C’è molta confusione sotto il cielo dei cookie e della normativa, appena entrata in vigore, che il Garante della privacy ha varato e reso obbligatoria due giorni fa. Giorni in cui si sono moltiplicate le proteste, la richiesta di informazioni, il centralino del garante è stato preso d’assalto così come le piattaforme di blog e gli sviluppatori. Tra le moltissime considerazioni da fare su questa cookie law c’è anche la questione materiale del costo di notificazione. Che deve pagarla? Ecco un semplice prospetto per sapere se si devono scucire 150 euro.
La cookie law è costruita attorno a due principi: informare il visitatore di un sito web su quali cookie vengono utilizzati e come eventualmente bloccarli; notificare al Garante, secondo il codice della privacy e interpretando la direttiva europea del 2009, l’elenco delle conservazioni di dati sensibili prodotti dalla profilazione dei cookie non tecnici, cioè dei cookie che non servono soltanto al buon funzionamento del sito, ma a profilare la persona per indirizzargli una pubblicità su misura.
Gli effetti concreti per molti blogger sono piuttosto complicati, tanto che è nata una petizione online per denunciare questa norma, che sembra non pensare molto ai piccoli e tutto sommato incoraggia – poi vedremo come – le piattaforme globali di blogging a cui è demandato l’inghippo tecnico e hanno costi molto relativi perché spalmabili su tutti i blog con un intervento unico sulla piattaforma condivisa.
La notifica al Garante
Già, chi deve pagare la notifica telematica al Garante quando si trattano dati personali tramite il proprio sito? Qui si è fatta una distinzione che è destinata a creare infinite discussioni. In pratica, il cookie profilante è sempre destinato ad essere notificato – con costo di 150 euro – ma per evitare che chiunque debba pagarlo, anche quando non conosce la destinazione dei dati profilati, la norma separa i cookie profilanti di prima parte da quelli di terza parte. Entrambi accomunati dall’obbligo di informativa breve in home page, ma non dalla notifica.
Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti. Nel caso in cui, tuttavia, il titolare/gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione.
Chi non paga il Garante
In un possibile elenco di esentati (sicuramente destinato ad allungarsi, di caso in caso), ci sono dunque:
- I blogger che utilizzano piattaforme con dominio globale. Chi utilizza le comuni piattaforme di blogging non deve preoccuparsi del trattamento dei cookie, quindi neppure di notificarlo al Garante. In una piattaforma di questo tipo, infatti, non ci sono i presupposti, cioè la presenza di cookie di prima parte, prodotti da sé e per sé.
- I blogger con dominio che non usano cookie profilanti. Ci sono anche blogger che non usano altro che cookie tecnici. Non sono molti – si è già spiegato che basta un social widget per avere cookie profilanti – ma comunque l’assenza di cookie profilanti taglia la testa al toro: non c’è bisogno di nulla, né informativa né tantomeno notifica telematica.
- I blogger con dominio che usano cookie profilanti non di proprietà. È il caso più complicato. Perché non è facile capire come il titolare di un sito sia anche contitolare della responsabilità di un cookie profilante. Questi piccoli frammenti di codice sono davvero presenti ovunque, dai siti di YouTube embeddati nel sito alle mappe di Google, e poi i sistemi di pagamento e tutti quei bottoni che si inseriscono nella pagina come fossero propri – soprattutto nel caso dell’ecommerce – che hanno bisogno dei cookie per funzionare, ma che non producono per forza dati di cui il titolare del sito sia a conoscenza, se non nella forma aggregata degli analitycs. Tutte le aree riservate e i sistemi forniti dai service provider per piattaforme commerciali o altri servizi embeddati nel sito, e i social button, sono cookie profilanti di terze parti. Se il blogger può dimostrare di non averne conoscenza e non avere nessuna parte nel loro trattamento, non è obbligato alla notifica. Mentre alla informativa, s’intende, invece sì.
Dunque, chi paga la notifica al Garante? Restano due categorie: tutte le piattaforme che usano cookie profilanti, e in più blogger e chi ha un piccolo o grande e-store di commercio elettronico ed usano cookie profilanti di prima parte, cioè propri. A loro spetta la conservazione dei dati che sfruttano per comprendere meglio le abitudini del cliente/visitatore e offrirgli servizi sempre più personalizzati, a loro spetta la notifica al Garante e il relativo costo.