Navigazione, rilascio del consenso, profilazione del cookies, rilascio informazioni internazionali. La data fatidica del 2 giugno è passata e, a 5 mesi di distanza dall’entrata in vigore «operativa» della normativa in materia di «cookies law», Affari Legali fa un punto con gli avvocati specializzati in IT e privacy su come stia andando la messa in opera delle disposizioni da parte di imprese e professionisti.
Gli obblighi in materia di cookies derivano da una normativa europea da ultimo modificata nel 2009 – e recepita in Italia con un decreto del 2012 – che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo.
Dati sull’attività svolta dal Garante ancora non ce ne sono di ufficiali: i casi sollevati sono stati pochissimni, e tutti sono stati risolti.
Tuttavia, come fanno notare dall’authority, i principali problemi emersi fino a ora hanno riguardato essenzialmente l’utilizzo di cookie analitici di terze parti; i differenti obblighi derivanti dall’uso dei bottoni social in caso siano semplici link, che si limitano a rimandare ai social network, o invece collegamenti che rilasciano cookie. Inoltre, la notificazione in caso di un soggetto che gestisca più siti.
Sono state previste sanzioni amministrative anche pesanti, ma l’obiettivo del Garante, soprattutto in questa prima fase di applicazione delle regole, non è tanto quello di infliggere sanzioni e spaventare i gestori dei siti, quanto quello di aiutare e favorire l’adeguamento alle norme e una crescita della cultura del rispetto degli utenti che navigano in rete.
Sempre dal Garante fanno notare come uno dei problemi che sembrava di più difficile risoluzione, quello di realizzare il blocco preventivo dei cookie nell’ambito dei siti realizzati mediante uso di piattaforme (ad esempio Joomla, WordPress, Blogspot, ecc.), nei quali l’editore difficilmente può apportare modifiche tecniche al sito stesso, sembra in fase di superamento grazie agli strumenti che i curatori di tali piattaforme stanno realizzando ai fini dell’adeguamento alla cosiddetta «cookie law».
Tutti aspetti che sono stati chiariti dal Garante, anche se qualche dubbio, tra gli addetti ai lavori, ancora resta. «La questione principale riguarda la necessità di garantire una normale navigazione del sito, pur nel rispetto della normativa vigente, garantendo quindi un consenso immediato e consapevole, ma non troppo macchinoso», spiega Giangiacomo Olivi, partner di Dla Piper, e responsabile del dipartimento Technology & Intellectual Property. «Non è stato poi agevole individuare delle soluzioni tecniche che permettano di bloccare i cookie, o comunque verificare che i cookie di profilazione non siano attivati prima che sia stato prestato il consenso dell’utente.
In ogni caso questo consenso non può essere «perfetto», nel senso che non si può essere sicuri a chi sia effettivamente riferibile. Non si può avere la certezza di chi utilizza un determinato terminale, mentre ad un medesimo indirizzo IP possono corrispondere più terminali».
Molte le questioni sulle quali gli avvocati sono stati chiamati dai propri clienti a fare da consulenti. «Le richieste sono le più varie», spiega ad Affari Legali Olivi, «e si inquadrano più in generale nell’applicazione in concreto dei principi della normativa privacy nell’ambito di precise scelte tecnologiche di comunicazione.
Veniamo sempre più coinvolti nella fase iniziale del progetto, e questo è senz’altro un dato positivo, in linea con i principi di «privacy by design» che verranno adottati con il nuovo Regolamento Europeo. Quanto poi ai cookie, ci viene chiesto di rivedere se la procedura adottata è corretta, analizzando non solo varie tipologie di cookie, ma anche i flussi di dati a livello internazionale e i rapporti con i vari soggetti coinvolti, redigendo anche le informative e altra documentazione necessaria. La nuova regolamentazione, tra le altre cose, dovrebbe portare all’adozione di nuovi standard contrattuali che disciplinino in modo più chiaro gli obblighi e responsabilità dei vari soggetti coinvolti, anche se ciò non avverrà non in tempi brevissimi» ricorda Olivi
«Si deve considerare che tra gli operatori, quelli che sono in grado di raggiungere i risultati migliori in termini di analisi ed elaborazione di informazioni relative a utenti o clienti sono quelli che trattano una quantità considerevole di dati, riferiti ad un numero elevato di utenti», spiega Stefano Previti, name partner dello Studio Previti Associazione Professionale. Gli obblighi di informativa semplificata sono impostati su due livelli: un banner contenente una prima informativa «breve», la richiesta di consenso all’uso dei cookies e un link per accedere ad un’informativa più «estesa», dove l’utente potrà reperire maggiori e più dettagliate informazioni sui cookies e scegliere quali autorizzare. I cookies di profilazione, utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti e abitudini, sono soggetti inoltre all’obbligo di notificazione al Garante».
«Gli obblighi di informativa», prosegue Previti, «costituiscono solo un primo passo nella giusta direzione. Sarebbe tuttavia opportuno che venissero accompagnati da norme che disciplinino in modo estremamente specifico le modalità e il tipo di dati che possono essere raccolti attraverso l’invio di cookies prevedendo anche specifici controlli e sanzioni. Il rischio è infatti quello che l’informativa si risolva in un obbligo formale e burocratico, visto quasi con fastidio dagli utenti che vedono rallentata la propria navigazione senza beneficiare di alcun risultato concreto».
Secondo Federica De Santis, associate dello Studio legale Portolano Cavallo, «uno dei problemi più avvertiti riguarda gli obblighi per i siti web che utilizzino cookies di terzi, come widget e pulsanti di condivisione di contenuti su piattaforme social. La normativa non impone al gestore del sito l’obbligo di fornire l’informativa relativa ai cookies dei terzi e di acquisire il consenso all’installazione dei medesimi, ma soltanto di inserire nell’informativa «estesa» del proprio sito i link aggiornati alle informative e ai moduli di consenso di tali terzi. Tuttavia, nella pratica può risultare assai complicato per il gestore del sito reperire tali link, in particolare ai moduli di richiesta del consenso predisposti dai terzi».
In fase di prima attuazione, sono emerse alcune incertezze interpretative in merito agli adempimenti richiesti per l’uso di cookies cd. analytics messi a disposizione da terzi. «Da un’analisi del provvedimento generale sui cookies del Garante Privacy risulta che i citati obblighi, e in particolare, l’implementazione del banner e l’obbligo di notifica al Garante, non siano applicabili qualora si proceda al mascheramento di porzioni significative dell’indirizzo IP, in modo da ridurre il ‘potere identificativo’ dei cookies analytics. Anche il ‘kit’ elaborato da alcune associazioni di categoria seguono questa interpretazione» conclude De Santis.
© Riproduzione riservata