IWA Italy - International Web Association Italia


Walter Vannini , 03/06/2015 11:41
La legge sulla Privacy poteva essere lo stimolo per portare finalmente le aziende italiane a parlare di Data Governance e di asset intangibili, per forzarle a fare il proprio stesso interesse mappando i processi interni. Ma una serie infinita di rinvii e una presentazione puramente legalistica ne hanno fatto un altro adempimento inutile che le PMI guardano con disinteresse quando non con astio. Il risultato è che le nostre aziende implementano la privacy "sulla carta", come fanno con l'ISO9001. L'eliminazione dell'obbligatorietà (sempre nell'ottica di una "semplificazione", certo) del DPS è stata la ciliegina sulla torta. Il provvedimento sugli Amministratori di Sistema poteva essere lo strumento per fare in modo che le nostre aziende cominciassero a preoccuparsi delle competenze e delle responsabilità di chi ha in pugno la vita dell'azienda, mettendo magari alla porta qualche "nipote con la passione del computer" e comprendendo che l'IT ha la stessa importanza del Marketing o delle Vendite. Anche qui, risultati non pervenuti. Le nostre aziende continuano ad affrontare il XXI secolo con il "ragazzo del computer" e un paio di incarichi standard mandati via fax dall'associazione di categoria di turno. Per questo, quando nel provvedimento del Garante riguardante la cookie law ho letto
nel momento in cui si accede alla home page (o ad altra  pagina)  di  un  sito  web,  deve immediatamente  comparire  in  primo  piano  un  banner  di  idonee  dimensioni
lo ammetto, non mi sono stupito. Nel 2015 perfino qualche pubblicitario ha già capito che esiste la "cecità ai banner" ma per il Garante un banner resta il modo migliore per attirare l'attenzione su... su cosa, esattamente? Sul fatto che il sito fa uso di cookie. Ah. Che alcuni cookie possono essere usati per profilare il navigatore. Ah. Informazioni utili in astratto, ma che hanno il difetto di mettersi fra l'utente e quello che vuole fare, e che per questo vengono ignorate con vigore. Se volessimo dare lezioni al Garante, potremmo raccontargli di come la ricerca in usabilità abbia stabilito che nessun numero di preavvisi riesce a impedire a una persona di portare a termine l'azione che ha deciso, anche quando questa sia sbagliata. L'ultimo file che abbiamo buttato per errore imprecando
sììììììì, lo voglio davvero mettere nel cestino, 'sto file, ti decidi macchinaccia maledetta?
subito prima di
nooo, non intendevo quel file, macchinaccia maledetta!
e, che  so, Chernobyl, sono lì a ricordarcelo. Quando poi nella meravigliosa guida "Cookie, istruzioni per l'uso" redatta a 14 mani (Garante, DMA Italia, FedoWeb, IAB Italia, Netcomm, UPA e Iubenda) ho letto che
Il Provvedimento si applica a tutti i siti, inclusi quelli responsive
che è un po' come dire che è reato ammazzare, anche se è giovedì, ho capito che non ce la potevamo fare. Guida interessante, quest'ultima, per tre motivi:
  1. condensa in 19 pagine quello che il Garante stabilisce in 22 righe
  2. non affronta né risolve nessuno dei dubbi che il Garante fa sorgere nelle suddette 22 righe
  3. è stata prodotta consultando tutte la associazioni di categoria interessate, tranne l'unica che rappresenta le professionalità del Web ai sensi della legge 4/2013 (alcuni dicono che la presenza di IWA avrebbe portato la questione delle competenze Web, o della loro mancanza, troppo in primo piano, ma chi scrive si dissocia da una lettura visibilmente partigiana e maliziosa dei fatti).
Le quali cose potrebbero essere ignorabili se il provvedimento avesse un senso. Ma non ce l'ha. Anziché concentrarsi su coloro che fanno della raccolta e del traffico di dati il proprio business (telco in testa, eh), il Provvedimento prende di mira genericamente "i gestori di siti web", pomposamente chiamati "Editori", non distinguendo fra l'autore di un blog, il sito di una PMI che vende materassi, Facebook e Google. E trattando il navigatore Internet come un minus habens che deve essere protetto innanzitutto da se stesso, hai visto mai che capisse cosa fa quando naviga. Questa inutile dispersione di energie e di attenzione non è dannosa solo per gli autori di blog e le PMI: mina alla radice anche la ratio stessa del provvedimento. Fra un blog, una PMI e Facebook, per dire, chi è meglio perseguibile, ossia può meglio andare a ingrossare il numero dei "risultati conseguiti"? Chi non avrà altra scelta che pagare o adeguarsi e chi, invece, ha risorse legali per bloccare l'azione del Garante con anni di guerra di posizione? Nessuno leggerà gli stupidi banner imposti dal Garante perché nessuno legge nemmeno le Condizioni di Servizio di qualsiasi servizio Web. E questo significa che chi vuole raccogliere dati avrà ancora più libertà di azione, non meno,  perché potrà esibire un "consenso informato" che fino a ieri non aveva. Qui siamo al paradosso (e voglio essere gentile) di una Autorità che non solo danneggia coloro che dovrebbe proteggere, ma danneggia contemporaneamente se stessa e la propria stessa missione di tutela. Il diagramma di Cipolla ci viene in soccorso suggerendoci cosa pensare di chi ottenga questi risultati. Sto esagerando? Non credo proprio. Stando al provvedimento del Garante (enfasi mia),
nel momento in cui si accede alla home page (o ad altra  pagina) di un sito web, deve  immediatamente comparire in primo piano un banner
fin qui tutto chiaro, noterete che non c'è nessuna ambiguità linguistica. Ma noi non ci fermiamo all'Italiano, dobbiamo lavorare con il Web, quindi dobbiamo entrare nei dettagli tecnici.
  1. Diciamo che il tuo sito usi solo Google Analytics. La FAQ del Garante (punto 4) ribadisce che i cookie analytics sono cookie di profilazione, non tecnici, e pertanto devi ottenere il consenso al loro uso prima di installarli sull'apparato dell'utente. Senonché i cookie di analytics si installano nel momento in cui l'utente accede alla pagina. Quindi, stando al Garante, il tuo sito, e ogni sito italiano che usi Analytics deve dirottare ogni accesso al sito a una landing page dove l'utente (prima di accedere al sito e prima di installare i cookie analytics) decide se acconsente ai cookie. O questo, o il provvedimento non è scritto in Italiano. Andiamo oltre.
  2. Supponiamo che, come milioni di persone, istituzioni e PMI tu abbia un banale blog su Wordpress.com. Wordpress.com fornisce gratuitamente il servizio blog, ma si riserva il diritto di inserire nel testo alcune inserzioni pubblicitarie basate, ovviamente, sulla profilazione dell'utente. Naturalmente, stando al Garante, anche in questo caso tu "Editore" sei responsabile della gestione dei cookie, anche se è completamente in mano a Wordpress e non hai alcun modo di interferire.
  3. Supponiamo invece che tu voglia strafare, e ti sia addirittura comprato un blog "self-hosted" su cui lucrare avidamente con AdSense. Anche in questo caso, l'utente deve acconsentire ai cookie prima che tu li installi. Ossia su una pagina separata, non soggetta ad analytics né ad AdSense.
Per finire in farsa, il Garante stabilisce (bontà sua) che tu possa tenere traccia delle preferenze dell'utente tramite un apposito "cookie tecnico". E qui, sarai d'accordo, raggiungiamo la poesia: perché, sempre secondo il Garante (Provvedimento, premessa 1a ), un cookie è tecnico se è utilizzato
al  solo  fine  di  "effettuare  la  trasmissione  di  una  comunicazione  su  una  rete  di  comunicazione elettronica,  o  nella  misura  strettamente  necessaria  al  fornitore  di  un  servizio  della  società  dell'informazione  esplicitamente  richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).
ma un cookie che ricordi se l'utente ha acconsentito o no all'uso dei cookie, ovvero un cookie che profili l'utente (come favorevole o contrario all'uso dei cookie) non è un cookie di profilazione, ma un cookie tecnico. Tiriamo le somme? E tiriamole. Il provvedimento del Garante
  1. non limita in alcun modo la raccolta e l'uso dei dati di navigazione e acquisto da chi ne fa il proprio business
  2. non promuove la consapevolezza né la sicurezza di chi naviga, anzi stabilisce un incentivo alla navigazione inconsapevole
  3. evidenzia incompetenza tecnica o volontà sabotatrice
  4. ha come risultato pratico di costituire una ulteriore zavorra allo sviluppo del Web e della cultura digitale nel nostro Paese.
Dopo gli "ottomila Digital Champions" e i "tremila evangelizzatori digitali", questo. Sembra che lo sport preferito delle istituzioni italiane sia rendere la vita impossibile a chi lavora in questo secolo.

PS

Pare che il Garante abbia intenzione di produrre, nelle prossime ore o giorni, una "nota chiarificatrice". Siamo quindi in attesa di una nota chiarificatrice del provvedimento di individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie che recepisce (bizantinamente come nessun altro paese UE) la direttiva Europea.

PPS

Sì, la FAQ (al punto 11) dice che non è obbligatorio usare un banner. Senonché una FAQ non ha valore normativo.

UPDATE del 03-06-2015 ore 17:00

Dietro segnalazione di un maligno delatore ;) siamo andati a controllare il sito del Garante Privacy e... non sembra a norma. Sì, setta solo tre cookie di prima parte (che se sono, come sembra, tutti "tecnici" non richiedono consenso), ma... non mostra alcun banner. Certo, per i cookie tecnici il provvedimento recita:
Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
e uno suppone che il Garante ritenga che l'informativa venga "data" se uno se la va a leggere, anziché far comparire un avviso. Saggio, ma un po' pro domo sua. Peraltro, per scoprire che il sito del Garante non usa cookie di profilazione devo navigare nel sito, esponendomi potenzialmente a dei cookie di profilazione (brivido!) Che fare, segnalare la potenziale violazione al Garante? [caption id="attachment_2295" align="aligncenter" width="300"]Screenshot dei cookie del GarantePrivacy preso il 3 giugno 2015 ALLE 17:033 Il Garante Privacy usa i cookie. Non ci avvisa perché (se sono solo cookie tecnici) non è tenuto, ma se quel che conta è informare l'utente, che esempio dà?[/caption]  

Verifica Associato

Usa il codice associato per verificare lo status

IWA

Associazione IWA Italy (International Web Association Italia)

Via Colombo, 1/e - 30126 Lido di Venezia (VE)

email: amministrazione@iwa.it

PEC: iwa@pec.it

P. IVA: 03250160276

Informativa | Adempimenti L. 4/2013

Licenza Creative Commons