CercaEsegui ricerca
Privacy e security
Cookie Law: Nuove Indicazioni del Garante Privacy del 3 luglio 2015

Cookie Law: Nuove Indicazioni del Garante Privacy del 3 luglio 2015

14 luglio 2015Cookie Law: Nuove Indicazioni del Garante Privacy del 3 luglio 2015
Come gestirli correttamente. Google Analytics: evitare la notificazione è possibile.

E’ di settimana scorsa il Seminario Formativo organizzato dall’Autorità Garante Privacy in materia di “Cookie e Protezione dei Dati Personali” tenutosi a Roma presso il CEFODIFE (Centro Formazione della Difesa). Il Garante ha ribadito le indicazioni fornite nei Chiarimenti del 5 giugno e successiva Infografica, spiegando in maniera dettagliata come gestire in maniera corretta i Cookie e soffermandosi particolarmente sui c.d. Analitici tra cui Google Analytics per il quale è possibile tramite degli accorgimenti, e vedremo come, evitare la notificazione e relativi costi.

Quali le categorie di Cookies e le loro funzioni? Il Garante prevede tre macro categorie. I Cookie Tecnici che sono necessari per il corretto funzionamento del sito web, possono essere di sessione (es. login) e funzionali (es. impostazione della lingua). I Cookie di Profilazione volti al monitoraggio delle preferenze di navigazione finalizzate anche alla riproposizione di un contenuto mirato e/o alla ricostruzione di profili commerciali (es. remarketing). Infine, i Cookie di Terze Parti, impostati da un sito web diverso da quello che si sta visitando (es. AddThis).

Quindi come gestirli correttamente?

  • Cookie Tecnici: informativa semplice;
  • Cookie di Profilazione: banner di consenso, informativa multistrato, notificazione;
  • Cookie di Terze Parti: banner di consenso e informativa multistrato.

Ma i Cookie Analitici? Qual è la loro categoria di appartenenza? Dipende. E queste sono le ragioni dei molti dubbi e delle numerose opinioni e pareri anche contrastanti dello scorso mese. E il Garante interviene nuovamente proprio per fare maggiore chiarezza e dipanare ogni dubbio soprattutto in tal senso.

Quali quindi le variabili da tenere necessariamente in considerazione? Sono diverse. Innanzitutto l’anonimizzazione o meno della base dati. Qual è il soggetto che “profila” tali dati, l’editore del sito web e/o la terza parte. Infine le finalità di tale trattamento da parte sia dell’editore che della terza parte.

Possiamo rappresentare brevemente le principali casistiche in tre gruppi.

Il Cookie Analitico è equiparabile al Cookie Tecnico. L’editore anonimizza gli indirizzi IP degli utenti e non condivide informazioni con la terza parte. Unico adempimento l’informativa semplice.

Il Cookie Analitico è considerato di Profilazione. Assente l’anonimizzazione degli IP e i dati sono condivisi con la terza parte. Diversi gli obblighi quali il banner di consenso, l’informativa multistrato e la notificazione.

Il Cookie Analitico è paragonabile a Profilazione di Terze Parti. Attiva l’anonimizzazione degli IP, ma le informazioni sono condivise con la terza parte che profila in maniera autonoma. L’editore deve gestire il banner di consenso e l’informativa multistrato. La terza parte deve notificare tali trattamenti.

Approfondiamo ora un caso pratico largamente diffuso che potrà rendere le idee più chiare e fornire sicuri e preziosi spunti di riflessione: Google Analytics.

La stragrande maggioranza dei siti web è di puri contenuti e si avvale di questo strumento per poter analizzare i dati di navigazione in modalità anonima e aggregata. E la terza parte, cioè Google? Acquisisce tali informazioni in chiaro, le incrocia con altre a sua disposizione, le arricchisce, le tratta direttamente e indirettamente, le condivide con i propri partner, e tutto ciò per le più svariate finalità tra le quali prevale sopra a tutte la profilazione per finalità di marketing.

All’interno del pannello di controllo di Analytics è possibile sia anonimizzare l’IP che non condividere le proprie informazioni con Google e i propri partner.

La funzione di anonimizzazione IP imposta a zero la parte finale dell’indirizzo IP dell’utente. L'anonimizzazione IP avviene non appena i dati vengono ricevuti dalla rete di raccolta di Analytics (Collector), prima che avvenga qualsiasi memorizzazione o elaborazione, in questo modo l'indirizzo IP completo non è mai scritto su disco. Nel codice sorgente dello script di Google Analytics inserito nelle pagine web va aggiunta, sotto la riga con l’ID di monitoraggio, la seguente stringa: “ga(‘set’, ‘anonymizeIp’, true);”. Al termine della procedura il codice avrà la struttura di seguito riportata.

Nella sezione Amministrazione è possibile infine modificare le Impostazioni dell’Account. Alla voce Impostazioni di Condivisioni dei dati occorre togliere la spunta a tutti i seguenti servizi: Prodotti e servizi Google; Assistenza tecnica; Esperti dell’Account (entrambe le voci), etc.. Al termine della procedura avrete un pannello così configurato come di seguito rappresentato.

Entrambe le impostazioni sopra descritte, e applicate in tutti i siti Kalì, permettono di equiparare Analytics a un Cookie Tecnico, per il quale si rende necessaria la sola menzione in Informativa, evitando sia il Banner di Consenso e soprattutto la Notificazione all’Autorità Garante. Da un punto di vista giuridico, il pannello di controllo con relativi termini e condizioni d’uso è paragonabile ad un contratto di servizi che regolamenta le condizioni di erogazione della prestazione in oggetto, tramite il quale l’editore, anche modificando le impostazioni di base, e la terza parte si impegnano a usufruire il primo e ad erogare il secondo servizio previsto.

Così facendo l’editore del sito web potrà continuare a verificare i propri dati anonimi e aggregati relativi alla navigazione, ma soprattutto la terza parte non potrà trattare i dati personali degli utenti in chiaro e per proprie e autonome finalità senza un loro preventivo e specifico consenso.

Google anche all’interno del pannello di controllo di Analytics dichiara esplicitamente quali sono le proprie finalità di trattamento e fornisce le indicazioni su come anonimizzare gli IP e modificare le impostazioni di condivisione. Si è ovviamente ben lontani dai principi di Privacy by Design e Privacy by Default tra l’altro previsti e rafforzati dal Nuovo Regolamento Europeo Privacy che a breve dovrebbe vedere la luce, ma va quanto meno riconosciuta a Google una nuova e maggiore trasparenza e soprattutto una certa volontà di andare incontro a quelle che sono le nuove e recenti normative in materia di Cookie. All’interno sempre del pannello di controllo è presente anche una aggiornata sezione “Privacy e protezione dei dati” dove sono proprio riepilogate le funzioni sopra descritte e tante altre, tra cui una nuova Informativa Privacy datata ben 30/06/2015. Non saprei dire da quanto tempo tutto ciò è presente all’interno del pannello di controllo così come si presenta oggi, ma l’impressione è che quanto meno ci sia stato un aggiornamento complessivo e recente, forse anche frutto delle pressioni da parte della nostra Autorità Garante che sta cercando da una parte di tutelare la privacy degli utenti della rete e dall’altra parte di semplificare una gestione corretta dei Cookie.

Si tratta decisamente di un primo passo davvero importante. Uno dei principali player del web si è attivato in tal senso spinto anche da probabili motivazioni di mercato. E’ tra i pochissimi che ad oggi consentono le azioni sopra descritte ed è altrettanto probabile che il mercato, quanto meno in questa fase, premierà Google andando per le considerazioni sopra esposte ad avvalersi di tale tecnologia a discapito degli altri competitors. A questi ultimi non rimarrà che necessariamente intraprendere la stessa strada per non rimanere tagliati fuori. E questa sarà un’altra vittoria della nostra Autorità Garante.

Fonte: microell.it

Stampa

2014 Img Internet srl,  via Moretto da Brescia 22 - 20133 Milano tel +39 02 700251 - fax +39 02 7002540
Privacy e Cookie Policy