Quel pasticciaccio brutto della Cookie privacy law in Italia

privacy

Ormai è da un pò che si sa, con la direttiva "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)" il garante della Privacy italiano ha recepito la cosiddetta "EU Cookie Privacy Law" ed entro il 2 giugno tutti i siti si dovranno adattare a questa direttiva.

Di per se uno potrebbe anche pensare che questo non si un male, anzi, che sia una tutela corretta nei confronti degli utenti, e per molti punti di vista non possiamo che approvare anche noi.

in effetti cosa dice questa roba? 

Che se voglio profilarti (tradotto : fare in modo che se cerchi sul servizio X dei nuovi paperotti di gomma per il bagnetto poi quando entri su quello Y ti venga proposta la pubblicità per acquistare paperotti di gomma) almeno devo avere la buona grazia di dirtelo prima, dirti come tratto i tuoi dati e darti una scappatoia per permetterti di non subire questo trattamento.

Non solo nulla di male, ma anzi, una certa attenzione all'utente che alla fin fine non fa male , vero?

Peccato che, come al solito, viviamo in Italia, e quindi tra il dire e il fare c'è di mezzo ben più che "e il"...

Cosa devo fare infatti io, titolare del sito XYZ (compreso il blog dei gatti di famiglia) per essere a norma?

  1. Pubblicare una mia Privacy policy. che va scritta e messa bene in evidenza.
  2. Inserire sul mio sito un qualche sistema che permetta di accettare o rifiutare l'invio di cookie (i pezzettini di software che permettono di identificarmi) da parte del sito
  3. Se il mio sito non usa solo "Cookie tecnici" ma anche "Cookie di profilazione" devo notificare la mia Privacy Policy (il documento che ho scritto al punto 1) al garante della privacy

e qui inizia a cascare l'asino...

perchè che cosa sarebbe un "cookie tecnico" e un "cookie di profilazione" diventa veramente un inferno da capire.

Parliamoci chiaro:

non esiste un sito oggi, che non utilizzi in qualche modo dei cookie che potrebbero venire considerati "di profilazione":

volete usare Google Analytics per vedere le statistiche del vostro sito ? potrebbe essere considerto un cookie di profilazione.
Google Fonts? idem.
i pulsanti per dire "mi piace questo articolo" su Facebook ? pure.

Per assurdo, anche il fatto di permetterti di registrarti sul mio sito per mille motivi , compreso amministrarlo, e permetterti di "essere ricordato", si fa con un cookie che potrebbe venire considerato "di profilazione".

e a questo punto si inizia a diventare matti perché ci sono due "cosucce" che non sono state considerate finora, cioè

  1. comunicare la propria Privacy Policy al garante non è gratis, ma una operazione che costa 150 € a botta di "diritti di segreteria"
  2. se non lo fai e il garante pensa che tu usi cookie di profilazione, le multe sono cifre astronomiche: si parla di 120/150.000 €. e prima paghi e poi si discute
  3. nonostante mille interpretazioni diverse, visto la brillante assenza di comunicazioni ufficiali del garante in merito, nessuno può veramente darti la certezza di cosa il garante considererà "cookie di profilazione"

insomma, se uso un sistema che permette a Google o a Facebook di profilare passando per il mio sito, devo o non devo spendere 150 € MINIMO di bolli solo per mandare via telematica e firmata digitalmente questa benedetta "privacy policy" ? e se voglio permettere al mio utente di registrarsi e di farsi ricordare?

oggi, a nostro avviso, non c'è una risposta possibile e seria a questa domanda, ma solo mille interpretazioni differenti più o meno autorevoli o più o meno sbandierate, ma chi dovrebbe dire l'ultima parola (e quindi rischiare di smettere di incassare a pioggia 150 € di diritti di segreteria o 150.000 € di multa) se ne sta tranquillamente zitto e anche nelle sue FAQ ben si guarda da dare risposte certe.

In giro si parla di una voce delle FAQ che dice :

14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

Il che sembrerebbe dare finalmente l'agognata "liberatoria" a chi semplicemente usa tutti quei Cookie di Profilazione "degli altri" (cioè praticamente tutti noi) ma poi subito dopo...

15. L'uso dei cookie va notificato al Garante?

I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all'obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

insomma, il cane si morde di nuovo la coda, e dà ben poche certezze.

Intanto comunque sarà il caso di ricordarsi che almeno la privacy policy e la possibilità di blocco dei cookie non possono essere evitati, e che magari potrebbe essere una buona occasione per verificare se si è fatta manutenzione al proprio sito.

Perché con 150.000 € di possibile multa, in un paese dove prima paghi poi discuti con lo stato, non è facile fare di conto.

Se vuoi saperne di più puoi andare alla nostra pagina dedicata a questi servizi! oppure contattarci per una consulenza utilizzando il form sottostante.