10035 Letture

La legge sui cookie entra in vigore tra dubbi e paure

Nei giorni scorsi avevamo ripetutamente contattato l'ufficio del Garante Privacy italiano per richiedere una serie di chiarimenti su questioni tecniche legate all'entrata in vigore del provvedimento "Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie" (qui il testo completo), altrimenti conosciuto come cookie law o legge sui cookie.

Abbiamo infatti ripetutamente fatto presente come, a nostro avviso (ma è facile rendersene conto facendo qualche semplice ricerca sul web...), il provvedimento del Garante sia oggetto delle interpretazioni più disparate, soprattutto per ciò che riguarda la gestione dei cookie delle terze parti. E ciò continua ad accadere ancor'oggi, a meno di 24 ore dall'effettiva entrata in vigore della normativa.


La legge sui cookie entra in vigore tra dubbi e paure

Partiamo dalla frase conclusiva dell'articolo 2 del provvedimento: "tali soggetti (gli editori, n.d.r.), da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, (sempre gli editori, n.d.r.) sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti".

La normativa sembra quindi prescrivere il blocco dei cookie delle terze parti eventualmente generati sui sistemi client dei visitatori attraverso codice pubblicato sulle pagine web del proprio sito.

Durante tutti i colloqui telefonici con l'ufficio stampa e la segreteria del Garante (che ringraziamo per la disponibilità), ci è stato confermato l'obbligo in capo all'editore di adoperarsi per bloccare i cookie delle terze parti. Analoga risposta ci è stata formalizzata via email dall'ufficio stampa del Garante:

"Nel rispetto di quanto previsto dalla legge, confermiamo la necessità di acquisire il consenso degli utenti preventivamente rispetto all'installazione dei cookies non tecnici, anche quelli delle c.d. "terze parti". Allo scopo di semplificare tale adempimento, il Garante ha fatto ricorso allo strumento del banner da pubblicare sul sito prima parte, il cui superamento mediante azione positiva dell'utente (chiusura del banner stesso, selezione di un elemento, ecc.) configura prestazione del consenso all'installazione di tutti i cookies. Nell'informativa estesa poi, l'utente che voglia selezionare i cookies da installare, dovrà trovare le specifiche indicazioni relative ai cookies prima parte e i link ai siti delle terze parti contenenti le informative e i form per la raccolta dei consensi predisposti da queste. È importante, lo si ribadisce, che i titolari del sito prima parte si assicurino che tali link ai siti terze parti siano aggiornati e contengano effettivamente quanto richiesto dal provvedimento".

Non sembrerebbero esserci dubbi, quindi. Neppure relativamente alla gestione dei cookie delle terze parti.

"Si mette in difficoltà un settore da 2,3 miliardi di euro"

IlSoftware.it, entro la data del 2 giugno, ha quindi provveduto ad adeguarsi effettuando un importante e dispendioso intervento tecnico sul suo CMS proprietario. Alla prima visita dell'utente sulle nostre pagine, blocchiamo automaticamente il caricamento del codice (di terze parti) che richiede la creazione del cookie (anch'esso di terze parti) sul sistema client e attiviamo la mascheratura dell'indirizzo IP su Google Analytics.

Come molte realtà editoriali sul web, anche IlSoftware.it può restare in vita e continuare ad offrire gratuitamente ai suoi lettori contenuti sempre aggiornati ed approfondimenti tecnici solamente grazie agli introiti derivanti dalla raccolta pubblicitaria. È facile immaginare come le modifiche appena apportate a seguito dell'entrata in vigore del provvedimento del Garante causeranno certamente una flessione dei ricavi e, di conseguenza, avranno conseguenze tutt'altro che indifferenti sulla crescita del sito.

Va altresì sottolineato che secondo l'interpretazione della stragrande maggioranza dei siti web a carattere editoriale, basterebbe la visualizzazione dell'informativa breve (senza blocco di alcun cookie delle terze parti) per adeguarsi alla normativa.

A questo punto, si pone un problema tutt'altro che banale: sulla base della non omogenea interpretazione delle disposizioni, alcuni siti web si stanno adeguando bloccando il caricamento del codice che genera i cookie delle terze parti mentre altri non lo stanno facendo (riducendosi all'esposizione dell'informativa breve).

Dall'ufficio stampa del Garante ormai più di una settimana fa ci fu fatto presente che sarebbe stata diramata una nota chiarificatrice. Ad oggi, invece, non è stato ancora pubblicato nulla, tranne un breve "promemoria".

Intanto, il presidente nazionale di Federpubblicità, Nevio Ronconi, ha commentato: "la privacy degli utenti è un bene prezioso, che va tutelato. Ma così com’è la Cookie Law non porta alcun vantaggio su questo fronte: colpisce infatti soprattutto le piccole imprese attive nella pubblicità online che avranno più difficoltà a svolgere il loro lavoro. Mettendo a rischio uno dei pochi settori vivaci dell’economia italiana, responsabile di un giro d’affari di 2,3 miliardi di euro, in crescita del 15% sullo scorso anno".


Ronconi spiega che l'idea iniziale, maturata in sede europea, era quella di impedire ai grandi colossi abusi nella profilazione pubblicitaria degli utenti. Come abbiamo precedentemente rilevato negli articoli Legge cookie: tra una settimana il "cookiegeddon" e Niente cookie, utenti tracciati in modo diverso, però, le stesse grandi società dispongono di molti altri strumenti di profilazione alternativi che non implicano l'uso di cookie lato client.
Il presidente di Federpubblicità osserva quindi come gli stessi colossi non rientrino nel merito del provvedimento del Garante. "A pagare il peso saranno le agenzie pubblicitarie indipendenti attive sul web, che potrebbero perdere risorse informative importanti per creare campagne promozionali mirate sui gusti e gli interessi degli utenti. E anche gli utenti, che sono stati portati a credere che i cookie siano cattivi per natura", ha continuato Ronconi.

In ultima analisi, il provvedimento approvato dal Garante rischia di pesare eccessivamente su tutte quelle realtà editoriali web che rappresentano l'anello più debole della catena. Gestire il blocco preventivo dei cookie, soprattutto quelli delle terze parti, è un'attività delicata ed estremamente dispendiosa, soprattutto nel caso dei siti web più complessi.

All'ufficio del Garante, usando un approccio il più possibile costruttivo e collaborativo, abbiamo chiesto:

- Perché debbono essere bloccati i cookie delle terze parti (in realtà va addirittura bloccato completamente il codice - anch'esso di terze parti - che li genera sul client dell'utente) se l'editore non effettua e non può tecnicamente effettuare un trattamento di dati su tali cookie (same origin policy)?
- Ci è stato riferito dalla segreteria del Garante che i cookie di terze parti andrebbero posti in "stand by" o comunque gestiti come "cookie silenti". A tal proposito, abbiamo voluto rimarcare come non sia possibile mettere i cookie di terze parti in una sorta di "limbo". Al momento della visualizzazione dell'informativa breve, alla prima visita dell'utente, il codice delle terze parti che - a sua volta - genera cookie delle terze parti può essere solamente bloccato.
A meno che la terza parte non metta a disposizione uno strumento tecnico per il blocco temporaneo dell'erogazione del cookie. Non ci risulta che ciò sia permesso da nessuna terza parte il cui codice è comunemente usato sui siti web italiani.
Abbiamo quindi chiesto perché un eventuale obbligo non sia stato posto in capo alle terze parti piuttosto che sull'editore, parte più debole della catena.
- Abbiamo infine fatto notare che in molti casi il cookie di terza parte (o di quarta, quinta, sesta parte...) viene erogato da società che non hanno sede in Italia ma, molto spesso, neppure in Europa. È quindi opportuno chiedere all'editore di intervenire attivamente sul blocco preventivo di un cookie di terze parti che viene generato dal browser client su richiesta di un server che, spesso, è fisicamente posizionato negli Stati Uniti od in altre nazioni diverse da quelle europee?


Nasce la petizione "Blocca il cookie"

In attesa di una presa di posizione ufficiale del Garante, online è nata una petizione con cui viene chiesto all'Autorità di intervenire per aiutare gli editori, siano essi blogger o grandi aziende, a rispettare la legge.

"La Cookie Law è un provvedimento importante per proteggere i nostri dati quando navighiamo su internet. Per chi gestisce siti, però, specialmente se si tratta di una piccola azienda, un privato o un freelance, rischia di diventare uno scoglio insormontabile che finisce per impedire la libera espressione", si legge sul sito della petizione, lanciata online da Gianluca Diegoli, Claudio Riccio e Claudia Vago.

Il provvedimento del Garante non fornisce strumenti pratici per adeguarsi alla legge: anche il "kit di implementazione" presentato ad inizio maggio alla presenza del Presidente Antonello Soro, infatti, non contiene indicazioni tecniche che siano universalmente applicabili per conformarsi alle prescrizioni che entreranno ufficialmente in vigore domani.

Non è possibile non rilevare come alcune società suggeriscano la modifica del codice fornito da terze parti (con lo scopo, ad esempio, di programmare il caricarimento asincrono dello stesso a consenso accordato). In molti sconsigliano questo tipo di interventi perché si potrebbe andare incontro ad una violazione del contratto stipulato con la terza parte (che spesso non consente modifiche del codice fornito ai webmaster ed agli editori in generale).

Marco Sgnaolin, dipendente Google, ha ad esempio affermato che la modifica - anche minimale - del codice del circuito AdSense, potrebbe portare ad un "ban" ossia all'esclusione dal servizio e quindi all'impossibilità per l'editore di monetizzare ulteriormente il traffico generato dal proprio sito web (vedere Legge cookie: tra una settimana il "cookiegeddon").


Dall'ufficio del Garante si osserva che il provvedimento è stato approvato un anno fa: c'era quindi tutto il tempo per confrontarsi e per proporre eventuali modifiche. Verissimo. Da un lato c'è la cattiva abitudine italiana di rimandare sempre all'ultimo minuto l'adeguamento ai provvedimenti legislativi. Dall'altro, però, ha forse contribuito la scarsa pubblicizzazione del provvedimento.
Noi, comunque, abbiamo voluto parlarne a più riprese sin dai primi di giugno 2014: Il Garante Privacy regolamenta l'uso dei cookie sul web.

- Normativa cookie: come adeguarsi da qui a giugno
- Legge sui cookie, tra un mese si parte
- Legge sui cookie: presentato il kit di implementazione
- Legge cookie: tra una settimana il "cookiegeddon"

Auspichiamo a questo punto in un intervento del Garante che possa sgravare gli editori rispetto al problema del blocco dei cookie delle terze parti.

  1. Avatar
    Michele Nasi
    05/06/2015 11:34:51
    Se non usi codice di terze parti che, potenzialmente, non rilascia cookie di profilazione puoi star tranquillo. Se, viceversa, usi i bottoni social o hai attivato, ad esempio, le estensioni demografiche su Google Analytics a stretto rigore dovresti visualizzare anche l'informativa breve e bloccare temporaneamente i codici che provocano la generazione, lato client, di cookie di terze parti. In ogni caso devi preparare una privacy policy efficace e l'informativa estesa spiegando cosa fanno i vari cookies. Nel caso di Analytics, al momento della prima visita dell'utente, prima del consenso, è possibile attivare la mascheratura dell'IP client: https://support.google.com/analytics/an ... 5384?hl=it Ti invito comunque a contattare l'ufficio del Garante e a far presenti le tue perplessità in modo da ricevere una risposta più autorevole.
  2. Avatar
    robyone
    04/06/2015 21:22:26
    Buonasera, complimenti per l'articolo molto completo e ben fatto. A me, come credo a molti altri webmaster, non è chiaro quali tipologie di siti web hanno l'obbligo di adeguarsi alla legge sui cookies; io gestisco alcuni siti web vetrina senza aver attivato nessun meccanismo pubblicitario interno (google adsense e simili) e su alcuni non è presente nemmeno la registrazione utenti. In questo caso ho l'obbligo di mostrare l'informativa? in quali casi si l'obbligo? grazie
La legge sui cookie entra in vigore tra dubbi e paure - IlSoftware.it