Cookie law – seminario del 3 luglio

Cookie law – seminario del 3 luglio

Com’è andata

L’evento è iniziato con una veloce ed efficace introduzione sui cookies in generale – completa di dimostrazione pratica mediante server locale – utile soprattutto per una parte della platea (es. avvocati, giuristi, responsabili privacy: tutte quelle figure professionali, insomma, che possono beneficiare di un’esposizione sintetica sull’esatta natura dei cookie).

Sono state poi raccontate le alternative prese in considerazione e poi scartate, da cui è nata l’attuale configurazione che definisce la gestione dei dati degli utenti, da cui due esempi:

  1. Raccolta dei consensi tramite un “consent provider”: si immaginava una sorta di “check-in” per ogni sito. Prima di entrare, l’utente accetta/non accetta questo o quel cookie e prosegue verso un sito adeguato alle necessità espresse.
  2. Sistematica duplicazione dei contenuti: si immaginava che ogni sito dovesse avere un mirror “cookie free”, verso cui indirizzare gli utenti che non vogliono nessun cookie.

È stato ribadito che l’adeguamento alla legge deve essere richiesto solo a chi eroga (o veicola l’erogazione di) cookie e altri strumenti traccianti. Per questo, spiegano, non è stato possibile rivolgersi a una decina di browser anziché a migliaia di utenti.

Possiamo prendercela con la UE.

Sintetizzando, buona parte dei dubbi e delle domande hanno avuto come risposta che i casi vanno interpretati uno per uno. Non si può avere un parere su casistiche più specifiche, anche quando riguardino attività note e diffuse come incrociare i dati tra piattaforme di analisi e strumenti di indicizzazione e monitoraggio.

Essendo impossibile accertare il rispetto della normativa su milioni di siti web, mi chiedo se non sia logico pensare che i casi che saranno presi in considerazione saranno solo quelli che finiranno, per varie vicende, nelle mani di un tribunale.

Avete un buon avvocato, vero?

Ah, poi, brace yourselves.

Brace yourselves. La pubblicità basata sulla profilazione è in crisi (!?)

Testualmente. Chiara P., presente anche lei all’evento, mi è testimone: “Il relatore spiega che il modello della pubblicità basata sulla profilazione starebbe entrando in crisi a prescindere dalla cookie law“.
Ora, affermare che la pubblicità basata sulla profilazione degli utenti e del loro comportamento on line è in crisi, destinata a un tracollo già iniziato:

Chiedo scusa allo staff del Garante per non aver trattenuto il sarcasmo: ho apprezzato sinceramente la scelta di confronto fatta con questo seminario e spero ci siano ulteriori eventi come questo e che ci siano conseguenze pratiche alle critiche e alle osservazioni che abbiamo posto in quella sede.
Ho personalmente chiesto all’Ing. Silvia Agatello se quanto contenuto nei chiarimenti del giugno 2015 e nel seminario del 3 luglio avrebbero avuto un riscontro reale sulla legge.
La sua risposta è stata lapidaria quanto disarmante: “siamo qui per questo, lo spero“.
Non entro nel merito delle riflessioni che questa risposta ha scatenato al mio “lato psicologo”.

Mentre esperti di marketing e psicologi a livello internazionale si interrogano su come innovare il concetto di privacy personale, di identità e ragionano su benefici e svantaggi delle attività di profilazione non soltanto a livello pubblicitario ma anche di sicurezza e di ricerca medica, noi affermiamo che il marketing di profilazione è in declino.
Io sono un Web Designer e un Consulente aziendale: mi affido a pareri a professionisti in grado di portare, dati alla mano, un supporto concreto ai progetti che gestico, sia quando è necessario, sia quando un’obiezione fatta da un cliente risulta troppo importante per fornire un parere singolo: vi invito a farlo anche qui nei commenti; la questione mi sembra troppo scottante per esprimere soltanto il mio parere.

Molte altre domande precise e specifiche hanno avuto come risposta che si farà tesoro della richieste e si cercherà di fornire una soluzione nel prossimo futuro.

Mi chiedo perché non sia stato fatto a monte: coinvolgere realtà private e professionisti con esperienza sul campo qui e ora, avrebbe consentito di avere a disposizione un valido interlocutore e di realizzare un dispositivo di legge costruttivo e non solo restrittivo.

C’era bisogno di tutelare gli utenti o anche di una figura da poter accusare facilmente all’uopo?

In sostanza, lo staff del Garante ha riconosciuto i limiti della cookie law rispetto alla complessità dei casi di uso reale; cionostante, la normativa è legge e la responsabilità va considerata allo stato attuale, inclusi tutti quei limiti e “impossibilità” che possono pesare, fino a danneggiarle, su un’attività di marketing o di semplice gestione di contenuti online.

Tecnically incorrect

Lo staff del Garante ha definito “tecnicamente scorrette” (testualmente) le critiche fatte alla definizione del concetto di profilazione e alle sue conseguenze a livello tecnico.

La motivazione data: “in quanto esiste la scelta fra pubblicità profilata e non profilata“.
Emblematico l’esempio fatto riguardo l’utilizzo di pulsanti social “drop cookie“, ossia che consentono alla terza parte di fare attività di profilazione.
Poiché possiamo impedire la profilazione, oltre che avvantaggiarne i clienti e il mercato del web italiano, allora, semplicemente scegliamo di impedirla (Facebook brutto e cattivone, aggiungo io).

Come dire che nelle scuole non si deve insegnare educazione sessuale perché esiste la scelta dell’astinenza.

Oppure utilizziamo un plugin Jquery che allunga di almeno due click l’esperienza utente quando si desidera mettere un like o condividere un contenuto; un sistema che blocca qualunque cookie e mette l’utente in condizione di scegliere se attivare il pulsante di terza parte oppure no.
Sarebbe stato bello veder considerata la possibilità che gli utenti di un sito finiscano per non comprendere questa modalità o peggio, a confronto con un competitor straniero, scelgano di premiare quest’ultimo dove la semplicità di interazione è immediata a danno di quello italiano.

plugin social share privacy

Se professionisti e aziende, rispettando la legge e pagando le tasse realizzano utili profilando gli utenti, in concorrenza con realtà straniere che non hanno sistemi restrittivi come il nostro – burocrazia e fisco – e il legislatore può ordinare alla polizia postale di indagare se sospetta un utilizzo malevolo di dati, era necessario imporre anche di staccare la spina a strumenti di lavoro essenziali?

Convalidare una legge che riguarda applicazioni tecnico scientifiche come i flussi di dati e il loro tracciamento e conservazione il 2 giugno, e il 3 luglio affermare che porre questioni specifiche è egoistico e scorretto mi sembra una presa in giro. Mi chiedo se la stessa risposta sarebbe stata data se al posto di dati sensibili la questione fosse stata posta dall’ordine dei medici su un farmaco salva vita.

Abituazione più cecità allo stimolo uguale consenso disinformato

Come già osservato in modo appropriato da Walter Vannini, cecità allo stimolo, abituazione, tendenza a raggiungere l’obiettivo trascurando stimoli marginali o ripetitivi sono solo alcuni dei fenomeni implicati quando un utente vede più di due volte lo stesso banner navigando di sito in sito.

Lo staff del Garante ha osservato, giustamente, che è insensato che esistesse una distanza fra l’informativa e lo strumento con cui l’utente può esprimere o negare il consenso.

Come esperto di Web Design e di esperienza utente mi chiedo se l’aspetto di una pagina che contiene tutte le informazioni a norma di legge sulla privacy e sullo scopo per cui ciascun cookie viene impiegato sia stato preso in considerazione come fattore nel calcolo di quella distanza.
Una pagina piena zeppa di decine e decine di informazioni tecnico legali, lunga come un papiro, di puro testo, è molto più che una distanza, è un ostacolo enorme posto tra l’obiettivo della normativa e la libertà dell’utente di usare uno strumento per esprimere il suo consenso a fornire dei dati personali.

Un sito di dimensioni medie arriva a installare decine di file cookie, molti arrivano a centinaia.
Così come siamo costretti a fornirli questi strumenti che vogliono essere “informativi” e offrire un’opportunità al cittadino in realtà richiedono tempo, competenze tecniche, legali e soprattutto motivazione a leggere, per esprimere il consenso informato su un solo singolo cookie.

Ed è esattamente ciò che il Garante ha ottenuto da gestori e legali: un orpello burocratico perfettamente legale e mostruosamente anti-civico.

Lettera aperta al Garante

Siamo consapevoli del fatto che è in atto uno scontro che vede da un lato schierati governi e privati europei, caso emblematico l’editoria, e dall’altro le grandi companies USA.

Siamo abituati a informarci, per lavoro e per cultura personale.

È possibile immaginare che d’ora in poi vengano tenute in considerazione e consultate tutte le parti coinvolte, alla luce di competenze sul campo che possono fare la differenza in questo confronto?

Mi riferisco a realtà come GT idea Srl che da anni si batte per costruire un sapere che sia consapevole e svincolato dal pensiero “Google – centrico“, e capace di portare risultati sia attraverso un utilizzo efficace degli strumenti americani, sia attraverso una capacità culturale e creativa indipendente.

Fino a qui, mi sembra, state buttando l’acqua sporca con il bambino dentro.


Seminario sulla cookie law del 3 luglio 2015 a Roma

Qui trovate le slide dell’evento.

Domande e risposte

La natura dei dati personali sul web e le reali modalità con cui vengono gestiti

Domande di Matteo Luigi Riso – Avvocato civilista ed esperto in diritto dell’informatica e delle nuove tecnologie. Membro della Commissione Informatica del Consiglio dell’Ordine degli Avvocati di Reggio Calabria.

  • Avete idea di come funzionano i cookie? Sapete che le stesse informazioni che un cookie può memorizzare, già viaggiano liberamente negli header http? (Insieme a molti altri dati potenzialmente sensibili)
  • Chi sono gli estensori materiali dei provvedimenti, dei chiarimenti e delle Faq?

Risposta del Garante

A me è sembrata una delle questioni più appropriate e meglio poste; purtroppo non è stata considerata tra le domande a cui dare risposta immediata, forse proprio a causa della vastità delle implicazioni.
Mi auguro venga tenuta in considerazione nei futuri chiarimenti.

Anonimizzare gli IP su Google Analytics, benefici, malefici e quant’altro

Domande di: Andrea Pernici – Consulente in Search Marketing, Imprenditore e formatore presso Gt Idea s.r.l. e di Martino Mosna – Consulente di Search Marketing e Web Analytics

  • Che cosa è la profilazione: una definizione del Garante.
  • Hanno mai aperto Analytics e Adwords per vedere come funziona il remarketing? L’attività si svolge interamente sulla terza parte sia per gestire le liste che per fare poi l’attività di promozione. Come può essere posta in capo all’utilizzatore la profilazione?
  • Perché se la normativa dice che per i cookie di terze parti, il responsabile della raccolta del consenso è la terza parte, i chiarimenti di queste ultimi giorni dicono che dobbiamo essere noi a raccoglierlo in vece loro? Si tratta a tutti gli effetti di una stipula di un contratto. Chi è il responsabile in punta di diritto in caso la terza parte fosse inadempiente?
  • Perché se la normativa dice che basta un cookie tecnico per salvare la preferenza, i recenti chiarimenti dicono che devo salvare questa informazione sul mio server? Chi ha ragione, la normativa o i pareri successivi?

Risposta del Garante

Per evitare che i cookies usati siano considerati “di profilazione”, è necessario sia anonimizzare gli IP in Google Analytics, sia disabilitare la condivisione dei dati sul pannello di controllo.
Sulla responsabilità: se la terza parte incrocia i dati è sua la responsabilità della profilazione, mentre al gestore / editore del sito rimane quella di accertarsi che siano presenti i link alle policy fornite dalle terze parti.

Come comportarsi con i “pulsanti social”?

I “pulsanti social” nelle versioni più diffuse offrono un’esperienza utente migliorata, consentendo di aggiungere ‘like’ o condividere un contenuto con un click; “in cambio” per farlo rilevano i dati del profilo social con cui l’utente effettua queste operazioni, effettuando soprattutto attività di profilazione di terze parti. Inoltre, a livello professionale, consentono ai gestori di un sito di ricevere dati accuratissimi sul modo in cui i visitatori interagiscono con un contenuto o un prodotto in vendita.

Risposta del Garante

I pulsanti standard, definiti di tipo “drop cookie” rientrano nella casistica della profilazione gestita da terze parti.
Si raccomanda l’uso di questo plugin Jquery per tutti i tipi di pulsante social: ‘Social share privacy’ – http://panzi.github.io/SocialSharePrivacy/
Per quanto riguarda la questione della responsabilità della profilazione: esistono varie versione di pulsanti social, quindi esiste la possibilità di scegliere: ad esempio rinunciando ai pulsanti standard di terze parti e utilizzando un semplice link collegato a un’immagine.

Google Analytics e Webmaster Tools: l’incrocio dei dati come viene considerato rispetto alla normativa?

Domande di: Valerio Notarfrancesco, Consulente in Web Marketing e Seo, Daniele Pinna, Imprenditore in area informatica

  • Collegare Analytics a Google Webmaster tools è possibile visto che tratta solo dati aggregati?
  • Con quali modalità il Garante potrà verificare che io abbia richiesto o che io abbia mancato di richiedere a Google di non incrociare i dati? (Aspetto essenziale in sede legale NdR)
  • Utilizzo Google Analytics e anonimizzo gli IP; nelle impostazioni informo Google che non deve incrociare i dati; come può il Garante verificare se realmente la società di Mountain View esegue la mia indicazione?
  • L’utilizzo di dati di Google Analytics incrociati all’interno degli Strumenti Google Webmaster Tools ricade sotto i casi di “profilazione” degli utenti previsti nella normativa?

Risposta del Garante (“Incrociare i flussi è male”)

Il sito di prima parte può scegliere di incrociare o no i dati mediante le opzioni offerte su Google Analytics / Webmaster Tools; di conseguenza, si tratta di una scelta effettuata dall’editore / gestore di permettere o non permettere alla terza parte l’utilizzo di questi dati.
In tal caso…
Puntini puntini, le conclusioni sono lasciate all’interlocutore. Questo particolare scenario sembra venga interpretato come un caso di profilazione, con tutte le responsabilità che ne conseguono per chi si occupa del sito.

Servizi di blogging ospitati su siti di terze parti, es. wordpress.com – Come comportarsi?

Domande di Daniele Pinna, Imprenditore in area informatica

  • Alcuni servizi di blogging, come wordpress.com, non permettono l’installazione di estensioni di terze parti, come ad esempio quella per far comparire il banner, non si sono adeguati e non permettono l’adeguamento ai loro utenti. La responsabilità sarà degli editori che usano il servizio di WordPress.com oppure di Automattic (WordPress)?

Risposta del Garante

Almeno due piattaforme di servizi nell’ultimo mese hanno fornito soluzioni nel rispetto della normativa (ad es. wordpress.com ha rilasciato un nuovo widget “EU cookie law banner“, disponibile nella sezione ‘widget’ di qualunque sito ospitato su questa piattaforma NdR)

Come registrare la risposta alla richiesta di consenso? Modalità di opt-in e opt-out

è una questione fondamentale sia per garantire gli utenti, sia per tutelare editori e gestori di siti: in che modo si potrà rintracciare la scelta fatta da un singolo visitatore al momento della prima visita sul sito?

Risposta del Garante

Si dovrà produrre un cookie di consenso. Questo file andrà certificato, così come la procedura con cui viene installato. Sono allo studio le linee guida per la creazione e la gestione del “claim” da parte degli utenti.

Sono stabiliti i tempi di conservazione dei cookie di consenso?

Risposta del Garante

No. La questione sarà presa in considerazione.

Perché un indirizzo IP è considerato un dato personale?

Risposta del Garante

Al momento si è orientati a considerarlo tale. È attesa una sentenza della Comunità Europea su una questione di questo tipo che farà da precedente in materia.

Risiedo all’estero, pubblico su un dominio non .it, fisicamente ospitato su server fuori dalla UE. La cookie law italiana mi riguarda?

Risposta del Garante

Questa legge si applica a chiunque eroghi cookie et similia sui dispositivi degli utenti italiani.


Le considerazioni di Chiara P.

Ringrazio la collega Chiara P. che ha partecipato come me al seminario e mi ha aiutato a raccogliere ed organizzare i reciproci appunti per realizzare questo articolo; riporto due sue considerazioni in conclusione, che mi sento di condividere assolutamente.

Prima considerazione.

I relatori pareva percepissero le domande più tecniche come egoistiche, troppo specifiche. Credo che in qualche modo abbiano manifestato l’intenzione di restare sul generale per dire solo cose utili per tutti. È anche una posizione che capisco, ma a mio avviso è stata proprio il limite del seminario.

Io speravo di venire a sapere cose – tecniche, specifiche, concentrate sui servizi più importanti e usati – che una navigazione in rete non può dirmi. Ancora: se quattro sulle cinque domande emerse nel finale avevano a che fare con Google, si potrebbe desumere che certe questioni non siano poi così particolaristiche.

La verità è che lo scenario di riferimento è dominato da pochissimi grandi attori. Parlare dei loro servizi nello specifico equivarrebbe ad affrontare una realtà diffusa, non ad addentrarsi in casi limitati.

Seconda considerazione: “Chi è causa del suo mal…”

Tutto quello che è “non tecnico” è rappresentato come un plus, come una scelta che si può fare o meno, liberamente, assumendosene la responsabilità. Pulsanti social, video, strumenti per webmaster di Google, eccetera: il medico non ci ha ordinato di usarli.

I relatori li vedono come optional di cui si potrebbe fare a meno. In teoria è vero.

Ma siamo davvero sicuri che sia così? Oppure ci sono degli standard di qualità, delle aspettative (del cliente, del visitatore) che sono connessi a questi servizi e che finiscono per incrinare il teorema che li descrive come superflui e niente affatto irrinunciabili? Tassare chi vuole avvalersene è il modo più corretto (anche da un punto di vista etico) per richiedere l’adeguamento di chi offre questi servizi alle esigenze espresse dall’Europa in materia di trattamento dei dati personali?