Cookie, garanti e servizi a pagamento...

letto 1859 voltepubblicato il 04/06/2015 - 09:33 nel blog di Maurizio Boscarol, in Qualità Web PA

Pur se da poco entrata in vigore, la normativa del gratante sull'obbligo di informativa sull'uso dei cookie sui siti web in vari aspetti è tutt'altro che chiara.

Alcuni dei punti che a mio parere (e di altri) non sono chiari li ho elencati in questo articolo su Medium:

  • /20-domande-sui-cookie-cui-il-garante-non-ha-ancora-risposto-8723f61d3353">20 domande sui cookie cui il garante non ha ancora risposto

E' possibile commentare in paragrafo per paragrafo (una delle caratteristiche di Medium che altri sistemi non offrono) per offrire risposte, se ve ne sono, e in attesa che il Garante eventualmente le chiarisca con il crisma dell'ufficialità. Alcune cose sembrano essere ormai definite:

  • Tutti i cookie di terze parti, siano di analytics, che di bottoni facebook, che di altro tipo, con IP anonimizzato o meno, sono da considerarsi di profilazione, perché escono dal nostro controllo.
  • Non è chiaro se sia possibile comunque installarli anche prima dell'avvenuto consenso dell'utente
  • Non è chiaro se vi siano soluzioni "approvate" che non richiedano il ricorso a servizi a pagamento

A lasciare perplessi è infatti l'idea stessa che per ottemperare ad un obbligo di legge si debba ricorrere al pagamento di un canone annuale per un servizio privato che si accredita come in grado di risolverci i problemi: è davvero necessario? Non era possibile pensare ad una modalità "standard" attivata o indicata dal garante stesso, almeno in grado di coprire i casi più comuni? E' questo un buon modo di attivare politiche di trasparenza e di rispetto del cittadino?

Ogni commento, qui e su /20-domande-sui-cookie-cui-il-garante-non-ha-ancora-risposto-8723f61d3353">Medium, sarà gradito.

1 commento

Andrea Buti

Andrea Buti09/06/2015 - 18:42 (aggiornato 09/06/2015 - 18:42)

Se dovessi fornire una risposta da avvocato farei più o meno le valutazioni che seguono.

 

Quesito: Google Analytics usato per la sola ottimizzazione del sito e non per profilazione può rientrare nella categoria di “cookies tecnici” ed essere quindi usato senza necessità di darne comunicazione nel banner?

Norme: il “dato normativo” è costituito dal provvedimento del Garante dell’ 8 maggio 2014 e (indirettamente, quasi a mo’ di interpretazione autentica) dalle FAQ.

Interpretazione: esistono (ai fini che interessano in questa sede: si escludono dunque i cookies espressamente ed effettivamente utilizzati per profilazione) diverse categorie di cookies:

Possono dunque verificarsi le seguenti ipotesi:

  • solo cookies tecnici= obbligo banner se di terze parti, no obbligo banner se proprietari
  • cookie di terze parti (tecnici o analytics non fa differenza giacché comunque di terzi)= obbligo banner
  • cookies proprietari= no obbligo banner
  • cookies anaytics= obbligo banner se di terze parti, no obbligo banner se proprietari

Google Analytics appartiene in ogni caso alla categoria “cookies di terze parti” ed è irrilevante che sia in concreto usato per fini di profilazione o come cookie tecnico: io non posso detenere un’arma in casa senza denunciarla indipendentemente dal fatto che la usi per sparare o come fermacarte. Irrilevante anche il fatto che sia anonimizzato perché questo attiene alla funzione, ma non muta la sua natura.

Si ricorda che ai sensi dell’art. 15 del Codice, l’attività di trattamento dati è pericolosa e quindi il titolare è chiamato ad una diligenza particolare: nel dubbio deve astenersi da qualsiasi uso che possa comportare un trattamento illecito o non consentito. Ora considerato che GA è di Google, il titolare del sito non potrà probabilmente sapere tutti gli effetti che produce in concreto l’uso di GA.
A tal fine è del tutto insufficiente il richiamo, il rinvio o il link alla policy o alle informative fornite da Google considerato che questi non chiariscono affatto che uso verrà fatto dei dati ottenuti con l’uso di tali cookies.
Anzi questo meccanismo potrebbe svolgere effetti controproducenti per il titolare del sito: egli pur sapendo di non sapere cosa in concreto Google possa fare con i dati, ha omesso di segnalarlo nel banner: da cosa sarebbe giustificata questa omissione?

A questo punto bisogna ricordare il principio del bilanciamento che opera su due livelli:

A) Perché non usare cookies analytics proprietari ? (ad esempio Piwik , richiamato espressamente nella Guida Cookies disponibile sul sito dell’ANORC ). Le FAQ del Garante consentono infatti l’uso di cookies analytics senza banner, solo se usati “direttamente dal titolare del sito”. Probabilmente si usa GA per comodità o per risparmio, ma la legge non ragiona in termini economici e seppure fosse assai più costoso rivolgersi a cookies proprietari, questo non giustificherebbe la violazione, poiché nella gerarchia dei valori gli aspetti patrimoniali sono in posizione subordinata rispetto a quelli personali (trattamento dati).

B) Perché non mettere il banner usando GA? Qual è il costo del banner rispetto al diritto di tutti gli utenti?

Conclusioni: per il principio del “cuius commoda eius et incommoda” (colui che gode dei privilegi, ne paga anche il relativo prezzo) chi vuol usare GA può ovviamente farlo, dandone comunicazione, però, nel banner; se non lo fa rischia di pagarne le conseguenze.
La ratio del provvedimento del Garante sembra proprio quella della massima trasparenza e non si intravedono ragioni legittime per pregiudicare tale trasparenza.
Il titolare del sito è infatti in chiara posizione intermedia tra l’utente e Google ed ha il dovere si segnalare l’uso di cookies non proprietari.
La trasparenza si fonda – e nel contempo è travolta – sull’atteggiamento degli intermediari: sono costoro che pagano le conseguenze della sua violazione e non Google.
A livello strategico, infine, si segnala che il beneficio derivante dalla comodità pare pregiudicato dall’entità della sanzione: a meno che il posizionamento del banner non implichi costi paragonabili all’entità della sanzione… (da 10.000 a 120.000 euro)
Un dato incerto è quello relativo alla probabilità di essere colpiti dalla sanzione, per cui ognuno è libero di fare le proprie stime….

Non si intravedono ragioni di differenziare tra siti privati e siti delle pubbliche amministrazioni, per cui mi viene qualche dubbio quando scorrazzo nei siti di comuni, province, ministeri:

  • il sito del Comune di Milano non ha il banner, ma dichiara l’uso di cookies di terze parti, a Napoli invece compare il banner.
  • il Ministero dell’economia () mette il banner (ma nn specifica che cookies usa..).
  • il Ministero della Salute non mette il banner  e dichiara: “Il portale si avvale di un prodotto di mercato per la rilevazione degli accessi al proprio sito. Esso ricorre all’utilizzo di cookies permanenti, allo scopo di raccogliere informazioni statistiche sui “visitatori unici” (persone diverse) del sito. Questi cookies, definiti come “Unique Visitor Cookies”, contengono un codice alfanumerico che identifica i computer di navigazione, senza tuttavia alcuna raccolta di dati personali.“. Sarà di terze parti?
  • la Regione Marche ha il banner, l’Emila Romagna no, e pubblica una dichiarazione simile a quella del Ministero della Salute.

Il mondo è bello perchè è vario…

N.B. Si potrebbe ritenere che quanto prospettato sopra sia  formalistico o meccanicistico e che le norme del Garante così come intepretate siano eccessive magari perché Google non associa i dati all’IP (sarà vero..?) o perché i dati sono trattati solo in forma aggregata  e non sarà mai possibile risalire nemmeno indirettamente all’utente (sarà vero..?).

Quanto precede ha quindi una funzione  difensiva; se poi qualcuno vuole ingaggiare una battaglia legale per la modifica di norme ritenute ingiuste, no problem. Basta che sappia cosa rischia. Io personalmente direi di mettere il banner e poi di contestare…

P.S. Potendo (con l’ausilio dell’informatico) conoscere  le caratteristiche del singolo cookie si potrebbe essere più precisi…