E’ già il primo giugno e domani entrerà in vigore questa benedetta legge sui cookie, in queste ultime settimane ho sentito di tutto e di più.

E’ vero che la legge è stata scritta in modo non del tutto chiaro o meglio, leggendo e rileggendo sia il testo del provvedimento sia le FAQ esplicative ed i documenti chiarificatori emessi successivamente dal Garante, ha favorito interpretazioni particolarmente restrittive che però vanno in controtendenza con la normativa europea che questa legge recepisce e che tecnicamente sono difficilmente implementabili sia dai piccoli editori (cioè dai piccoli blog professionali, che dai tantissimi blog amatoriali di privati.

Il 29 maggio scorso è uscita un nuovo comunicato del Garante, aveva promesso delle linee guida attuative ben chiare ma per ora ha pubblicato solo questa piccola nota che però da una direzione ben precisa, dalle ultime parole scritte sul sito ufficiale la legge deve essere interpretata sulla falsariga di quella europea e non in modo più restrittivo.

Con questo secondo post a tema voglio fare un po’ di chiarezza, ovviamente il mio non è un parere legale perché non sono un avvocato ma è il frutto di una lettura molto molto attenta di tutto quello che è stato pubblicato sul sito ufficiale www.garanteprivacy.it e dalla consultazione con altri blogger professionisti, avvocati e agenzie (leggetevi anche il mio primo post sulla cookie law: BLOGGER PER LAVORO CON PASSIONE: INFORMATIVA PRIVACY E CONSENSO ALL’USO DEI COOKIE DI PROFILAZIONE.).

Andiamo a vedere cosa fare e cosa è stato detto dal Garante (e non dalle tante aziende che stanno facendo terrorismo per fini economici) per punti ben chiari.

1.

Prima di tutto bisogna capire quali cookie ha il proprio sito, per farlo il sistema più semplice che ho trovato è un add-on per il browser che si chiama https://www.ghostery.com/it/, io l’ho installato su Chrome ma esiste anche per tutti gli altri browser più famosi.

Non limitatevi a controllare la home page del blog ma analizzate anche le pagine interne e una (o più) pagina di post perché possono esserci altri cookie e dovete tener conto di tutti.

2.

Se avete solo cookies tecnici o cookie di analitycs potete anonimizzare questi ultimi con questa semplice procedura, in questo modo NON avete l’obbligo di esporre il banner o la barra ma solo di stendere un’informativa estesa e di mantenere questo documento in una pagina linkata in tutte le pagine del blog.

Potete metterla nel footer, nella sidebar, nella barra del menu in alto o dove volete, basta che ci sia dappertutto e ovviamente il link sia visibile se qualche visitatore la cerca.

3.

Se avete solo cookie tecnici e di terze parti (cioè delle grandi aziende come Facebook, Google, ecc. ecc.) vediamo alcuni stralci della legge e delle successive linee guida per capire cosa fare, il grassetto colorato indica i punti salienti.

Dal provvedimento: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)

[…] 2. Soggetti coinvolti: editori e “terze parti”.

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.
In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente faticosa per l’utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l’intento di semplificazione previsto dall’art. 122 del Codice.

Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte  tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti. […]

Poi successivamente il mancato obbligo per gli editori (i blogger e gestori di siti) che utilizzano solo cookie di terze parti di chiedere il consenso preventivo per questi è confermato dalle FAQ sull’informativa e uso dei cookie che il garante ha pubblicato sul sito il 3 dicembre 2014.

[…] 14. Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse. […]

Quindi, letto tutto questo, io mi sono regolata esattamente come indicato sul sito ufficiale che è l’unico che può fare testo in caso di contenzioso, cioè ho preparato una informativa dettagliata e ho impostato un banner ben visibile per informare i miei visitatori di che cookie possono trovare qui con il link al bottone OK, con cui possono dare l’approvazione, e con il bottone che rimanda all’informativa estesa che è comunque sempre linkata su ogni pagina nel menu in alto.

Invece NON ho fatto il blocco preventivo dei cookie visto che non sono cookie di cui io posso disporre e di cui ho accesso ai dati perché non sono miei ma sono di terze parti.

Ovviamente NON ho fatto neppure la comunicazione al Garante con il pagamento dei 150,00 euro per diritti di segreteria, adempimento che spetta solo a chi emette cookie di profilazione di prima parte.

4.

Se il vostro sito invece emette cookie di prima parte, cioè che sono vostri e che voi gestite direttamente con i dati correlati allora le cose sono un po’ più complesse e avete l’obbligo di adempiere a tutti i punti:

– blocco preventivo dei cookies fino al consenso del visitatore (anche con scroll o click) con un banner ben visibile con il link all’informativa estesa.

– informativa estesa dettagliata.

– comunicazione al Garante con pagamento di 150,00 euro per spese di segreteria.

5.

Resta da chiarire il nodo di chi ha un blog su worpress.com visto che su quella piattaforma gratuita non è possibile istallare plugin o script per implementare la barra informativa, in più Automattic, la società che gestisce il servizio, ha dichiarato che non farà niente, in palese conrasto con la legge.

Sinceramente non so se vengono emessi solo cookie tecnici, in questo caso non è necessaria la barra ma basta preparare una pagina con l’informativa estesa e linkarla nella sidebar su tutte le pagine.

Se vengono emessi altri cookie di profilazione di terze parti nessun blog su quella piattaforma sarà a norma, per questo dubito che il garante possa fare le multe ai blogger, semmai multerà la società.

Però, per dimostrare che volete adempiere  alla legge malgrado tutto, io vi consiglio di preparare un bannerino o una scritta con l’informativa breve e il link all’informativa estesa da piazzare nella sidebar in alto, non sarà perfetto ma meglio di niente!

L’alternativa è la migrazione su un wordpress.org proprietario.

6.

Mi è stato chiesto anche se le multe del Garante saranno anticipate da una notifica al titolare del sito per informarlo che sono stati rilevati dei problemi e che ha un breve periodo di tempo per mettersi in regola prima della multa vera e propria.

Su questo punto purtroppo non ho trovato nessuna conferma né ufficiale né ufficiosa e quindi non posso confermare in nessun modo, spero di si soprattutto in una prima fase visto che i chiarimenti ufficiali promessi non sono ancora arrivati e tutti li aspettano con trepidazione, altresì spero che vengano controllati prima i siti dei grandi editori e solo molto dopo i piccoli blog e i blog amatoriali.

Se avete domande o altre informazioni utili vi aspetto come sempre nei commenti.