Farlo bene sembra facile, ma non lo è.

20 domande sui cookie cui il garante non ha ancora risposto

Maurizio Boscarol
Jun 2, 2015 · 5 min read

Edit: il 4 giugno il garante ha pubblicato dei chiarimenti che in buona parte rispondono alle domande fatte qui. Aggiorno il testo in calce alle domande.

Parlando dei cookie di profilazione, il garante dice:

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività (…) la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

(“ed esprimere così il proprio consenso”? non “poter decidere se esprimere o meno il proprio consenso”?…)

Questa formulazione lascia aperti molti dubbi. Ma traduciamo i dubbi in domande, cui il Garante e chiunque altro potrà dare risposta (ovviamente quella del Garante farà testo…). Su Medium è possibile commentare al singolo paragrafo, per cui se avete le risposte scrivetele pure lì.

Le domande ancora senza risposta

  1. Partiamo semplici: i cookie di Google Analytics di default sono tecnici o di profilazione?
    Risposta dopo il 4 giugno: Il garante menziona siti che “utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti.”. Questi sembrano essere i cookie di Google Analytics, che sono tecnicamente di prima parte, anche se sono creati e messi a disposizione da una terza parte. Questi devono essere depotenziati per non dar vita a comunicazioni al garante (nemmeno al banner…). Il depotenziamento è per esempio quello del punto 2…Non si discute se siano di profilazione o meno. Per non dar vita a notifica, devono essere anonimizzati. Altrimenti, se non offuscate il rilevamento IP, dovete non solo mettere il banner, ma anche notificare (pagando) al garante.
  2. E’ necessario/possibile, come sostiene qualcuno, anonimizzare il tracciamento IP di GA per poterlo considerare tecnico e dunque non dover chiedere il consenso prima di installarlo?
    Risposta dopo il 4 giugno: Sì. Non solo è possibile, ma è necessario (punto 2 dei chiarimenti)
  3. Cambia qualcosa se noi usiamo Google Analytics, o altri servizi analoghi, ma non presentiamo pubblicità sul nostro sito (non traiamo cioè alcun vantaggio diretto dalla profilazione cui comunque il nostro cookie contribuisce, ma che verrà sfruttata da altri)?
    Risposta dopo il 4 giugno: Dalle risposte sopra, pare di no. E’ comunque necessario oscurare il rilevamento IP.
  4. Pensiamo ai cookie di altri servizi di statistiche, meno usati ma molto diffusi. Quelli di Shinystat, per esempio. Funzionano come quelli di Analytics? Cioè vanno considerati di profilazione?
    Risposta dopo il 4 giugno: La situazione pare essere identica a quella di GA. Ma non tutti i servizi consentono l’anonimizzazione dell’IP. Non è dunque chiaro al momento cosa sia necessario o possibile fare con questi servizi.
  5. Il garante conosce servizi che non sono di statistica né di advertising, ma di tracciamento del comportamento dell’utente all’interno di un sito, utile per monitorare il funzionamento del sito e migliorare offerte, servizi e prodotti? Ad esempio i servizi per fare test A/B, per tracciare i click e i movimenti del mouse, ecc. Alcuni esempi sono Clicktale, Mixpanel, Optimizely, Hotjar, Inspectlet. Questi cookies vanno considerati tecnici o di profilazione?
    Risposta: Non è ancora chiarito dal garante. Forse non conosce questo genere di servizi o non ritiene di occuparsene nei suoi chiarimenti.
  6. Sistemi terzi inseriti ad esempio al solo scopo di raccogliere domande volontariamente dagli utenti (ad esempio questionari di gradimento a popup, overlayer, ecc.), che traccino magari anche l’IP per distinguere le risposte, ma non lo usino per costruire profili a fini pubblicitari sono da considerare tecnici o di profilazione?
    Risposta post 4 giugno: La risposta pare essere no: non è necessaria comunicazione al garante né banner. Il garante infatti dice: “Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.”
  7. Parliamo in generale dei cookie di terze parti: esistono davvero cookie di terze parti che non sono di profilazione? E soprattutto, come può l’editore esserne certo, o impedire che un cookie inizialmente tecnico di terze parti venga usato improvvisamente (senza preavviso) per fini di profilazione?
    Questo davvero non lo sappiamo, e il garante non lo dice. Non sembra considerare il caso nei chiarimenti.
  8. Se esistono cookie di terze parti, anzi no: di servizi terzi ospitati dal nostro sito, che non sono di profilazione, e visto che i servizi sono molti ma non infiniti, potrebbe il garante elencarli, anche limitandosi ai principali tanto per dare degli esempi?
  9. Posto che identifichiamo i servizi che sono certamente di profilazione, è corretto dire che questi cookie non vadano installati dopo il 2 giugno senza un consenso dell’utente?
  10. Se i cookie di profilazione sono stati installati prima del 2 giugno anche senza il consenso dell’utente, è necessario dopo il 2 giugno, alla successiva visita dell’utente, eliminarli attivamente prima che lui dia il consenso?
  11. Nel caso precedente, può essere sufficiente mantenere il cookie installato prima del 2 giugno, a patto che non si attivino i javascript che ne fanno uso? In questo modo il cookie rimane installato, ma se il javascript non viene caricato il servizio terzo non può effettuare il tracciamento in quel momento.
  12. Per i cookie di profilazione (una volta che sarà chiaro quali sono) bisogna indicare nella informativa estesa solo il nome dei servizi che li usano, o anche il nome di tutti i cookie che questi installano? E se poi questi servizi cambiano il nome di qualche cookie, anche senza preavviso, bisogna modificare la dichiarazione?…
    Risposta: Non serve il nome dei singoli cookie: le informative “non dovranno necessariamente fare riferimento ai singoli cookie installati”
  13. Nell’informativa estesa, bisogna linkare alle singole pagine di opt-out dei singoli servizi terzi?
  14. Concretamente, come fa il sito a gestire gli opt-out degli utenti per i singoli servizi?
  15. I servizi a pagamento che offrono una gestione dell’informativa e dei cookie a norma di legge presentano soluzioni che il garante considera sufficienti?
  16. Esistono strumenti open-source o gratuiti pronti all’uso per implementare gli obblighi di legge, o le uniche alternative sono quelle di crearsele da soli o di utilizzare i servizi a pagamento?
  17. Come ci si deve regolare nel caso di cookie installati da contenuti generati dagli utenti (nei commenti, nei forum) tramite embed o link diretto a risorse presenti su server diversi?
  18. Cosa prevede la normativa per altre tecniche di tracking e profilazione non gestite attraverso i cookie? Perché queste non paiono prese in considerazione dal garante?
    (risposta provvisoria: Sembra che le prenda in considerazione equiparandole; anche se per queste, che di solito non sono trasparenti, di rado esistono possibilità di opt-out, direi…)
  19. Come verranno modulate le sanzioni?
  20. Le sanzioni saranno immediate e automatiche — salvo ricorsi — o verrà assegnato ai titolari un tempo per l’adeguamento, oltre il quale sarà dovuta la sanzione?

Queste sono le FAQ che avremmo voluto trovare sul sito del garante, ma speriamo di ottenere comunque le risposte, in qualche modo.

Link utili

Una soluzione opensource — Diego La Monica ha messo online una soluzione open source mista, server-side + client-side, utilizzabile da tutti, e presentata anche come plugin di WordPress. Secondo alcuni commentatori è anche esageratamente cauta, quindi dovrebbe senz’altro coprire i casi di legge. Ma con tutti questi condizionali che viaggiano, un chiarimento ufficiale del garante su queste questioni è quanto mai urgente!

    Maurizio Boscarol

    Written by

    Usabilista e vignettaro, pubblicò libri, articoli e fumetti. Affezionato agli ultimi.

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade