, 03/06/2015 11:41
La legge sulla Privacy poteva essere lo stimolo per portare finalmente le aziende italiane a parlare di Data Governance e di asset intangibili, per forzarle a fare il proprio stesso interesse mappando i processi interni. Ma una serie infinita di rinvii e una presentazione puramente legalistica ne hanno fatto un altro adempimento inutile che le PMI guardano con disinteresse quando non con astio. Il risultato è che le nostre aziende implementano la privacy "sulla carta", come fanno con l'ISO9001. L'eliminazione dell'obbligatorietà (sempre nell'ottica di una "semplificazione", certo) del DPS è stata la ciliegina sulla torta. Il provvedimento sugli Amministratori di Sistema poteva essere lo strumento per fare in modo che le nostre aziende cominciassero a preoccuparsi delle competenze e delle responsabilità di chi ha in pugno la vita dell'azienda, mettendo magari alla porta qualche "nipote con la passione del computer" e comprendendo che l'IT ha la stessa importanza del Marketing o delle Vendite. Anche qui, risultati non pervenuti. Le nostre aziende continuano ad affrontare il XXI secolo con il "ragazzo del computer" e un paio di incarichi standard mandati via fax dall'associazione di categoria di turno. Per questo, quando nel provvedimento del Garante riguardante la cookie law ho letto
nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensionilo ammetto, non mi sono stupito. Nel 2015 perfino qualche pubblicitario ha già capito che esiste la "cecità ai banner" ma per il Garante un banner resta il modo migliore per attirare l'attenzione su... su cosa, esattamente? Sul fatto che il sito fa uso di cookie. Ah. Che alcuni cookie possono essere usati per profilare il navigatore. Ah. Informazioni utili in astratto, ma che hanno il difetto di mettersi fra l'utente e quello che vuole fare, e che per questo vengono ignorate con vigore. Se volessimo dare lezioni al Garante, potremmo raccontargli di come la ricerca in usabilità abbia stabilito che nessun numero di preavvisi riesce a impedire a una persona di portare a termine l'azione che ha deciso, anche quando questa sia sbagliata. L'ultimo file che abbiamo buttato per errore imprecando
sììììììì, lo voglio davvero mettere nel cestino, 'sto file, ti decidi macchinaccia maledetta?subito prima di
nooo, non intendevo quel file, macchinaccia maledetta!e, che so, Chernobyl, sono lì a ricordarcelo. Quando poi nella meravigliosa guida "Cookie, istruzioni per l'uso" redatta a 14 mani (Garante, DMA Italia, FedoWeb, IAB Italia, Netcomm, UPA e Iubenda) ho letto che
Il Provvedimento si applica a tutti i siti, inclusi quelli responsiveche è un po' come dire che è reato ammazzare, anche se è giovedì, ho capito che non ce la potevamo fare. Guida interessante, quest'ultima, per tre motivi:
- condensa in 19 pagine quello che il Garante stabilisce in 22 righe
- non affronta né risolve nessuno dei dubbi che il Garante fa sorgere nelle suddette 22 righe
- è stata prodotta consultando tutte la associazioni di categoria interessate, tranne l'unica che rappresenta le professionalità del Web ai sensi della legge 4/2013 (alcuni dicono che la presenza di IWA avrebbe portato la questione delle competenze Web, o della loro mancanza, troppo in primo piano, ma chi scrive si dissocia da una lettura visibilmente partigiana e maliziosa dei fatti).
nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un bannerfin qui tutto chiaro, noterete che non c'è nessuna ambiguità linguistica. Ma noi non ci fermiamo all'Italiano, dobbiamo lavorare con il Web, quindi dobbiamo entrare nei dettagli tecnici.
- Diciamo che il tuo sito usi solo Google Analytics. La FAQ del Garante (punto 4) ribadisce che i cookie analytics sono cookie di profilazione, non tecnici, e pertanto devi ottenere il consenso al loro uso prima di installarli sull'apparato dell'utente. Senonché i cookie di analytics si installano nel momento in cui l'utente accede alla pagina. Quindi, stando al Garante, il tuo sito, e ogni sito italiano che usi Analytics deve dirottare ogni accesso al sito a una landing page dove l'utente (prima di accedere al sito e prima di installare i cookie analytics) decide se acconsente ai cookie. O questo, o il provvedimento non è scritto in Italiano. Andiamo oltre.
- Supponiamo che, come milioni di persone, istituzioni e PMI tu abbia un banale blog su Wordpress.com. Wordpress.com fornisce gratuitamente il servizio blog, ma si riserva il diritto di inserire nel testo alcune inserzioni pubblicitarie basate, ovviamente, sulla profilazione dell'utente. Naturalmente, stando al Garante, anche in questo caso tu "Editore" sei responsabile della gestione dei cookie, anche se è completamente in mano a Wordpress e non hai alcun modo di interferire.
- Supponiamo invece che tu voglia strafare, e ti sia addirittura comprato un blog "self-hosted" su cui lucrare avidamente con AdSense. Anche in questo caso, l'utente deve acconsentire ai cookie prima che tu li installi. Ossia su una pagina separata, non soggetta ad analytics né ad AdSense.
al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).ma un cookie che ricordi se l'utente ha acconsentito o no all'uso dei cookie, ovvero un cookie che profili l'utente (come favorevole o contrario all'uso dei cookie) non è un cookie di profilazione, ma un cookie tecnico. Tiriamo le somme? E tiriamole. Il provvedimento del Garante
- non limita in alcun modo la raccolta e l'uso dei dati di navigazione e acquisto da chi ne fa il proprio business
- non promuove la consapevolezza né la sicurezza di chi naviga, anzi stabilisce un incentivo alla navigazione inconsapevole
- evidenzia incompetenza tecnica o volontà sabotatrice
- ha come risultato pratico di costituire una ulteriore zavorra allo sviluppo del Web e della cultura digitale nel nostro Paese.
PS
Pare che il Garante abbia intenzione di produrre, nelle prossime ore o giorni, una "nota chiarificatrice". Siamo quindi in attesa di una nota chiarificatrice del provvedimento di individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie che recepisce (bizantinamente come nessun altro paese UE) la direttiva Europea.PPS
Sì, la FAQ (al punto 11) dice che non è obbligatorio usare un banner. Senonché una FAQ non ha valore normativo.UPDATE del 03-06-2015 ore 17:00
Dietro segnalazione di un maligno delatore ;) siamo andati a controllare il sito del Garante Privacy e... non sembra a norma. Sì, setta solo tre cookie di prima parte (che se sono, come sembra, tutti "tecnici" non richiedono consenso), ma... non mostra alcun banner. Certo, per i cookie tecnici il provvedimento recita:Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.e uno suppone che il Garante ritenga che l'informativa venga "data" se uno se la va a leggere, anziché far comparire un avviso. Saggio, ma un po' pro domo sua. Peraltro, per scoprire che il sito del Garante non usa cookie di profilazione devo navigare nel sito, esponendomi potenzialmente a dei cookie di profilazione (brivido!) Che fare, segnalare la potenziale violazione al Garante? [caption id="attachment_2295" align="aligncenter" width="300"] Il Garante Privacy usa i cookie. Non ci avvisa perché (se sono solo cookie tecnici) non è tenuto, ma se quel che conta è informare l'utente, che esempio dà?[/caption]