Cookie law “dolcetto o scherzetto”?

Il provvedimento del Garante della Privacy 8 maggio 2014, recependo le finalità della Direttiva 2009/136/CE del 25 novembre 2009 la quale al considerando 66 chiariva che “possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull'apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all'obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente” ha introdotto molteplici novità in tema di cookie.

In primo luogo il provvedimento del Garante ha specificato la distinzione fra:

1. Cookie tecnici, intesi come marcatori strettamente necessari (cfr. art. 122, comma 1 del Codice in materia di protezione di dati personali) che a loro volta “Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso”.
2. Cookie di profilazione, utilizzati per fini commerciali e per l’invio di messaggi pubblicitari e, così come disciplinati dall’art. 122 del Codice in materia di protezione di dati personali, necessitano di preventivo consenso informato da parte dell’utente finale.
3. Cookie di terze parti, ovvero i cookie immessi da terzi soggetti estranei all'editore (titolare/gestore del sito). In tale caso, ferma restando la distinzione fra l’editore ed i terzi, in capo al primo ci sarà l’obbligo rendere fruibili agli utenti finali i link delle informative ottenute dai terzi al momento della stipula dei relativi contratti stipulati fra editore e terzi.

Obblighi a carico dei siti/blog

L’applicazione di questo provvedimento, in realtà, lasciò molti dubbi e confusione, pertanto, il 5 giugno 2015, il Garante fu costretto ad emanare un nuovo documento chiamato "Chiarimenti in merito all'attuazione della normativa in materia di cookie"  dal quale si può ricavare la seguente ripartizione di obblighi in capo al titolare del sito o blog in base al tipo di cookie usato:

1. Cookie tecnico od analitico di prime parti, in questo caso è sufficiente la mera informativa di cui al primo comma dell’art. 122 Codice privacy.
2. Cookie analitico di terze parti (anonimo), laddove si adottino strumenti che favoriscano l’anonimato e che le informazioni raccolte non siano intrecciate con altre già in possesso del titolare del trattamento dei dati, è sufficiente l’informativa sul trattamento.
3. Cookie analitico di terze parti (identificativo), richiede l’obbligo della presenza di informativa sul trattamento dei dati, la presenza di un banner per il consenso del visitatore nonché la notifica la Garante ex lett. d) comma 1 art. 37 Codice privacy.
4. Cookie di profilazione di prime parti, sono previsti gli obblighi di cui al caso precedente.
5. Cookie di profilazione di terze parti, è necessaria l’informativa sul trattamento e la presenza del banner. Quanto all’obbligo di notifica al Garante, essa è posta a carico del soggetto terza parte che esegue l’attività di profilazione.

Costo della privacy

L’applicazione della normativa comporta per il gestore del sito/blog che abbia cookie analitici di terze parti ovvero di profilazione di prime parti, un esborso di 150 euro una tantum di costi di segreteria legati all'invio della notificazione al Garante. Si badi bene che la notifica deve avvenire per via telematica attraverso l’uso di dispositivi di firma digitale o presso terzi intermediati muniti di detto strumento. Dunque un ulteriore costo in capo al soggetto debole della catena ovvero il gestore del sito o del blog.

Tuttavia la gestione e la stessa creazione dei cookie è chiaramente svolta da soggetti terzi rispetto agli utenti medi. Questi ultimi, probabilmente, non avranno neppure le conoscenze tecniche per capire l’uso finale dei differenti tipi cookie. Dunque perché non attribuire tali costi agli ISP fornitori dei servizi?

Ancor più critica appare la possibilità, in capo al gestore del sito, di capire se i soggetti terzi che eseguono attività analitiche usino oppure no sistemi che riducano il potere identificativo dei dati, così come capire se non li intreccino con altre banche dati già di loro possesso. Si noti che in base a questa distinzione può sorgere l’obbligo di notificazione al Garante.

Un esempio può chiarire la questione: poniamo che nel nostro sito sia inserito il link di un video proveniente da altri siti e che lo stesso, come di regola, preveda un proprio cookie, quale sarà la finalità di detto cookie? Potrà essere usato da ulteriori terze parti? Garantirà l’anonimato?

In ogni caso, se vi fosse la mancata od erronea notificazione al Garante, il gestore del sito rischierebbe sanzioni fra i 20.000 ed i 120.000 euro.

Big data unitario di profilazione  

Appare lecito porsi il problema sulla gestione, da parte dell’Autorità Garante, del registro unitario con tutte le informazioni estrapolate dai cookie di siti italiani. Può risultare infatti decisamente pericoloso l’uso di un registro, fra l’altro telematico, recante una inimmaginabile quantità di dati di profilazione dal valore inestimabile ai fini commerciali.

Sembrano palesi due timori: da un lato i grandi colossi del web sarebbero disposti a pagare cifre folli per aver tali dati e ciò potrebbe portare a pericolose fughe di notizie; dall'altro un hacker potrebbe penetrare nel sistema che, benché certamente ben protetto se non supportato da costanti adeguamenti tecnologici (non da ultimo la divisione del registro in più parti) comporterebbe gravissimi problemi.

Infine, visto che oramai per navigare in internet si è costretti ad accettare le informative previste nei banner dei siti visitati, spesso senza neppure leggerle più, si può davvero dire che siamo consapevoli di dove finiscano i nostri dati e quali siano le finalità? (PELUSO)