Dialogo tra un informatico ed un dilettante. [Cookie law.]


Dialogo tra un informatico ed un dilettante. [Cookie law.]

Il dilettante Giordano Mariani chiede, l’ingegner Fabio Zeri, Direttore generale e cofondatore di Metarete, risponde

 

Avevo scritto qui che avrei pubblicato lo scambio epistolare avuto a novembre con Fabio Zeri, quando egli stesso mi avesse liberato dagli obblighi della riservatezza. Lo ha fatto nei giorni scorsi e lo ringrazio. [Grazie, e grazie anche per la segnalazione tempestiva degli adempimenti di legge da ottemperare e soprattutto per averli messi in atto, cosa che non sarei stato per nulla in grado di fare].

Quello che segue non è un testo autoriale in senso proprio, quanto piuttosto un dialogo, fatto naturalmente di domande, le mie [che Zeri ripropone, con le sue risposte in email, nella loro forma sostanziale e necessaria] e di risposte, le sue. Lo riporto così come si è svolto, nelle parti essenziali e per me più significative ai fini di un chiarimento. Ne emerge una prospettiva squisitamente tecnica, date le competenze ed il ruolo di Fabio Zeri. Sebbene non manchino indicative prese di posizione di merito, che ho ritenuto importanti al fine di ricostituire un quadro [un quadretto?], credo abbastanza verosimile, delle conseguenze che il provvedimento del Garante, ora noto come cookie law, ha generato [o potrebbe potenzialmente generare] in Rete [in quella italiana, su cui la legge insiste]. Da una parte l’ingegnere informatico competente, Fabio Zeri, dall’altra il curatore dilettante di un blog, io. Tutto intorno, una sterminata platea di frequentatori della Rete stessa, che fanno clic un’infinità di volte per dare il proprio consenso alle infinite [e quasi tutte quasi del tutto identiche] informative imposte dal provvedimento. Per prendere atto che qualcuno sta tracciando la loro navigazione. Come? Con un cookie, naturalmente. Una consapevolezza, sia pur sommaria, che credo sia da almeno due lustri dote anche dei più accaniti analfabeti digitali [posto che tale specie in via di estinzione si avventuri in Rete]. Sullo sfondo, nemmeno sfiorati dalla vicenda, i grandi players della Rete stessa. Che continuano indisturbati a fare ciò che sempre hanno fatto senza nemmeno alzare un sopracciglio. Profilare l’utenza per trarre profitto dalla navigazione. In stretta collaborazione ed in un’alleanza, i cui contenuti sono sconosciuti alla grande platea, fuori dalla Rete ed in Rete, con i soggetti più analogici del mondo. I venditori di pubblicità [in tutte le sue forme declinata]. Amen.

Ho introdotto le date della corrispondenza perché credo che la scansione temporale abbia un suo significato, qui. Pubblico unicamente quelle tra le email che ritengo essere più complete e significative del lavoro nel suo insieme. Lo scambio è stato ben più intenso e fitto, all’epoca, e ringrazio di nuovo Fabio Zeri per la pazienza e per la generosità con le quali ha risposto ogni volta, in modo esauriente a tutti i dubbi ed agli interrogativi [quelli di sua competenza]. In quei giorni, mi sono rivolto anche ad altri, colleghi e/o persone che abitano la Rete da tempo e ne vivono in modo informato e competente le vicende. Il silenzio che ancora circondava la vicenda in quei mesi, se confrontato con l’esegesi tecnico normativa sociologica che si è riversata in Rete all’entrata in vigore del provvedimento, è un altro aspetto che dovrebbe indurre qualche riflessione.

 

Fabio Zeri, il 14/11/2014

[…] Ti contatto [...] per il tuo sito e per i recenti aggiornamenti della normativa italiana in merito alla legge sulla privacy dei dati e in particolare alla gestione dei cookie. E’ necessario che siano redatte e rese pubbliche due informative, in formati conformi alla normativa, rispettivamente per il trattamento dei dati in generale e dei cookie. Inoltre, relativamente alla gestione dei cookie, è necessario creare un banner che si apra in automatico alla prima visita di un utente, memorizzandone l’accettazione, dando un’informativa tersa in merito ai cookie prodotti dal sito; anche il banner dovrà essere conforme, nel contenuto e nel comportamento, alla normativa. La scadenza di questo adeguamento è quest’anno e il tuo sito risulta non conforme. Se mi autorizzi, provvederei personalmente all’analisi di conformità, redazione e pubblicazione delle informative, compreso il codice e il testo del banner cui ti ho accennato.

GM, il 15/11/2014

[…] ho visto il banner sul sito di metarete ed ho letto le informative. Credo di avere capito.

Spero che le mie siano più brevi e meno complesse delle vostre, data la natura del mio blog che non offre alcun servizio…

Potresti farmi un banner esteticamente compatibile con la grafica del sito? Almeno che non copra la testata, il titolo, se proprio lo devi collocare in quella posizione. So che si tratta di banner a scomparsa, che una volta realizzato l’accesso dovrebbero appunto svanire dietro le quinte. Se la cronologia è settata per cancellare tutto, cookie compresi, in uscita, però, alcuni dei miei lettori rischiano di ritrovarselo sempre, al ritorno, e magari in modo persistente. Spero sia solo in home page!

Fabio Zeri, il 17/11/2014

Riguardo al comportamento del banner non posso fare molte modifiche funzionali, perché mi richiederebbe una riscrittura sostanziale del codice per adeguarne il comportamento. Per venire incontro alle esigenze formali ed economiche dei nostri Clienti, che dovranno obbligatoriamente adeguarsi, abbiamo realizzato un banner il più standardizzato possibile.

Il massimo che posso fare, e che farò, è quello di renderlo il più conforme possibile al tuo sito, in termini di font e colori. Per i contenuti credo che qualcosa si possa omettere, ma devo ancora fare un’analisi approfondita.

Purtroppo il tuo timore, relativo alla cancellazione dei cookie da parte degli utenti, rispecchia la realtà delle cose: chiunque cancellerà, per qualsiasi motivo o in qualsiasi modo, il cookie relativo alla presa visione dell’informativa contenuta nel banner, se lo troverà nuovamente riproposto. Non ci si può far nulla, perché rientra nella dinamica del funzionamento dello strumento… e non esistono alternative.

Riguardo ai link alle informative, pensavo proprio di aggiungerli a piè di pagina: avrei preferito posizionarli sopra ai vari “powered/hosted by”, giusto per distinguerli come link informativi da link relativi ai credits, ma posso benissimo inserirli come meglio gradisci.

GM, il 17/11/2014

Ti ringrazio per tutto quello che potrai fare con il tuo intervento: riguardo a font e colori, era proprio ciò che mi aspettavo in termini di conformità, se non proprio di armonizzazione estetica.

In merito al comportamento del banner e ai suoi contenuti, capisco: immagino che davvero qualcosa si possa omettere, dal momento che, come ti ho già scritto, il blog non offre alcun tipo di servizio, né vende alcun prodotto e dunque non raccoglie alcun dato funzionale a tali finalità. Sul punto [raccolta dati e gestione, responsabilità], tornerò tra poco…: [sono tornato, e parte del testo scritto in quell'occasione, è qui].

Link alle informative: grazie. Spero possa stare tutto su di una riga. L’alternativa, potrebbe essere quella di collocarlo/i nel menù “Tracce”. Da un punto di vista logico, sarebbe ancor più inadeguato di quanto non lo possa essere accanto ai credits, e sono d’accordo con te. Purtroppo, però, ho esaurito da subito i menù disponibili con il tema wordpress che ho scelto, almeno nella sua versione gratuita, e dunque non potrei anche volendo introdurne uno più istituzionale/normativo/tecnico. Qui, però, il discorso si allargherebbe ed uscirei dal topic della nostra conversazione.

Sei troppo generoso quando scrivi che ho fugato tutti i miei dubbi iniziali. Mi sono semplicemente moderato per evitare di incorrere in tuoi motivati e legittimi accidenti. Se mi autorizzi, posso esporli più diffusamente. Qui, mi limito a riproporli in sintesi. Non si tratta di contestazioni al merito delle disposizioni, che comprendo. Si tratta di chiarimenti che possono riguardare anche casi specifici come il mio [e come tanti altri blog].

1.
Quali dati raccoglie il blog in fase di accesso alla lettura? E chi eventualmente consulta tali dati? Chi li gestisce? Chi ne ha responsabilità? Di quali soggetti/o sono nella disponibilità? Chi sono i soggetti terzi e che uso fanno dei cookie? A che titolo li raccolgono? Mera gestione funzionale o marketing?
2.
Tra i tanti SN siti e blog che leggo e consulto, il solo che presenta in home page un banner relativo all’utilizzo dei cookie è Twitter. […] non ne ho trovati sui tanti altri siti d’informazione, compresi i quotidiani più diffusi. Cosa significa? E’ un limite mio e/o mi sfugge qualcosa? Quasi tutti si limitano a mettere il link alle informative, tra l’altro in posizioni tutt’altro che evidenti. Perché loro che profilano clienti, vendono prodotti e servizi non hanno banner ed io che nulla vendo e solo scrivo in uno spirito di completa gratuità dovrei metterli?

Fabio Zeri, il 17/11/2014

Provo a rispondere ai tuoi quesiti nel modo più chiaro, ma conciso, possibile, poiché dovrei declinare sul tuo sito tutta la normativa… ci provo e spero di essere efficace.

1.
Quali dati raccoglie il blog in fase di accesso alla lettura? E chi eventualmente consulta tali dati?

Chi li gestisce? Chi ne ha responsabilità? Di quali soggetti/o sono nella disponibilità?

Chi sono i soggetti terzi e che uso fanno dei cookie? A che titolo li raccolgono?

Mera gestione funzionale o marketing?”.

Per dati personali non s’intendono necessariamente quelli anagrafici, ma sono inclusi tra i vari: l’indirizzo IP della postazione dell’utente, il link dal quale questo proviene (detto anche referrer), l’ora di accesso al sito, l’ora di uscita dal sito, la permanenza, …

Questi dati non sono conferiti in modo manuale, ma automatico e mandatario da parte dei sistemi software che interagiscono nel meccanismo di erogazione di una pagina web. Questi dati sono registrati e salvati dal server web che ospita il sito; per questioni di LOG meramente amministrativo/statistico dell’utilizzo, gli stessi dati sono registrati dal servizio Google Analytics per identici motivi, ovvero di amministrazione e statistica d’uso.

Nonostante questi dati siano utilizzati e gestiti in forma completamente anonima, la normativa richiede che ci sia comunque un’informativa trasparente: relativa a quali dati sono recuperati, seppur anonimi, con che finalità, come e dove sono memorizzati.

La responsabilità e titolarità del trattamento dei dati, anche solo a livello amministrativo (amministrativo inteso unicamente in termini di gestione informatica del sito), è del titolare del sito. L’unico soggetto che ne ha la disponibilità sei tu:

- i log del server web sono recuperabili dall’account ftp, nella cartella “log”;

- puoi accedere ai log di Google Analytics tramite il programma Google Analytics; essi sono memorizzati sui server di Google.

Queste informazioni vengono raccolte a titolo statistico amministrativo e sono necessarie per l’amministrazione informatica. Ti faccio un esempio molto semplificato, anche solo per rendere l’idea: se il tuo sito dovesse subire un attacco informatico, tali informazioni registrate sarebbero utili per recuperare i dati necessari a riparare il danno subito, per chiudere eventuali falle di sicurezza, per bloccare gli accessi da particolari indirizzi, [...].

I soggetti terzi sono tutti quei fornitori di servizi, tra i quali LinkedIn, Twitter e Google Analytics, che creano o possono creare cookie necessari all’erogazione dello specifico servizio. I cookie, per quanto demonizzati, altro non sono che informazioni necessarie al servizio web per rendere una pagina web il più vicina alla schermata di un normale programma installato sul PC. Queste informazioni, intendo quelle gestite dai cookie, sono spesso, nel 90% dei casi, meramente tecniche e sono necessarie per il normale funzionamento dei siti/blog/ecommerce. Dai più semplici, ai più sofisticati.

Nel tuo caso, si tratta di mera gestione funzionale: ciò nonostante, la normativa europea impone questo tipo di modalità d’informazione per l’utente. Per quanto essa sia invasiva e, a mio avviso, inutile.

2.

Tra i tanti SN siti e blog che leggo e consulto, il solo che presenta in home page un banner relativo all’utilizzo dei cookie è Twitter. [...] Perché loro che profilano clienti, vendono prodotti e servizi non hanno banner ed io che nulla vendo e solo scrivo in uno spirito di completa gratuità dovrei metterli?”.

Significa molto semplicemente che sono fuori norma e che rischiano pene molto, ma molto salate: ad un nostro Cliente sono stati comminati 20.000 Euro di sanzione unicamente perché mancava un flag di consenso all’interno di una form per la registrazione al proprio sito… Al momento della contestazione, erano partiti da sanzioni di 180-120 mila Euro.

Ora, perché non si siano ancora adeguati non lo so […] sta di fatto che il termine ultimo per mettere a norma i siti è il 31/12/2014, e mi riferisco unicamente alla gestione dei cookie, mentre l’informativa sulla privacy va fatta il più presto possibile [...]

Spero di aver chiarito, almeno in buona parte, i tuoi dubbi/quesiti, anche se mi rendo conto che il buon senso ne porrebbe mille altri.

GM, 05/06/2015

Nei giorni scorsi, come forse avrai letto, sulla Rete sono comparsi numerosi post relativi alla cookie law, agli adempimenti in capo ai gestori di blog, a chi deve fare che cosa e come lo deve fare. Ci sono state prese di posizione decise, è stata redatta una petizione con raccolta firme da inoltrare al Garante. I blog hanno adottato le più diverse e fantasiose soluzioni, dai banner alla resistenza in varie forme attuata. Il dissenso è stato ampio. Molte delle obiezioni di merito che sono state sollevate sono dello stesso tono e spirito [quando non anche identiche] a quelle che io stesso, se ricordi, formulai quando tu mi informasti degli adempimenti da ottemperare. Lo rammento unicamente per dire che oltre a non condividere la ratio [che c'entra un blog come il mio con la profilazione a fini profittevoli di qualsiasi natura, tanto per sottolineare un aspetto non secondario della vicenda...], non ne ho compreso bene nemmeno alcuni aspetti per così dire tecnici. Vedo ora che non sono il solo e che sono certamente in buona e migliore, oltre che numerosa, compagnia.

Ti chiederei:

1. se ritieni che comunque il blog “extemporalitas” risponda correttamente ai requisiti meglio [?] precisati, ora;

2. se anch’io dovrei comunque pagare i 150 Euro che sono all’improvviso comparsi come onere [?];

3. a me sembra che il mio blog non usi alcun cookie di profilazione. E’ giusto?
4. i bottoni LinkedIn e Twitter aprono semplici link verso le due piattaforme, e non sono tasti atti ad esprimere preferenze e dunque non dovrebbero rilasciare cookie prima di essere [per scelta] cliccati e quindi indirizzati al sito.

Chiunque capisce che qui si va ben oltre la semplice gestione tecnica dei cookie. Si impone semplicemente la chiusura a chi come me non può permettersi di spendere la cifra, non esigua, temo, prevista dalla somma delle azioni da compiere in relazione alle mie domande. A partire dalla quota di segnalazione [?] del sito.

 

Fabio Zeri, il 09/06/2015

[...]

- [...]ritieni che comunque il blog “extemporalitas” risponda correttamente ai requisiti meglio [?] precisati ora;”

Come succede spesso in Italia, prima si butta una regola, scritta e non pensata nel contesto, poi alla scadenza scoppia il bubbone e si ritira la mano.

Nel tuo caso, in termini di presentazione delle informative, devi comunque esporre:

– come gestisci le eventuali informazioni che potrebbero inviarti i tuoi lettori (anche unicamente per un semplice scambio di email);

– gli eventuali cookie che vengono creati dal sito, siano pure questi tecnici o di terze parti, anche se originati successivamente (click su semplici link, anziché componenti multimediali);

L’adozione del banner è previsto nel caso in cui si usino cookie di terze parti, come quelli di Google analytics, per esempio. Sappi però che questi non sono profilanti, perché l’informativa privacy di Google analytics indica che sono utilizzate modalità di offuscazione degli indirizzi IP e che le informazioni sono condivise tra domini differenti: e identiche sono proprio le caratteristiche richieste dal Garante… Se permetti, sono accorgimenti appositamente pensati ed introdotti perché altrimenti nessuno avrebbe potuto usare più Google analytics, i siti governativi per primi.

- “[…] anch’io dovrei comunque pagare i 150 Euro che sono all’improvviso comparsi come onere [?];”

La risposta è no. Se anche se tu usassi componenti multimediali di terze parti, anche se questi ultimi facessero profilazione, la Legge parla chiaro: tu sei un intermediario, hai l’obbligo di informare l’utente con il banner e con l’informativa che usi appunto cookie di terze parti. Non sei tenuto però alla comunicazione ed alla richiesta d’uso al Garante (leggi: i 150,00 Euro, il costo della procedura). Perché non lo sei? Perché i dati sono gestiti dalle terze parti e non dal tuo sito. Quindi il responsabile della notifica al Garante è la terza parte, in qualità di titolare del trattamento.

- “[…] a me sembra che il mio blog non usi alcun cookie di profilazione. E’ giusto?”

Esatto. Google analytics rientra nella categoria dei cookie tecnici, pur essendo di terze parti, per i motivi che ti ho indicato sopra. L’utilizzo implica però la notifica con il banner.

- “i bottoni LinkedIn e Twitter aprono semplici link verso le due piattaforme, e non sono tasti atti ad esprimere preferenze e dunque non dovrebbero rilasciare cookie prima di essere [per scelta] cliccati e quindi indirizzati al sito.” [...] “Ho visto invece che il logo della licenza Commons ha un suo cookie: andrebbe citato? Che valore ha? Sarebbe tecnico?”

Per come sono strutturati, questi creano invece dei cookie che sono generati dai rispettivi siti. Perché accade? Perché l’immagine che tu visualizzi nella tua pagina, viene caricata direttamente dai loro server web, i quali, a loro volta, generano dei cookie, utili anche per il solo e semplice reperimento dell’immagine. Tra questi, per ciascun bottone/immagine, ci sono sia i Google analytics, sia gli altri cookie che non saprei riconoscere (ci si deve affidare alle rispettive informative su privacy e cookie). Molti di questi gestiti da terzi, servono loro, giustamente, per avere un riscontro di quanti siti stiano utilizzando i servizi erogati dai titolari (nelle modalità previste dalle loro rispettive informative).

In conclusione… L’uso dei cookie di profilazione c’è sempre stato ed una forma analoga di marketing più “invasivo” esiste anche in altri ambiti tecnici/tecnologici al di fuori del cyberspazio… A cosa servono leggi come questa? Semplicemente a legalizzarne l’uso da parte dei grandi players, quelli che realmente traggono profitto dalla profilazione digitale.

Qual è il reale problema? L’Italia è il fanalino di coda, nella coda dei fanalini di coda dell’innovazione tecnologica. Così come lo è dal punto di vista normativo/procedurale: siamo tra i più farraginosi d’Europa. L’esito? Le Leggi vengono predisposte per tappare buchi (per adeguare il dettato legislativo alla normativa europea), vengono redatte spesso in fretta e furia e senza avere una minima cognizione di causa tecnica, ed in merito alla diffusione ed al reale utilizzo delle tecnologie che si vogliono normare. Poi, se a cose fatte chiedi informazioni e/o chiarimenti, indipendentemente dal contesto normativo, la risposta tipo che ricevi è: “guardi, non le so rispondere. Per non saper né leggere né scrivere, lei si adegui”, (che significa: paga l’eventuale tassa prevista e conforma le strutture ai riferimenti normativi).

[...] il plugin di Google analytics è un servizio comodo, utile e gratuito, che, seppure nella dimensione del tuo blog, sarebbe un peccato non sfruttare. Non togliere i link ai social network e al bottone Creative commons che utilizzi, anche se questi creano dei cookie: lascia il banner e riadegua l’informativa, aggiungendo di nuovo il paragrafo relativo ai cookie. Pensa a tutto ciò come ad un servizio informativo, ad una tutela dei tuoi utenti, pur se, come scrivi, sono pochissimi.

 
@ Giordano Mariani:«Nessun uomo è un target. [Biscotti digitali]».