EU Cookie Law
La Cookie Law è una norma prevista nella direttiva 2009/136/CE, che modifica la direttiva 2002/58/CE, la norma è diretta a normare l’uso dei cookie diretti a profilare gli usi degli utenti su internet e recita: “Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
L’Italia, come sempre buon ultima, ha recepito la normativa in giugno 2014 disponendo un anno per l’implementazione delle nuove regole e dando come scadenza inderogabile il 2 giugno 2015. L’entrata in vigore della normativa, nella interpretazione data dal garante della privacy, ha causato un mare di proteste e disagio fra i gestori di siti web e blog. Innanzitutto chiariamo che i cookies sono semplici, piccolissimi, files di testo, si differenziano per la durata, possono essere di sessione e quindi si cancellano al termine della navigazione, o persistenti e quindi con una scadenza fissata nel futuro. Altra caratteristica è che possono essere “tecnici” e quindi legati al funzionamento client-server tipico della navigazione internet, o di “profilazione”, raccogliendo quindi dati riguardo l’utente che si è connesso al server. Proprio su questi si è appuntata la normativa EU Cookie Law. In realtà fatta la normativa, è lasciata poi alle Autorità Garanti Nazionali la modalità di applicazione, lo spirito è di passare da una tipologia opt-out, quindi si installavano con una sorta di silenzio- assenso e ci voleva una negazione esplicita da parte degli utenti, ad una forma opt-in, ove l’assenso all’installazione dei cookie deve essere esplicita. In generale qualunque banner o bottone, anche solo di condivisione su un social, installa un cookie, anche se nel mirino della normativa ci sono solo quelli di terze parti installati a fini commerciali.
La confusione e le polemiche sulla normativa, così come è stata introdotta nel nostro paese, sono in pieno stile italico, poche idee e confuse. Se si usano cookies di profilazione proprietari si è sicuramente tenuti a notificarlo al garante con un costo di ben € 150 euro. Se è vero che se si usano solo di terze parti si è tenuti all’informativa, ma non alla notifica, è anche vero che le interpretazioni sul possibile accesso ai dati raccolti dal fornitore terzo aprono le porte a molte variabili dissertazioni, e le multe vanno dai 500 ai 6000 euro. Chi è tenuto al rispetto della normativa italiana? Qui si rasenta la totale follia, chiunque apra sessioni internet con browser residenti in Italia anche se la sede del sito è all’estero, in pratica un sito lussemburghese se viene raggiunto da un navigatore italiano, in caso di installazione di cookie, fatto scontato, sarebbe tenuto al rispetto del disposto del Garante della Privacy, qui si capisce la totale ignoranza del legislatore su tutto quello che concerne il web.
La situazione in Europa è, come sempre purtroppo, variegata, la legislazione francese si avvicina abbastanza a quella italiana, altre come l’inglese e la spagnola sono decisamente più avanti e migliori, in genere il principio seguito si può riassumere che sono esenti dagli obblighi i cookie utilizzati per: permettere unicamente la comunicazione tra l’utente e la rete, fornire strettamente un servizio espressamente richiesto dall’utente, l’assenso può essere normalmente dato anche con la sola continuazione della navigazione.
La conclusione che se ne può trarre è che se il caso NSA-Snowden ha evidenziato quanto sia fragile la nostra privacy, ma non ha portato a miglioramenti ed interventi significativi sull’argomento, non si è voluto agire nei confronti della “pirateria” di stato, ma ci si è appuntati su una pur legittima difesa del consumatore, ma in maniera fin troppo eccessiva e comunque a macchia di leopardo. Sarebbe bene che ad una legge europea seguisse un regolamento europeo che dettasse norme uguali per tutti e valide per ogni singola situazione nazionale, soprattutto in considerazione della caratteristica sovranazionale della rete.
Un Commento
Articolo interessante, tuttavia c’è un errore di fondo molto importante. La risposta a: “Chi è tenuto al rispetto della normativa italiana?” intanto nel pezzo si dice “totale ignoranza del legislatore su tutto quello che concerne il web”. Questo è errato in quanto il legislatore non c’entra nulla con questo concetto, non è scritto nè nella legge europea nè in quella italiana (e meno male). È solo una “precisazione” del Garante italiano, che ben ovvio non è un legislatore ed i suoi pareri e precisazioni (per quanto autorevoli) non sono certamente legge. Ad ogni modo anche l’esempio del Lussemburgo è errato, in quanto lo stesso Garante fa riferimento non semplicemente a “sede all’estero” ma “fuori dall’unione europea” (anche se viene precisato solo nel titolo della puntualizzazione e non nel testo), per cui il Lussemurgo non è compreso. Per farla breve secondo il Garante, un sito americano o giapponese o svizzero dovrebbe rispettare la normativa italiana. Un sito lussemburghese o tedesco o irlandese no, in quanto deve rispettare la normativa del suo stato di riferimento. Sembra una differenza da poco ma è invece importantissima, in quanto tutti i siti più visittati in Italia (google, facebook, linkedin, ebay, amazon, etc…) non hanno sede in Italia ma hanno sede in EU (di solito Irlanda o Lussemburgo).