Garante, privacy, cookies, analytics e… Google

Quesito: Google Analytics usato per la sola ottimizzazione del sito e non per profilazione può rientrare nella categoria di “cookies tecnici” ed essere quindi usato senza necessità di darne comunicazione nel banner?

Norme: il “dato normativo” è costituito dal provvedimento del Garante dell’ 8 maggio 2014 e (indirettamente, quasi a mo’ di interpretazione autentica) dalle FAQ.

Interpretazione: esistono (ai fini che interessano in questa sede: si escludono dunque i cookies espressamente ed effettivamente utilizzati per profilazione) diverse categorie di cookies:
cookies
Possono dunque verificarsi le seguenti ipotesi:

  • solo cookies tecnici= obbligo banner se di terze parti, no obbligo banner se proprietari
  • cookie di terze parti (tecnici o analytics non fa differenza giacché comunque di terzi)= obbligo banner
  • cookies proprietari= no obbligo banner
  • cookies anaytics= obbligo banner se di terze parti, no obbligo banner se proprietari

Google Analytics appartiene in ogni caso alla categoria “cookies di terze parti” ed è irrilevante che sia in concreto usato per fini di profilazione o come cookie tecnico: io non posso detenere un’arma in casa senza denunciarla indipendentemente dal fatto che la usi per sparare o come fermacarte. Irrilevante anche il fatto che sia anonimizzato perché questo attiene alla funzione, ma non muta la sua natura.

Si ricorda che ai sensi dell’art. 15 del Codice, l’attività di trattamento dati è pericolosa e quindi il titolare è chiamato ad una diligenza particolare: nel dubbio deve astenersi da qualsiasi uso che possa comportare un trattamento illecito o non consentito. Ora considerato che GA è di Google, il titolare del sito non potrà probabilmente sapere tutti gli effetti che produce in concreto l’uso di GA.
A tal fine è del tutto insufficiente il richiamo, il rinvio o il link alla policy o alle informative fornite da Google considerato che questi non chiariscono affatto che uso verrà fatto dei dati ottenuti con l’uso di tali cookies.
Anzi questo meccanismo potrebbe svolgere effetti controproducenti per il titolare del sito: egli pur sapendo di non sapere cosa in concreto Google possa fare con i dati, ha omesso di segnalarlo nel banner: da cosa sarebbe giustificata questa omissione?

A questo punto bisogna ricordare il principio del bilanciamento che opera su due livelli:

A) Perché non usare cookies analytics proprietari ? (ad esempio Piwik , richiamato espressamente nella Guida Cookies disponibile sul sito dell’ANORC ). Le FAQ del Garante consentono infatti l’uso di cookies analytics senza banner, solo se usati “direttamente dal titolare del sito”. Probabilmente si usa GA per comodità o per risparmio, ma la legge non ragiona in termini economici e seppure fosse assai più costoso rivolgersi a cookies proprietari, questo non giustificherebbe la violazione, poiché nella gerarchia dei valori gli aspetti patrimoniali sono in posizione subordinata rispetto a quelli personali (trattamento dati).

B) Perché non mettere il banner usando GA? Qual è il costo del banner rispetto al diritto di tutti gli utenti?

Conclusioni: per il principio del “cuius commoda eius et incommoda” (colui che gode dei privilegi, ne paga anche il relativo prezzo) chi vuol usare GA può ovviamente farlo, dandone comunicazione, però, nel banner; se non lo fa rischia di pagarne le conseguenze.
La ratio del provvedimento del Garante sembra proprio quella della massima trasparenza e non si intravedono ragioni legittime per pregiudicare tale trasparenza.
Il titolare del sito è infatti in chiara posizione intermedia tra l’utente e Google ed ha il dovere si segnalare l’uso di cookies non proprietari.
La trasparenza si fonda – e nel contempo è travolta – sull’atteggiamento degli intermediari: sono costoro che pagano le conseguenze della sua violazione e non Google.
A livello strategico, infine, si segnala che il beneficio derivante dalla comodità pare pregiudicato dall’entità della sanzione: a meno che il posizionamento del banner non implichi costi paragonabili all’entità della sanzione… (da 10.000 a 120.000 euro)
Un dato incerto è quello relativo alla probabilità di essere colpiti dalla sanzione, per cui ognuno è libero di fare le proprie stime….

Non si intravedono ragioni di differenziare tra siti privati e siti delle pubbliche amministrazioni, per cui mi viene qualche dubbio quando scorrazzo nei siti di comuni, province, ministeri:

  • il sito del Comune di Milano non ha il banner, ma dichiara l’uso di cookies di terze parti, a Napoli invece compare il banner.
  • il Ministero dell’economia (www.tesoro.it) mette il banner (ma nn specifica che cookies usa..).
  • il Ministero della Salute non mette il banner  e dichiara: “Il portale si avvale di un prodotto di mercato per la rilevazione degli accessi al proprio sito. Esso ricorre all’utilizzo di cookies permanenti, allo scopo di raccogliere informazioni statistiche sui “visitatori unici” (persone diverse) del sito. Questi cookies, definiti come “Unique Visitor Cookies”, contengono un codice alfanumerico che identifica i computer di navigazione, senza tuttavia alcuna raccolta di dati personali.“. Sarà di terze parti?
  • la Regione Marche ha il banner, l’Emila Romagna no, e pubblica una dichiarazione simile a quella del Ministero della Salute.

Il mondo è bello perchè è vario…

N.B. Si potrebbe ritenere che quanto prospettato sopra sia  formalistico o meccanicistico e che le norme del Garante così come intepretate siano eccessive magari perché Google non associa i dati all’IP (sarà vero..?) o perché i dati sono trattati solo in forma aggregata  e non sarà mai possibile risalire nemmeno indirettamente all’utente (sarà vero..?).

L’articolo ha quindi una funzione  difensiva; se poi qualcuno vuole ingaggiare una battaglia legale per la modifica di norme ritenute ingiuste, no problem. Basta che sappia cosa rischia. Io personalmente direi di mettere il banner e poi di contestare…

P.S. Potendo (con l’ausilio dell’informatico) conoscere  le caratteristiche del singolo cookie si potrebbe essere più precisi…

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *