Cookie di Google Analytics, consenso e informativa privacy

E’ un argomento di cui si è parlato molto in questi ultimi giorni, ho pensato utile riepilogare un poco la questione e lasciare il mio parere in merito. Innanzitutto (prima di dire la mia) sgombriamo il campo da vari pareri o presunti tali ed andiamo direttamente alla fonte, ovvero il Garante per la protezione dei dati personali:

  1. il documento 229 dell’8maggio 2014 (il testo di legge inserito in Gazzetta Ufficiale)
  2. le FAQ in materia di cookie
  3. il documento “Informativa e consenso per l’uso dei cookie” (segnalato da Antonio nei commenti)

Suggerisco innanzi tutto a chi non ha affrontato ancora la questione di leggere attentamente e con pazienza tutti questi documenti. Sono lunghi, ma non lunghissimi.

Riporto poi qua alcuni passaggi che sono fondamentali, il primo dal documento 229 dell’8 maggio 2014:

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

E il secondo dalle FAQ:

Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti” (v. punto 1), l’informativa e l’acquisizione del consenso sono di norma a carico del terzo. È necessario che l’utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti

Ed infine il terzo (ringrazio Antonio che ha contribuito segnalandolo nei commenti), dal documento “Informativa e consenso per l’uso dei cookie”, paragrafo 14:

Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

E questo è quanto dice il Garante, che è la fonte primaria sulla questione.

Ora arriva il mio parere che naturalmente non è quello di un avvocato, ma quello di qualcuno come voi, che in più ha discusso e ricevuto altri pareri (anche da avvocati). Prendetelo per quello che è.

Il mio parere è che Google Analytics è a tutti gli effetti una terza parte e noi non possiamo essere responsabili di quello che fa. Secondo quanto detto dal Garante non abbiamo pertanto l’obbligo del consenso preventivo, MA abbiamo l’obbligo di avvisare l’utente che il sito fa utilizzo di cookie di terze parti e in che modo (ovvero per quali finalità) e all’interno dell’informativa estesa dobbiamo rimandare alle informative esterne delle terze parti (ovvero, nella fattispecie, a questa)

Quindi in soldoni, per quanto riguarda i cookie di Google Analytics (ma vale anche per qualunque altro cookie di terze parti):

  1. consenso preventivo? NO.
  2. informativa breve? SI.
  3. informativa estesa? Spiegare con chiarezza le finalità e linkare alle informative esterne.

Amen. Se avete dubbi o altri punti di vista sarò ben lieto di sentirli. Nel frattempo…

keep-calm-and-leggi-la-normativa

Commenti

  1. Ciao Martino,
    hai ragione, l’argomento è davvero molto caldo.. Io, personalmente, ho sentito un avvocato esperto di privacy (qui, il link all’intervista: http://www.blog.alessiamartalo.it/cookie-e-privacy-intervista-avvocato-raffaele-romano/) e, in base alle sue risposte e al kit per l’uso rilasciato pochi giorni dopo, ho capito che il Garante ha deciso di tutelare (ipertutelare se vogliamo) l’utente.
    Non solo il gestore deve fornire l’informativa breve ed estesa (in caso di cookie di profilazione – e quelli di terze parti potenzialmente lo sono) ma deve anche bloccare l’installazione del cookie fino a quando non riceve il consenso informato dell’utente. Questo è ciò che è riportato in soldoni all’interno del kit per l’uso che, sebbene non sia un documento ufficiale, è stato presentato dallo stesso Garante (il blog di tagliaerbe ne parla approfonditamente).

    • Ciao Alessia, innanzi tutto grazie per il tuo commento.

      Mi preme far notare come il “kit” a cui tu fai riferimento non è stato rilasciato dal Garante, ma da un consorzio di organizzazioni (tra cui IAB e Iubenda) e non si tratta di un documento ufficiale.

      Gli unici documenti ufficiali sono quelli che ho linkato nel mio articolo e ad un esame attento dicono cose molto diverse dal kit di IAB/Iubenda &C.

      La normativa prevede il trattamento che menzioni per i cookie in generale, ma per i cookie installati da strumenti di terze parti pone alcune considerazioni aggiuntive, quelle che ho citato nel mio articolo, che cambiano davvero molto il quadro generale.

      • Ciao Martino,
        personalmente non sono sicura al 100% che sia proprio così. Su altri blog se ne sta discutendo da giorni e, in uno di questi, è intervenuto un ragazzo di Iubenda che ha spiegato come il kit per l’uso sia stato presentato dal Garante stesso in una conferenza stampa il 5 maggio c.m.
        Se è così, se davvero il kit è stato presentato dal Garante, immagino che ne condivida i contenuti. D’altra parte negli ultimi giorni stanno anche proliferando numerosi plugin (per WordPress, ma non solo) che promettono di effettuare il blocco preventivo dei cookie. Se la normativa non lo prevedesse, perché darsi tanto da fare?

        • Ciao Alessia, di nuovo grazie per i tuoi spunti. Provo a rispondere ad alcuni punti che sollevi.

          è intervenuto un ragazzo di Iubenda che ha spiegato come il kit per l’uso sia stato presentato dal Garante stesso in una conferenza stampa il 5 maggio c.m.

          Da varie fonti leggo che il Garante (nella persona di Antonello Soro) era presente all’incontro ma non è stato lui a presentare il documento. Sul documento inoltre non è presente il logo e/o il patrocinio del Garante, si tratta quindi di un’iniziativa 100% privata.

          Se è così, se davvero il kit è stato presentato dal Garante, immagino che ne condivida i contenuti.

          Dato che non lo ha presentato, non possiamo sapere davvero se ne condivida i contenuti.

          D’altra parte negli ultimi giorni stanno anche proliferando numerosi plugin (per WordPress, ma non solo) che promettono di effettuare il blocco preventivo dei cookie. Se la normativa non lo prevedesse, perché darsi tanto da fare?

          Secondo me per il principio del “non ci capisco nulla e non mi voglio prendere responsabilità, quindi blocco tutto”. Che la normativa imponga il blocco dei cookie non strettamente necessari è evidente, ma per i cookie installati dalle terze parti come hai letto da delle indicazioni aggiuntive.

          Io ribadisco che c’è solo una cosa sensata da fare: leggere attentamente la normativa ufficiale (linkata nell’articolo) e giudicare con i propri occhi, eventualmente facendosi assistere da un legale.

  2. Ciao Martino,
    dopo una fase di tentennamento iniziale, data dalla confusione generale sul web, sono arrivato anche io a considerare esclusivamente quanto dichiarato direttamente dal garante, tirando la tua stessa conclusione.
    Il blocco preventivo fino a consenso dei cookie è necessario solo in caso di installazione di cookie profilanti proprietari del gestore del sito. In caso di cookie profilanti e/o tecnici di terze parti è necessario esclusivamente segnalarne la presenza nel banner e nell’informativa estesa con link a corredo.
    Mi fa piacere aver letto questo tuo articolo che analizza con esterma decisione la situazione.

    Antonio

    • Ottimo, è una precisazione ulteriore in più! Appena riesco aggiorno l’articolo, grazie della segnalazione!

  3. Ciao Martino,

    io ho chiesto ad un legale, esperto di privacy, e secondo lui – e i legali di Iubenda – è necessario bloccare i cookie in via preventiva. Trattandosi di materia giuridica, di cui so ben poco, non posso fare altro che fidarmi della sua consulenza.

    • Ciao Alessia, naturalmente. Prova comunque a segnalargli le risorse che abbiamo qui evidenziato (c’è anche un documento nuovo molto esplicito in merito che mi è stato segnalato in un commento), non è mai una cattiva idea chiedere una conferma in più in caso di dubbi.

      • Ciao Martino,

        già chiesto 🙂
        gli ho fatto presente i punti “controversi” della normativa del Garante e lui ha ribadito la versione iniziale, ovvero che i cookie di profilazione (di prima o di terza parte) vanno bloccati fin quando l’utente non presta il consenso informato (alcuni dicono che è sufficiente evidenziare l’intenzione di accettare la policy tramite il semplice scrolling o la navigazione all’interno del sito).

  4. Grazie Martino per il tuo punto di vista.

    A questo punto non mi è chiara una cosa.
    Dalle FAQ è presente questo testo che non hai riportato, ed è in coda a quello che hai inserito tu nell’articolo: “[…] ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale.”

    Nella parte riportata specifica “comunque, prima che i cookie vengano scaricati sul suo terminale.” che fa presupporre che i cookie di terze parti debbano essere bloccati fino a che l’utente non ha avuto modo di essere informato…

    Che ne pensi?

    • Ciao Max, sì ho ben presente il punto in questione.

      Non mi è ben chiaro cosa intendesse dire il Garante in quel punto, anche perché non esiste un modo tecnicamente infallibile per assicurarsi che l’utente abbia effettivamente letto l’informativa, a meno di non raccogliere il consenso esplicito (cosa che come abbiamo visto non è necessaria per i cookie di terze parti).

      L’unica cosa che penso si possa fare in merito sia sforzarsi di rendere il più possibile evidente il riquadro del l’informativa breve, in modo che ragionevolmente sia la prima cosa (o comunque una delle prime) che l’utente legge una volta atterrato sulla pagina.

      Naturalmente non sono un legale, quindi potrei sbagliarmi: questo dettaglio è certamente meglio chiarirlo con un avvocato.

      • Ciao Martino, non devi ringraziarmi della segnalazione, anche io come tanti altri sto cercando di eviscerare al meglio la situazione, e la condivisione/confronto in questi casi è la migliore arma.

        Purtroppo c’è sempre qualche piccola frase, in stile postilla, che fa vacillare. Più che comprensibile! Motivo per cui, nonostante mi sia convinto, sottoporrò quanto da me raccolto ad un legale.

        Oltre le varie letture mi sono spinto ad analizzare un set di siti “rinomati” a campione. Ovviamente non dimostra nulla, ma per me è un elemento in più.
        Ci tengo a precisare che mi sono soffermato solo su siti legati a grosse aziende che esibiscono il banner, una cookie policy e fanno uso di analytics (preso come servizio di terza parte per eccellenza).
        Quelli da me controllati installano i cookie di analytics direttamente all’accesso, quindi installazione non subordinata alla chiusura del banner (che sarebbe l’unico modo per avere un riscontro di lettura da parte dell’utente).

        E’ anche vero che tutti i siti da me controllati sono ancora in tempo per cambiare rotta, quindi ribadisco che è un controllo che non dimostra nulla e va preso come semplice informazione aggiuntiva.

        • Anche io sto guardando cosa fanno gli altri e aspetto di vedere specialmente dopo il 3 giugno e l’entrata in vigore definitiva della normativa.

          Non fa certo giurispridenza e non ti può difendere in caso di contestazione (lo diceva anche la mamma del resto: “non guardare quello che fanno gli altri!”)… ma è certamente un buon sistema per capire se siamo sulla strada giusta.

  5. Ciao Martino, considerando che siamo in Italia e quindi tutto funziona poco e male, mi vien da chiedere: cosa può fare chi in passato ha gestito centinaia di blog (anche gratuiti) su diverse piattaforme e delle quali oggi non ricorda ne la url ne gli accessi per adeguarsi alla normativa? Cosa fanno mi mandano centinaia di multe a cui farò centinaia di ricorsi?

    Credo che questa legge sia studiata a tavolino per riempire le casse dello Stato e che la stessa non abbia alcuna utilità sebbene all’esterno sembrerebbe tutelare l’utente. Quanti di voi sanno di esser tracciati da più di 100 aziende se vanno su youronlinechoices.eu? Però se dimentichiamo un cookie paghiamo fino a 120 mila euro di multa? Mah, credo abbiano toccato il fondo stavolta e la cosa peggiore è che nessun telegiornale ne parli.

    • Ciao Antonio, dubito sia così semplice essere multati e condannati, ma su questo purtroppo non ti so rassicurare.

  6. Ciao Martino, ho un dubbio sul quale magari puoi aiutarmi: se un’azienda utilizza il TAG di remarketing sul proprio sito… sta facendo PROFILAZIONE? Perchè per profilazione si intende il riferimento ad “abitudini di consumo” con consumo inteso come “acquisto”.
    Ma se il sito non è un e-commerce???
    Se è da intendersi come profilazione ci sarebbe quindi bisogno sia di comunicazione nella privacy estesa… sia comunicazione al Garante.

    • E’ certamente un cookie di profilazione. Ma è anche un cookie di terze parti (per cui è sulla terza parte che ricadono gli obblighi di raccolta del consenso e di notifica al Garante).

    • Ciao Alessia, ho visto l’infografica e l’ho trovata se possibile ancora più confusa e contraddittoria (e per questa ragione non ho aggiornato il mio articolo).

      Non nascondo un certo fastidio per le versioni differenti che gli stessi portavoce del Garante stanno diffondendo in questi giorni, che appaiono non coerenti una con l’altra, con la normativa e persino incoerenti al loro stesso interno: se leggi attentamente sull’infografica, in corrispondenza dell’omino giallo c’è un “non” di troppo. Inoltre, sembrerebbe che per i cookie di profilazione di terze parti non serva la notifica al Garante, mentre per i cookie di Analytics di terze parti se i dati vengono “incrociati” (qualunque cosa questo voglia dire) parrebbe di sì, generando così la situazione paradossale in cui si dovrebbe compilare un modulo al posto della terza parte con informazioni di cui non si è in possesso, assumendosene la responsabilità.

      Per dirla in altri termini: le toppe stanno uscendo molto molto peggio del buco.

      Resta valido quanto detto finora: l’unica fonte a cui riferirsi è e resta la normativa stessa.

      • ciao Martino,

        esatto, anche secondo me c’è un “non” di troppo! Pare che ci sia un modo per evitare che Google incroci i dati a sua disposizione: in pratica, occorre modificare le impostazioni di condivisione dei dati in google analytics (oltre ad anonimizzare gli IP).

        • Sì, ma questa cosa degli incroci non c’è affatto scritta sulla normativa. E’ l’ennesima invenzione aggiunta per cercare di interpretare una normativa confusa e lacunosa.

  7. Sono d’accordo. E inoltre ho letto nella guida di Google Analytics che modificare le impostazioni di condivisione dei dati non impedisce in nessun modo a Google di incrociare effettivamente i dati. D’altronde il collegamento tra i vari Analytics, AdWords e Webaster Tool sono dei servizi utili sotto ogni punto di vista.

Rispondi a Max