La prima importante distinzione che deve essere tenuta a mente per comprendere appieno la portata di questo provvedimento (e i relativi obblighi che esso prevede) è che una cosa sono i cookie di profilazione (utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc.), altra cosa è l’attività di profilazione (ovvero tutto ciò che con questi cookie si può fare, come la trasmissione al terminale dell’utente di messaggi pubblicitari in linea con le preferenze già da lui manifestate nella navigazione online).
Finalità: le modalità semplificate e l’acquisizione del consenso online nascono dall’esigenza (prevista a livello europeo da una specifica normativa) di regolamentare la profilazione e sono rivolte solo a quanti, sino ad oggi, hanno inviato pubblicità mirata ai (troppo spesso) inconsapevoli utenti della Rete. Tenendo presente questa finalità, pertanto, è chiaro che i destinatari del provvedimento siano solo i gestori dei siti che effettuano attività di profilazione per proprio conto (ed è per questo che l’editore del sito[1] che non profila non si deve preoccupare della notificazione al Garante). Quindi, se il gestore del sito non profila, ma si serve di cookie di terze parti che profilano (con le quali è spesso difficile intrattenere diretti rapporti commerciali), è ovvio che non potrà sostituirsi a queste nel fornire l’informativa e acquisire un consenso al loro posto e sarà perciò del tutto inutile per lui inserire un banner sul suo sito come modalità di acquisizione del consenso.
Informativa e consenso: quale conseguenza di quanto sopra affermato, nel provvedimento è stato correttamente specificato che “non si può obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti”. Piuttosto, è opportuno fare un rinvio (indicando i link alle specifiche pagine web delle terze parti), ovviamente impedendo l’installazione – durante la navigazione sul proprio sito – di cookie di profilazione (di prima o di terza parte) o anche consentendo la scrittura di tali cookie sul dispositivo dell’utente, purché essi rimangano inattivi fino a una specifica scelta dello stesso[2].
La stessa Autorità Garante ha sottolineato che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del gestore del sito di “ospitare” pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella “generalista” offerta indistintamente a tutti. Questa è la giusta discriminante che deve essere tenuta in debita considerazione se si vuole applicare correttamente le indicazioni contenute nel provvedimento in materia di cookie.
Banner o non banner: si legge nel provvedimento che il banner (contenente informativa breve e la richiesta di consenso per gli editori del sito che profilano) deve riportare le seguenti indicazioni:
a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
si parte, quindi, dal presupposto che la prima parte (il gestore del sito web) utilizzi cookie di profilazione propri. Unicamente in questo caso, quindi, il banner è necessario;
b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
pertanto, solo successivamente viene specificato che deve essere inserita anche un’informazione circa l’utilizzo di cookie di profilazione delle terze parti;
c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
e qui si insinua il dubbio interpretativo nel gestore del sito, che viene portato a credere di dovere in ogni caso inserire un banner contenente un link all’informativa estesa, dove l’utente potrà trovare informazioni complete sui cookie tecnici e analytics e scegliere quale dei cookie – di profilazione – autorizzare. L’obbligo del banner con il link all’informativa estesa, tuttavia, nasce solo nei confronti degli editori che utilizzano cookie di profilazione e non anche nei confronti di quanti utilizzano solo cookie tecnici;
d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
in questo caso all’utente deve essere semplicemente spiegato come disabilitare anche i cookie tecnici, oltre a quelli di profilazione, ma tale indicazione può essere inserita nella privacy policy generale del sito o nella specifica cookie policy (se redatta separatamente dalla privacy policy generale);
e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
Si ricorda, inoltre, che subito dopo la descrizione dei “cookie tecnici”, all’interno del provvedimento del Garante (paragrafo 1, lett. a), viene specificato che “per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee”; mentre alla FAQ numero 12 (vedi http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077), in particolare, si chiarisce quanto segue: “L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici? No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito”.
Pertanto, se attraverso un sito non viene effettuata profilazione (e, ribadiamo, per profilazione si intende l’attività seguente alla fase di raccolta delle informazioni per mezzo dei cookie installati sul terminale dell’utente e attraverso la quale tali informazioni vengono elaborate per inviare all’utente messaggi pubblicitari in linea con le preferenze manifestate nella sua navigazione in rete), ma si utilizzano solo cookie tecnici (come Google Analytics o Shinystat), l’unico dovere che ha il gestore del sito web è di specificare nell’informativa estesa (che può essere una Privacy Policy generale del sito o una cookie policy) le specifiche finalità perseguite attraverso la raccolta di tali cookie tecnici (senza, tra l’altro, indicare lo specifico e incomprensibile nome di ciascun cookie tecnico). In conclusione, in questi casi il banner NON serve!
Eppure, chi utilizza Analytics[3] o altri strumenti simili è ancora terrorizzato dal solo pensiero di poter subire pesantissime sanzioni. In realtà, se il titolare (gestore del sito) non fa profilazione e magari ha il dubbio che la possa fare Google, come specificato anche nel provvedimento del Garante, avrebbe solo l’obbligo di informare l’utente che Google potrebbe profilarlo e fornirgli un link (nella cookie policy estesa) dove poter acquisire tutte le informazioni circa l’utilizzo che il terzo farà dei suoi dati (ed è solo nell’informativa del terzo che l’utente potrà esprimere eventualmente il suo consenso), non deve invece farsi carico degli adempimenti della terza parte relativamente all’obbligo di fornire l’informativa e acquisire il consenso, quindi – lo ripetiamo ancora! – non deve mettere il banner.
Qualora poi l’utente esca dalla cookie policy senza aver effettuato alcuna scelta circa la profilazione delle terze parti, di fatto accetta che tutti i cookie gli vengano installati (e questo deve ovviamente essergli spiegato in modo trasparente). In ogni caso, gli deve essere illustrato anche che può esercitare tranquillamente il suo diritto di opt-out seguendo le modalità specificate nella cookie policy.
La giusta equazione in questo caos deve essere: se non profilo non devo mettere il banner e se non devo mettere il banner non devo fare la notificazione! Piuttosto semplice, no?
Cosa devo fare se ho un plug-in social
Se il plug-in social si limita semplicemente a rinviare l’utente sullo specifico social selezionato, che viene gestito direttamente dalla “terza parte”, anche in questo caso non bisogna farsi prendere dall’ansia da banner. Il Garante Privacy ha chiarito (in modo ovvio per chi conosce da tempo la normativa…) che se sul sito web sono presenti e attivi widget social per la condivisione degli articoli e si tratta di semplici link di rimando ai siti social, non c’è alcun adempimento specifico da attuare, in quanto non ci sono cookie di profilazione. Sarà poi il gestore del sito a dover verificare se invece i widget inviano anche cookie di profilazione all’utente.
Se, pertanto, si utilizzano solo i “social plug-in content sharing cookies” non bisogna chiedere alcun consenso all’utente, mentre se si utilizzano i “social plug-in tracking cookies” deve essere acquisito il suo consenso (con le procedure semplificate indicate dal Garante).
Lo stesso Garante ha chiarito che, se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici “link” a siti delle terze parti che non installano cookie di profilazione, allora non vi è alcun bisogno di fornire l’informativa mediante banner e acquisire il relativo consenso.
Alla luce di quanto esposto, non si riescono davvero a comprendere i tanti articoli e le interpretazioni normative di pseudo esperti della materia che si sono succeduti in questi giorni; alcuni dei quali addirittura hanno giudicato questo provvedimento contrastante con la normativa europea (laddove, a nostro avviso, il Garante ha solo cercato di rendere la stessa normativa europea più elastica, adottando delle semplificazioni anche per venire incontro alle esigenze del mercato).
Con questo provvedimento il Garante ha voluto, di fatto, responsabilizzare (solo) i gestori dei siti che mettono in atto tecniche commerciali particolarmente invasive, richiamandoli al dovere di trasparenza nei confronti dei loro utenti. Spiegare all’utente i possibili rischi per la privacy e indicargli la strada per garantirsi il suo “anonimato online” è la finalità di questo provvedimento, non quella di ingolfare con inutili adempimenti l’attività degli editori medio-piccoli.
I nuovi chiarimenti del Garante
A pochi giorni dall’entrata in vigore del provvedimento, il Garante Privacy è già dovuto intervenite con un comunicato stampa e con un nuovo provvedimento esemplificativo di quello precedente (“Chiarimenti in merito all’attuazione della normativa in materia di cookie”)[4] per placare gli animi e rassicurare blogger e piccoli editori web che per ora non ci saranno sanzioni. Ma perché si è scatenata tutta questa incertezza?
Tra i tanti dubbi che sono stati chiariti dall’Autorità Garante, vi è quello che attiene all’utilizzo dei “cookie analitici di terze parti”: in tale contesto, è stato specificato che i siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP) o purché i dati degli utenti raccolti siano conservarti separatamente e non “arricchiti” o “incrociati” con altre informazioni già in possesso delle terze parti (es. Google), oppure la terza parte si impegni comunque a non incrociare le informazioni contenute nei cookie con altre di cui già dispone[5]. Ma in tutti questi casi, sembra esserci più un dovere posto in capo al Google di turno piuttosto che ai singoli gestori dei siti web!
Riflessioni e conclusioni
A nostro parere, se è vero che ormai si fa un uso spesso largo e improprio di provvedimenti e circolari, c’è anche da dire che tali documenti vengono “avvertiti” da molti commentatori come autorevoli “fonti di legge”, senza distinzioni e senza partire nell’interpretazione – come invece si dovrebbe fare – dalle “radici” del diritto sulla protezione dei dati personali.
Se da una parte si può dire che negli ultimi anni il Garante – anche perché sollecitato dalla normativa europea – tende a rincorrere nei suoi provvedimenti la tecnologia e i singoli casi concreti, d’altra parte occorre ammettere che siamo anche noi, in verità, a chiedere al Garante di spiegare, rispiegare, dettagliare, in un’ostinata paura di sbagliare: ma è giusto che il Garante abbia poteri interpretativi così invasivi su questa materia? Questo ruolo non spetterebbe più propriamente ai giuristi?
A nostro avviso, dovremmo essere prima di tutto noi giuristi a fare la nostra parte e con coraggio interpretare e guidare le scelte del mercato, senza pregiudizi e guardando con attenzione le prassi telematiche (applicando così alla mutevole realtà del web una normativa che è presente nel nostro ordinamento dal 1996…). E soprattutto non proporre una sola soluzione rigida, ma offrire – a seconda dei casi e del contesto – le varie possibilità concesse dalla normativa (partendo prima di tutto dal Codice per la protezione dei dati personali e non dal singolo provvedimento). Ricordiamoci, noi giuristi, ciò che siamo e ritorniamo a considerare il nostro ruolo di interpreti della realtà. Non sarà mai (e mai dovrebbe poterlo essere) la presenza di un banner piccolo o grande a rendere corretto il trattamento di dati personali per finalità commerciali, ma una serie di misure organizzative/informatiche che troppo spesso vengono ancora oggi ignorate.
[1] A ben vedere il termine “editore”, utilizzato dal Garante nel suo provvedimento, non trova riscontro nella normativa europea, che usa invece la definizione “fornitore di un servizio della società dell’informazione”.
[2] Se vengono utilizzati i c.d. cookie “Third party advertising”, “First party analytics” o di “Retargeting/Remarketing”, invece, si rientra pienamente tra i gestori di siti web che devono fornire l’informativa e acquisire il consenso.
[3] Google Analytics non nasce con la funzione specifica di profilare l’utente per inviare allo stesso messaggi in linea con le sue preferenze, ma solo per verificare come l’utente naviga sul sito web.
[4] Di seguito i principali interventi chiarificatori:
– i siti che non utilizzano cookie non sono soggetti ad alcun obbligo;
– per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner;
– i cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità;
– se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
a) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
b) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone;
– se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso;
– nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport);
– è possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio;
– gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.
[5] Questo impegno ovviamente è ricavabile anche dalla lettura delle policy della terza parte (e non c’è naturalmente bisogno di un accordo formalizzato in tal senso, in quanto implicitamente la terza parte si assume tutte le responsabilità derivanti da un uso non conforme rispetto al trattamento dichiarato).