    http://www.garanteprivacy.it/cookie

    questo è il link della sola infografica
    http://194.242.234.211/documents/10160/0/Infografica+cookie+e+privacy+-+cosa+devi+fare

    • Lauryn

      11 giugno 2015, 16:12

      grazie Corrado.
      beh, basta anonimizzare l’ip di google analytics e la notifica non la devi fare…

  • Corrado

    11 giugno 2015, 16:50

    Sì, ma al di là del modo in cui mando l’ip a google è proprio al differenza tra cookie analitici di terze parti e cookie di profilazione di terze parti che non colgo. Forse mie limiti.
    Se nel secondo caso è l’entità terza a dover far notifica al garante perché nel primo caso no?
    Anche perché nella descrizione c’è “se sono adottati, etc..” e “se NON sono adottate… etc…”, ma poi la parte “e la terza parte non incrocia le informazioni raccolte con i dati in suo possesso” è la stessa per entrambi i casi di cookie “analitici terze parti”. Cosa che invece Google fa, e lo dice chiaramente nelle sue policy.
    Quindi, i cookie analitici di google non anonimizzati, dove rientrano?
    Sia in cookie analitici di terze parti e cookie di profilazione di terze parti?

    Spero di essermi spiegato 🙂

    • Lauryn

      11 giugno 2015, 16:56

      Ho compreso il tuo dubbio. Come sempre la risposta è…42 😀 e “io speriamo che me la cavo” 😀

  • Corrado

    16 giugno 2015, 10:10

    Riscrivo dopo giorno per una spiegazione che mi son dato rispetto al dubbio che avevo. In pratica con i cookie tecnici non mascherati puoi fare profilazione diretta, in pratica per esempio con Google Analytics, sia noi sia Google possiamo fare profilazione, perché abbiamo, o potremmo avere, i dati per farla.
    Mentre invece con quelli di profilazione di terze parti è solo il soggeto terzo a poterla fare, ecco quindi il perché della notifica nel caso di cookie analitici di terze parti.
    Secondo voi può essere una spiegazione?

    • Lauryn

      30 giugno 2015, 19:49

      ciao corrado, credo che sia proprio come dici tu 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *