Menu

Cookie: Navigare tra i Meandri delle Nuove Normative

Le Considerazioni Scaturite dalle Esperienze Maturate nell'Assunzione dei Provvedimenti per Adeguare i Propri Sistemi al Provvedimento del Garante per la Protezione dei Dati Personali / Individuazione delle Modalità Semplificate per l'Informativa e l'Acquisizione del Consenso per l'Uso dei Cookie Entrato di Recente in Vigore.

Giancarlo Butti

Sono stati pubblicati decine di articoli e Post sui vari Blog per cui non entro nel merito della questione, peraltro nemmeno ad oggi totalmente chiara in tutti i suoi aspetti. In particolare non è ancora chiaro quello che attiene i rapporti con soggetti terzi dei quali si utilizzano servizi e che sfuggono al controllo del Titolare del sito.

Diverse sono le situazioni di questo tipo:Cookie e Normative Garante

  • Piattaforme gratuite per lo sviluppo di siti Web o di Blog, dei quali poco o nulla si sa circa l’uso di Cookie che di fatto sono incontrollabili da parte del gestore del Blog o del sito, cioè dal Titolare di trattamento (che potrebbe anche non avere materialmente la possibilità, ad esempio, di attivare un Banner in quanto tale servizio non è fra quelli disponibili);
  • Semplice collegamento ad altri siti o a piattaforme Social;
  • Uso di servizi di monitoraggio…

che solo parzialmente sono state chiarite dalle varie comunicazione dello stesso Garante il quale fra l’altro, anche dopo il termine di entrata in vigore del sopra citato provvedimento (2 giugno 2015), ha non solo pubblicato ulteriori note di chiarimento, ma ha anche organizzato uno specifico seminario sul tema (sono disponibili sul sito del Garante interessantissime slide che entrano nello specifico di problematiche comuni, come Google Analytics).

Il Trattamento dei Banner

Un aspetto particolarmente interessante è la presenza di Banner su quasi ogni sito, anche là dove tale presenza non sarebbe richiesta dalla normativa. Anche chi dichiara di avere solo Cookies tecnici ha provveduto nella maggior parte dei casi a mettere in bella evidenza un proprio Banner…

Mi sono chiesto più volte il perché di tale scelta, ma ho dovuto arrendermi all’evidenza. Sembra che senza un banner non sei in regola ed allora eccolo li. La scelta non è però in alcuni casi innocua. Dipende cosa scriviamo nel banner.

Se dichiariamo che abbiamo solo cookies tecnici e di terze parti che non profilano; se cioè siamo nella condizione di non dover chiedere un consenso (e nemmeno di mettere un banner) allora non è conveniente scrivere nel banner che cliccando si acconsente all’uso dei cookies.

Un consenso non richiesto non è un buon consenso…

Per contro, considerando l’interpretabilità delle norme, chiedere un consenso anche quando non serve, potrebbe essere considerato dal Titolare come tutelante in vista di future contestazioni.

Distingurere tra Utenti e Utenza

Per come è formulato (e analogo problema si pone nel caso del provvedimento Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015), il Provvedimento ha un difetto congenito allorquando permette di memorizzare la manifestazione del consenso all’uso di cookies da parte di un sito mediante la registrazione di uno specifico cookie tecnico sul dispositivo utilizzato dall’Utente.

La registrazione di tali Cookie quale espressione del consenso potrebbe infatti non essere legata ad uno specifico Utente, quanto piuttosto al dispositivo che ha avuto accesso ad sito.

In altre parole il consenso all’uso dei Cookie non è espresso da un Utente, ma da un’Utenza. Questo perché lo stesso dispositivo o la stessa Utenza può di fatto essere usata da Utenti diversi.

Un Utente che tratta dati personali solo per fini personali, non ha infatti l’obbligo di adottare le misure minime di sicurezza (ricordo che comunque è obbligato ad adottare, nel trattamento di dati personali di terzi, adeguate misure di sicurezza secondo quanto prescritto dall’articolo 31 del Dlgs 196/03).

Tale Utente non è obbligato ad avere meccanismi di autenticazione che permettano di differenziare fra loro i vari utenti di un PC o di un altro dispositivo che consenta l’accesso ad un sito Web. Quindi è possibile che più utenti dello stesso dispositivo si presentino come se fossero un unico utente e come tali siano riconosciuti dal sito visitato. Quest’ultimo, riconoscendo la presenza del proprio cookie di espressione del consenso non presenterà più il Banner.

Considerando che il consenso deve essere espresso da una persona fisica e non da un Utenza lascia un po’ perplessa l’intera gestione (in realtà in questa situazione anche i cookies di profilazione profilano l’Utenza e non l’Utente).

Il Garante nel suo provvedimento Linee guida in materia di trattamento di dati personali per profilazione OnLine - 19 marzo 2015 ha correttamente provveduto a distinguere il caso in cui chi consulta un sito web sia un utente autenticato (mediante l’uso sul sito di credenziali di autenticazione per accedere ad uno specifico servizio)  e come tale riconoscibile in modo univoco, da chi invece si presenta sul sito e lo usa in forma anonima e quindi di fatto, come sopra indicato è un’Utenza o se vogliamo un Dispositivo.

E’ evidente che un utente autenticato può presentarsi con dispositivi diversi al sito e utilizzare le proprie credenziali indipendentemente dal dispositivo in uso.

Più utenti non autenticati possono invece usare lo stesso dispositivo, il quale può avere più utenze non necessariamente protette da password e quindi liberamente condivisibili dagli utenti. Questa differenza che può sembrare solo lessicale, in realtà nasconde dei rischi che in situazioni estreme potrebbero non essere banali.

Sarebbe forse stato utile che anche nel suo provvedimento sui cookies il Garante enfatizzasse queste differenze, non limitandosi a dare prescrizioni ai Titolari di trattamento, ma anche ai visitatori dei siti web, ricordando loro che è forse utile creare delle utenze protette con password sul proprio dispositivo di navigazione, affinché le scelte effettuate in materia sia di cookies, sia di profilazione, siano effettivamente riconducibili ad uno specifico Utente.

L’estrema proliferazione da un giorno all’altro di banner su ogni sito, ha ovviamente come effetto la saturazione dell’utente, che ovviamente bypassa tranquillamente qualunque comunicazione e considera il Banner come l’ennesimo inutile impedimento alla libera fruizione dei servizi desiderati. Si è perso quindi nel giro di pochi giorni l’effetto di tutela che questo provvedimento voleva correttamente introdurre, probabilmente anche perché l’utente medio non è più di tanto infastidito dalla comparsa di Banner pubblicitari quando consulta un sito e li considera un giusto prezzo da pagare per ricevere una serie gratuita di servizi.

Io stesso, che sono così allergico alle chiamate indesiderate e stacco il telefono durante le pause, non ho mai considerato invadente la pubblicità OnLine.

In ogni caso il pregio del provvedimento sui cookies è stato quello di costringere i titolari a mettere mano alle privacy policies dei propri siti, se esistevano, o a implementarle la dove inesistenti.

Con l’occasione è allora utile verificarne la coerenza, ad esempio la dove esistono servizi che richiedano una informativa specifica, aggiuntiva rispetto a quella più generale del sito. Fra tali servizi potrebbero esserci:
•    Form per la raccolta dati;
•    Sondaggi;
•    Form per la sottoscrizione di servizi aggiuntivi, quali ad esempio l’inoltro di una newsletter o di informazioni commerciali
•    …

Come sempre la strutturazione di una informativa corretta e quindi idonea (ricordo che una informativa non idonea è equiparabile dal punto di vista sanzionatorio ad una informativa non data) è molto articolata.

La formulazione delle informative deve infatti avvenire considerando l’intero processo dei trattamenti effettuati, i soggetti coinvolti, l’eventuale comunicazione dei dati raccolti, la necessità o meno di raccogliere e successivamente gestire un consenso Privacy (nel senso che deve anche essere possibile la gestione della successiva revoca dello stesso).

E’ anche importante chiedersi se, nei moduli di raccolta dati per l’erogazione di un servizio, tutti i dati che sono richiesti siano effettivamente necessari.

Tutti elementi importanti che è bene non sottovalutare anche perché, ricordiamocelo, un sito web è quanto di più facile da controllare anche da remoto da parte di chi desidera effettuare una visita ispettiva.

Ultima modifica ilMartedì, 14 Luglio 2015 08:55
Altro in questa categoria: « GDPR: Ruoli vecchi e nuovi

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto