Cookie law: analisi dei chiarimenti del Garante

Che le nuove disposizioni sulla gestione dei cookie siano state sottovalutate è innegabile. Dallo scorso anno, da quando il provvedimento del Garante Privacy è stato approvato in via ufficiale, abbiamo ripetutamente pubblicato diversi articoli sull’argomento facendo domande ed analizzando gli aspetti più critici.
Ora che il provvedimento è entrato in vigore (a far data dal 3 giugno scorso), molti siti web si sono affrettati a mettersi in regola. Alcuni, invece, non l’hanno proprio fatto contando nella “magnanimità” dei controlli che, stando a quanto dichiarato in via informale, non dovrebbero partire nell’immediato.

Chi deve intervenire

Tutti coloro che gestiscono un qualunque sito web, sia esso amatoriale oppure realizzato in forma d’impresa, devono attivarsi (in realtà avrebbero dovuto farlo entro il 2 giugno scorso) per bloccare la creazione dei cookie di profilazione propri e di terze parti sui sistemi degli utenti-visitatori fintanto che non venga da questi ultimi concesso esplicito consenso.

Il consenso dev’essere informato. Dev’essere cioè visualizzata un’informativa breve contenente la spiegazione che il sito web in corso di visita sta usando anche cookie di profilazione (propri o di terzi) ed un link all’informativa breve nella quale dev’essere chiarita la funzione dei vari cookie. Nel caso dei cookie rilasciati da server di terze parti (è il caso dei cookie creati sul sistema client dai plugin social, dai circuiti di advertising, dai sistemi di statistica,…) è necessario riferirsi alle privacy policy delle varie aziende provvedendo a linkarle direttamente.

I cookie analitici (si pensi ad esempio a quelli rilasciti dal servizio Google Analytics) possono essere usati a patto di attivare la cosiddetta mascheratura dell’IP client in modo tale da “anonimizzare” il dato scambiato tra client e server remoto di Google.

Se il sito web usa solo cookie tecnici, che non permettono l’identificazione dell’utente attraverso un ID univoco (che poi, a ben riflettere non si tratta di identificazione dell’utente ma del browser che sta usando…) non è necessario bloccare i cookie né visualizzare l’informativa breve.
Il Garante ha infatti chiarito che, nel caso di esclusivo utilizzo di cookie tecnici, “è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad esempio inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento“.

Ricordiamo che la notifica al Garante, ed il relativo versamento di 150 euro, sono obbligatori solamente per quei siti web che “impiantano” cookie di profilazione in proprio e non riguardano quelli che usano codice di terze parti capace di generare cookie di profilazione.

Bloccare i cookie prima del consenso

Chiunque amministri un sito web deve quindi fare in modo di bloccare cookie di profilazione propri e cookie di terze parti prima che l’utente abbia espresso il consenso alla loro ricezione.
Il termine “bloccare i cookie” ha poco senso: il webmaster, nella maggior parte dei casi, è ora obbligato ad impedire il caricamento del codice (spesso JavaScript e spesso fornito da terze parti) che genera il cookie sul sistema dell’utente. Solo dopo aver acquisito il consenso da quest’ultimo se ne potrà disporre il caricamento.

Lato editore, quindi, sono essenzialmente due le soluzioni applicabili per adeguarsi alla legge sui cookie italiana:

1) reload della pagina
2) caricamento asincrono degli script che a loro volta generano i cookie di terza parte

Una delle due operazioni potrà essere effettuata dopo che il visitatore avrà espresso il suo consenso.
A tal proposito, il Garante ha confermato che il consenso può essere considerato acquisito quando l’utente chiude il banner contenente l’informativa breve, quando fa clic su un qualunque elemento della pagina sottostante o quando inizia lo scorrimento (scrolling) della pagina web.

La soluzione n.1 è quella probabilmente più semplice e che mette al riparo da contestazioni relative alla possibilità di aver violato le condizioni di utilizzo di Google AdSense o di altri servizi di terze parti.
In Rete circolano diverse soluzioni (proposta n.2) che permettono di caricare dinamicamente – ad esempio – il codice di AdSense. Utilizzando Ajax e modificando (peraltro in maniera poco invasiva) il codice di Google che consente la visualizzazione dei banner, è possibile caricare la pubblicità in maniera asincrona, dopo l’acquisizione del consenso.
Questo tipo di modifiche, però, potrebbero verosimilmente non essere ritenute legittime da parte di Google e l’editore potrebbe rischiare l’esclusione dal network AdSense (con un danno economico non indifferente).

Se quindi il caricamento asincrono (soluzione n.2) può essere effettuato ad esempio nel caso dei social plugin, potrebbe non essere permesso nel caso di Google AdSense o di altri circuiti similari, a seconda delle condizioni d’uso sottoscritte.

Una soluzione può essere quella di inserire gestire le tag di Google AdSense con un ad server certificato dalla società di Mountain View (vedere questo elenco). Caricando, ove possibile, in maniera asincrona il codice di tale ad server, si potranno salvare i proverabiali capra e cavoli non alterando, da un lato, le tag di Google e dall’altro risparmiando un reload della pagina.

Con la soluzione n.2, infatti, i banner pubblicitari possono ad esempio apparire subito – senza reload – dopo l’acquisizione del consenso dell’utente.

Il problema, tuttavia, è che alcune tag fornite da terze parti non supportano il caricamento asincrono. In questi casi, per tagliare la testa al toro, l’unica soluzione è appunto la prima.
Al caricamento della pagina, in occasione della prima visita dell’utente, la pagina verifica lato PHP, ASP, ASP.NET,… la presenza del cookie tecnico (nel quale è annotato il consenso). In sua assenza, sempre lato server dell’editore, viene bloccato (ne viene impedito il caricamento) il codice che genera il cookie delle terze parti.
A consenso accordato, evidentemente, lo stesso codice di controllo (è una semplice “if”) provvederà a caricare il codice delle terze parti.

Alcune critiche, speriamo costruttive

Nonostante le finalità del provvedimento del Garante siano assolutamente nobili e condivisibili, l’impatto della legge sui cookie, nel nostro Paese, sarà estremamente pesante ed andrà ad impattare negativamente sulle revenues di molteplici attività editoriali online che non stanno certo navigando nell’oro.

Per quanto riguarda il codice di terze parti che genera cookie sui sistemi degli utenti-visitatori, il Garante osserva:

“In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.
Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.
Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento“.

È esattamente ciò che abbiamo sempre sostenuto in passato. È la terza parte che dovrebbe essere tenuta a fornire un meccanismo che consenta, a richiesta inoltrata dal server dell’editore attraverso una qualsiasi pagina web, di bloccare dinamicamente i cookie (alla prima visita dell’utente).
Un approccio del genere, nel caso dei plugin social e dell’advertising, permetterebbe agli editori di mostrare subito il messaggio pubblicitario (seppur generalista e non “mirato”) senza che il cookie venga erogato sul sistema client dell’utente.

Allo stato attuale, però, nonostante si faccia riferimento ai dodici mesi trascorsi dall’approvazione del provvedimento, la maggioranza delle terze parti non si è adeguata per offrire strumenti del genere. Il compito dell’editore è quindi sicuramente gravoso dal momento che deve in proprio bloccare il caricamento del codice che genera i cookie e riattivarlo successivamente dopo l’acquisizione del consenso.

“In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato”“.

Il Garante chiarisce, di fatto, che il suo provvedimento ha valore universale: non ha alcun valore quale sia la sede dell’editore. Di fatto, quindi, un sito straniero dovrebbe comunque conformarsi alla normativa italiana ed implementare l’informativa in modo tale che l’utente italiano possa visualizzarla così come prescritto nel provvedimento. Gli esperti in materia hanno sollevato forti dubbi sul punto.

Considerata l’importanza e la delicatezza della tematica, nell’ottica di una collaborazione costruttiva ed usando un approccio il più possibile dialogante, da parte nostra ci sembra opportuno presentare al Garante (abbiamo provveduto a girare i nostri appunti all’ufficio stampa) alcune osservazioni:

1) Gli editori, che costituiscono indubbiamente l’anello più debole della catena, dovrebbero essere il più possibile sgravati,
2) Dovrebbe essere chiesto alle terze parti di fornire sempre tag capaci di generare il contenuto richiesto senza l’utilizzo di cookie.
3) Nell’attesa, sarebbe interessante ed utile, soprattutto a vantaggio degli editori più piccoli, pubblicare risorse tecniche per gestire il codice delle terze parti.
4) Molti editori non hanno applicato alcun blocco preventivo dei cookie limitandosi a visualizzare un’informativa breve. Gli stessi editori motivano la loro scelta, anche pubblicamente, spiegando che per il momento il Garante non disporrà alcun controllo e non irrogherà alcuna sanzione. Tale comportamento, contrario alla “buona fede”, può configurarsi in una sorta di “concorrenza sleale” a danno di tutti quegli editori che si sono messi in regola entro il 2 giugno.
5) Organizzare un tavolo con le terze parti, gli sviluppatori di browser web e rapprsentanti degli editori con lo scopo di trovare soluzioni pratiche che consentano di ridurre l’impatto negativo sulle attività di un settore che vale 2,3 miliardi di euro: La legge sui cookie entra in vigore tra dubbi e paure.
6) Riterremmo opportuno rilevare che l’editore può non avere le competenze tecniche per stabilire se un cookie di terze parti sia profilante o meno. Il controllo, in ogni caso, non dovrebbe essere posto in capo all’editore.
7) Andrebbe soppesato il fatto che le grandi società dispongono di molti altri strumenti (i.e. fingerprinting) diversi dai cookie per “profilare” l’utente. Concentrarsi sui cookie rischia di essere eccessivamente penalizzante solo per gli editori.
8) Andrebbe rilevato che l’editore non ha alcuna possibilità di effettuare un trattamento dati sul contenuto dei cookie delle terze parti.
9) Se l’utente ha già espresso altrove (ad esempio su un altro sito italiano) il consenso per l’acquisizione dei cookie di alcune terze parti (i.e. Google AdSense) perché dovrebbe ricevere l’informativa su siti web che usano lo stesso codice?
10) Come può l’editore che usa strumenti i quali, a loro volta, adoperano cookie analitici a verifica che la terza parte si impegni “a non incrociare le informazioni contenute nei cookies con altre di cui già dispone“? Anche in questo caso, non sarebbe al limite opportuno spostare il focus sulla terza parte?
11) Al punto 4) del chiarimento del Garante si legge: “È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) (…)“.
A questo proposito si rileva l’utilizzo dell’espressione “consenso documentabile”. Per tenere traccia del consenso espresso dall’utente potrebbe essere paradossalmente necessario utilizzare un ID univoco trasformando quindi, di fatto, il cookie tecnico in un cookie profilante.
Crediamo che non sia questo che intenda il Garante, anche in forza di quanto previsto nel testo ufficiale del provvedimento al punto 4.1.

Aggiornamento: tutti coloro che usano Google Analytics devono pagare 150 euro di notifica al Garante?

Matteo Flora (vedere il suo post) getta ulteriore benzina sul fuoco.

A leggere il chiarimento del Garante, e nello specifico il quarto punto al paragrafo finale “in particolare evidenza“, parrebbe che Google Analytics non assolva entrambi i requisiti previsti.
Da una parte, come abbiamo sempre scritto, è vero che Analytics può essere “anonimizzato” alla prima visita con la cosiddetta “mascheratura dell’IP” ma è altrettanto vero che Google “può”, in linea generale, “incrociare le informazioni contenute nei cookie con altre di cui già dispone“.

Attenendosi scrupolosamente alle prescrizioni contenute nel recente chiarimento del Garante, quindi chi utilizza Analytics potrebbe essere tenuto ad inoltrare la notifica all’ufficio dell’autorità e, di conseguenza, a versare i 150 euro previsti per questo tipo di operazione.

Il parere di molti altri, tra cui diversi legali, è invece che attivando la “mascheratura IP” su Analytics non si sia poi tenuti a effettuare ulteriori passaggi, tanto meno la notifica perché ciò non sarebbe previsto nel testo del provvedimento.

Nuovo nodo da sciogliere e nuove incertezze per chi gestisce, a vari livelli, un sito web.

Maggiori informazioni nella nota pubblicata sul sito del Garante Privacy.