A partire dal 2 giugno 2015, il Garante della privacy impone ai gestori di blog e siti web l’obbligo di acquisire il consenso informato dell’utente all’installazione di cookie di profilazione (proprietari e/o di terze parti).
Tanto si è discusso, negli ultimi giorni, in merito a questo tema che evidentemente coinvolge un gran numero di persone. Il blog ha avuto il piacere di ospitare il prezioso contributo dell’Avvocato Raffaele Romano, esperto di privacy, il quale ci ha aiutato a far chiarezza sulla questione. La normativa, però, è complessa e tanti ancora sono i dubbi in merito.
Intanto nella giornata di ieri, a Roma, si è svolto un incontro tra il Garante Antonello Soro, il presidente di DMA Italia Fabrizio Vigo, il consigliere Fedoweb Claudio Giua, il direttore di IAB Italia Daniele Sensini, il presidente di Netcomm Roberto Liscia e la presidente della Commissione Giuridica UPA Cinzia Gaeta.
In questa occasione è stato presentato un kit di implementazione – una sorta di istruzioni per l’uso – dedicata alle aziende che intendano applicare correttamente la nuova policy inerente i cookie.
COOKIE: KIT PER L’USO
Nel kit – scaricabile qui – vengono approfonditi alcuni aspetti fino a questo momento poco chiari, quali ad esempio l’esatta definizione di cookie di profilazione (che comprende anche i cookie di retargeting, quelli di statistica gestiti da terze parti e quelli relativi ai social network).
Dapprima, spiega il documento, occorre distinguere tra cookie installati dal proprio sito (di prima parte) e cookie installati da siti esterni (di terze parti). Viene ribadito inoltre che non sarà possibile installare i cookie sul terminale utente se prima non viene acquisito il consenso dell’utente.
Il documento precisa infatti che i cookie di profilazione “dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito”.
È stata al contempo chiarita la questione riguardante la notifica al Garante: “nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva”.
E l’onere della prova? Il documento spiega che, secondo il Garante, bisognerà all’occorrenza dimostrare di aver acquisito il consenso preventivo dell’utente ma, allo stato attuale, “non esiste ancora un sistema tecnico ‘perfetto’ in relazione alla modalità di registrazione del consenso da parte di un browser”.
Restano, quindi, diverse questioni aperte:
– Come implementare uno script che riesca a bloccare l’installazione dei cookie prima di aver acquisito il consenso?
– Come vanno considerati i cookie di Google Analytics (o altri strumenti statistici affini)? Si tratterebbe infatti di cookie di statistica gestiti completamente da terze parti.
– In che modo può essere dimostrato, infine, di aver acquisito il consenso dell’utente?
COOKIE: LA QUESTIONE ANALYTICS
UPDATE 14/05/2015: Per quanto riguarda Google Analytics, uno dei principali sttrumenti di statistica utilizzati da blogger e webmaster, sembra ci sia stata un’apertura del Garante per quanto riguarda il necessario “blocco” dei cookie di terza parte. Rendendo anonimi gli IP (che, lo ricordiamo, in ogni caso non saranno a noi visibili, ma lo saranno per Google), è possibile equiparare i cookie utilizzati dalla terza parte a normalissimi e innocui cookie tecnici di statistica. In pratica, non sarà più necessario bloccare l’installazione dei cookie finché non viene ricevuto il consenso informato dell’utente.
Per farlo si può utilizzare la funzione Javascript ga(‘set’, ‘anonymizeIp’, true) oppure, nel caso di WordPress, utilizzare il plugin Google Analytics by Yoast e, nelle impostazioni, specificare che si desidera anonimizzare gli IP address.
In questo modo si rispetterà la normativa in essere che, come ha illustrato efficacemente l’Avv. Romano, prevede che “se perseguono scopi statistici e raccolgono le informazioni in forma aggregata i cookie analytics possono considerarsi cookie tecnici”.