Ulteriori chiarimenti del Garante per la Privacy del 05/06/2015
Il 3 giugno è entrato ufficialmente in vigore il provvedimento del Garante per la Privacy, dell’8 maggio 2014, c.d. “Cookie Law”, con il quale si pone l’obbligo ai Siti Web d’informare gli utenti sull’eventuale utilizzo di Cookie, con apposito banner di avviso all’apertura del sito (come, per altro, già ribadito in questo articolo)
Evidentemente un anno di tempo non è stato sufficiente per capire quali procedure informatiche e giuridiche bisognasse adottare per adeguare i siti web rispetto al provvedimento citato, in particolare con riferimento all’utilizzo dei Cookie di Terze parti e di Profilazione.
Gli ulteriori chiarimenti del Garante giungono per una migliore interpretazione sull’uso dei Cookie Analitici di Terze Parti e di Profilazione.
Innanzitutto la tabella che segue (pubblicata dal Garante), riassume gli adempimenti da eseguire per adeguare un sito web rispetto all’uso dei Cookie. Si pone l’attenzione su tre elementi: segnalare i Cookie nell’Informativa estesa – Predisporre il banner di avviso con richiesta di consenso – Notificare al Garante.
Poniamo l’attenzione sui cookie Analitici di Terze Parti.
Quando un sito web utilizza i cookie analitici non propri (prima parte) ma bensì di Terzi (terze parti, come ad esempio Google Analytics), quest’ultimi sono considerati cookies di profilazione terze parti e, pertanto, prevedono l’attivazione di tutti e tre gli elementi citati precedentemente, in particolare la notificazione al Garante in quanto anche il Titolare del sito utilizza i dati ottenuti con tali cookie.
Per evitare di:
- Inserire il Banner e richiedere il Consenso ai visitatori/utenti;
- Notificare al Garante il trattamento dei dati,
occorre adottare strumenti per ridurre il potere identificativo dei cookie, cioè occorre che i dati siano anonimizzati, ovvero:
- Occultare tutto o in parte l’IP
- La terza parte si impegna a non incrociare/condividere le informazioni raccolte con i cookie con altre di cui già dispone (con una precisa dichiarazione contrattuale!)
La vera questione si pone proprio in quest’ultimo aspetto, ovvero è praticamente remota l’ipotesi di negoziare condizioni contrattuali personalizzate con colossi del web come Google (a maggior ragione quando a richiederle è un piccolo utente).
Cosa fare?
Nelle more di una probabile ulteriore nota del Garante, occorre adottare delle “modifiche” al proprio account, esempio di Google Analytics, per evitare che le informazioni raccolte con i cookie possano essere incrociate/condivise con: prodotti e servizi; assistenza tecnica; esperti di vendita, ecc.
Per chi usa Google Analytics:
- accedere al pannello di controllo di Google Analytics;
- sezione Amministrazione, cliccare su Impostazioni dell’Account;
- Alla voce Impostazioni di Condivisioni dei dati occorre togliere la spunta a tutti i seguenti servizi:
La materia risulta essere molto complessa e articolata, a volte anche in contraddizione con la normativa comunitaria in vigore e soltanto attraverso un’adeguata conoscenza delle regole si riescono a trovare le soluzioni adeguate.
In questa circostanza abbiamo esaminato soltanto un’aspetto della Cookie Law – “I Cookie Analitici di Terze Parti”, considerati cookie di Profilazione , cioè quelli più invasivi per il visitatore.
Attenzione alle sanzioni da capogiro.
Poiché, in caso di Privacy e Cookie Policy mancante, incompleta o non conforme o il sito web non è adeguato alla Cokie Law, il Titolare incorrerebbe in una sanzione da parte dell’Autorità Garante, per una somma che va da 6.000 fino anche a 120.000 euro.
Proteggere e difendere la Privacy dei visitatori dei siti web è il cardine della Cookie Law ed è apprezzabile lo sforzo del legislatore in questo senso, peccato ci sia ancora poca chiarezza tecnico/giuridica.
La direzione è giusta ma la meta è ancora lontana.