Garante, privacy, cookies, analytics e… Google

Quesito: Google Analytics usato per la sola ottimizzazione del sito e non per profilazione può rientrare nella categoria di “cookies tecnici” ed essere quindi usato senza necessità di darne comunicazione nel banner?

Norme: il “dato normativo” è costituito dal provvedimento del Garante dell’ 8 maggio 2014 e (indirettamente, quasi a mo’ di interpretazione autentica) dalle FAQ.

Interpretazione: esistono (ai fini che interessano in questa sede: si escludono dunque i cookies espressamente ed effettivamente utilizzati per profilazione) diverse categorie di cookies:
cookies
Possono dunque verificarsi le seguenti ipotesi:

  • solo cookies tecnici= obbligo banner se di terze parti, no obbligo banner se proprietari
  • cookie di terze parti (tecnici o analytics non fa differenza giacché comunque di terzi)= obbligo banner
  • cookies proprietari= no obbligo banner
  • cookies anaytics= obbligo banner se di terze parti, no obbligo banner se proprietari

Google Analytics appartiene in ogni caso alla categoria “cookies di terze parti” ed è irrilevante che sia in concreto usato per fini di profilazione o come cookie tecnico: io non posso detenere un’arma in casa senza denunciarla indipendentemente dal fatto che la usi per sparare o come fermacarte. Irrilevante anche il fatto che sia anonimizzato perché questo attiene alla funzione, ma non muta la sua natura.

Si ricorda che ai sensi dell’art. 15 del Codice, l’attività di trattamento dati è pericolosa e quindi il titolare è chiamato ad una diligenza particolare: nel dubbio deve astenersi da qualsiasi uso che possa comportare un trattamento illecito o non consentito. Ora considerato che GA è di Google, il titolare del sito non potrà probabilmente sapere tutti gli effetti che produce in concreto l’uso di GA.
A tal fine è del tutto insufficiente il richiamo, il rinvio o il link alla policy o alle informative fornite da Google considerato che questi non chiariscono affatto che uso verrà fatto dei dati ottenuti con l’uso di tali cookies.
Anzi questo meccanismo potrebbe svolgere effetti controproducenti per il titolare del sito: egli pur sapendo di non sapere cosa in concreto Google possa fare con i dati, ha omesso di segnalarlo nel banner: da cosa sarebbe giustificata questa omissione?

A questo punto bisogna ricordare il principio del bilanciamento che opera su due livelli:

A) Perché non usare cookies analytics proprietari ? (ad esempio Piwik , richiamato espressamente nella Guida Cookies disponibile sul sito dell’ANORC ). Le FAQ del Garante consentono infatti l’uso di cookies analytics senza banner, solo se usati “direttamente dal titolare del sito”. Probabilmente si usa GA per comodità o per risparmio, ma la legge non ragiona in termini economici e seppure fosse assai più costoso rivolgersi a cookies proprietari, questo non giustificherebbe la violazione, poiché nella gerarchia dei valori gli aspetti patrimoniali sono in posizione subordinata rispetto a quelli personali (trattamento dati).

B) Perché non mettere il banner usando GA? Qual è il costo del banner rispetto al diritto di tutti gli utenti?

Conclusioni: per il principio del “cuius commoda eius et incommoda” (colui che gode dei privilegi, ne paga anche il relativo prezzo) chi vuol usare GA può ovviamente farlo, dandone comunicazione, però, nel banner; se non lo fa rischia di pagarne le conseguenze.
La ratio del provvedimento del Garante sembra proprio quella della massima trasparenza e non si intravedono ragioni legittime per pregiudicare tale trasparenza.
Il titolare del sito è infatti in chiara posizione intermedia tra l’utente e Google ed ha il dovere si segnalare l’uso di cookies non proprietari.
La trasparenza si fonda – e nel contempo è travolta – sull’atteggiamento degli intermediari: sono costoro che pagano le conseguenze della sua violazione e non Google.
A livello strategico, infine, si segnala che il beneficio derivante dalla comodità pare pregiudicato dall’entità della sanzione: a meno che il posizionamento del banner non implichi costi paragonabili all’entità della sanzione… (da 10.000 a 120.000 euro)
Un dato incerto è quello relativo alla probabilità di essere colpiti dalla sanzione, per cui ognuno è libero di fare le proprie stime….

Non si intravedono ragioni di differenziare tra siti privati e siti delle pubbliche amministrazioni, per cui mi viene qualche dubbio quando scorrazzo nei siti di comuni, province, ministeri:

  • il sito del Comune di Milano non ha il banner, ma dichiara l’uso di cookies di terze parti, a Napoli invece compare il banner.
  • il Ministero dell’economia (www.tesoro.it) mette il banner (ma nn specifica che cookies usa..).
  • il Ministero della Salute non mette il banner  e dichiara: “Il portale si avvale di un prodotto di mercato per la rilevazione degli accessi al proprio sito. Esso ricorre all’utilizzo di cookies permanenti, allo scopo di raccogliere informazioni statistiche sui “visitatori unici” (persone diverse) del sito. Questi cookies, definiti come “Unique Visitor Cookies”, contengono un codice alfanumerico che identifica i computer di navigazione, senza tuttavia alcuna raccolta di dati personali.“. Sarà di terze parti?
  • la Regione Marche ha il banner, l’Emila Romagna no, e pubblica una dichiarazione simile a quella del Ministero della Salute.

Il mondo è bello perchè è vario…

N.B. Si potrebbe ritenere che quanto prospettato sopra sia  formalistico o meccanicistico e che le norme del Garante così come intepretate siano eccessive magari perché Google non associa i dati all’IP (sarà vero..?) o perché i dati sono trattati solo in forma aggregata  e non sarà mai possibile risalire nemmeno indirettamente all’utente (sarà vero..?).

L’articolo ha quindi una funzione  difensiva; se poi qualcuno vuole ingaggiare una battaglia legale per la modifica di norme ritenute ingiuste, no problem. Basta che sappia cosa rischia. Io personalmente direi di mettere il banner e poi di contestare…

P.S. Potendo (con l’ausilio dell’informatico) conoscere  le caratteristiche del singolo cookie si potrebbe essere più precisi…

giugno 9, 2015

E-book:L’Italia sarà sanzionata?

Dopo aver risolto a livello nazionale il trattamento disparitario della vendita di libri on ed off-line,  il Governo  dovrà probabilmente affrontare di nuovo la questione dell’aliquota iva degli e-book, in quanto la Corte di Giustizia europea con sentenza del 5 marzo scorso ha accolto il ricorso della Commissione europea contro la Francia e il Lussemburgo, che applicano rispettivamente l’aliquota iva al  5,5% e il 3% per gli e-book.

Come noto, la nuova formulazione dell’articolo 98 della direttiva Iva 2006/112/Ce prevede espressamente che ” le aliquote ridotte sono in ogni caso escluse per i servizi forniti elettronicamente”.  Lo scopo della nuova disposizione europea è determinare l’applicazione nel campo delle vendite on-line delle aliquote ordinarie, in quanto essi sono a tutti gli effetti servizi e non beni. La sentenza ribadisce che “si considera <<prestazioni di servizi>> l’operazione che non costituisce cessione di beni, mentre, a norma dell’articolo 14, paragrafo 1, di tale direttiva, si considera <<cessioni di beni>> il trasferimento del potere di disporre di un bene materiale come proprietario.  Queste le motivazioni alla base della sentenza di condanna della Corte Europea di marzo.

In proposito i giudici europei ribadiscono che il libro elettronico, anche se “ceduto” attraverso un passaggio informatico, non costituisce mai un “bene materiale”. Così facendo anche gli e-book ceduti dai piccoli editori, segnati con il social DRM, vengono assimilati alle piattaforme on-line di Amazon, Apple ed altri; stabilendo che un e-book, per il solo fatto di essere in formato elettronico, non è mai un “bene materiale”.

Analizzando  la questione sotto il profilo del richiamo al principio di neutralità fiscale,  effettuato oltre che  dai governi francese e lussemburghese, anche dalla stessa Corte Ue nella sentenza C-219/13 resa l’11 settembre 2014, i giudici del 5 marzo scorso, hanno sottolineato come tale principio opera laddove si è in assenza di una disposizione non equivoca e l’art. 98 della direttiva iva, a parere dei giudici, “non è una disposizione, che in modo non equivoco, estende l’ambito di applicazione delle aliquote ridotte alla fornitura di libri elettronici.”

Il giudizio della Corte Ue, però, non ha dissipato tutti i dubbi in quanto, con l’applicazione della nuova territorialità Iva, i prestatori B2C applicano l’Iva del Paese dell’acquirente, risolvendo il problema delle grandi società di servizi digitali con sede di comodo in Paesi a fiscalità privilegiata, ma determinano una discriminazione nei confronti delle imprese più piccole e le start up innovative, che nonostante il sistema del Moss, fanno fatica ad individuare l’effettiva residenza dei clienti e a gestire l’intero sistema in autonomia.  Google e gli altri big, si stanno attrezzando, sviluppando software, che calcolano in modo automatico le aliquote in base alla residenza dell’acquirente, mentre i piccoli editori probabilmente subiranno la loro concorrenza.

Se poi si analizzano le disposizioni fiscali sotto il profilo del B2C realizzato da un contribuente minimo, la situazione appare ancora confusa.

Secondo la C.M. n. 36/E/2010 i servizi digitali resi dall’operatore “minimo” italiano a privati consumatori di altri Paesi membri configurerebbero un’operazione interna, non soggetta a Iva, perciò non è richiesta né la registrazione al MOSS, né tantomeno la identificazione Iva nei Paesi di consumo.

Tale disposizione della nostra amministrazione finanziaria, sembrerebbe non compatibile con le istruzioni fornite da altre Autorità fiscali di altri Paesi membri in cui opera il regime di franchigia ex artt. 281 ss. Della Direttiva n. 2006/112/CE.

Nel Regno Unito, infatti, le Autorità hanno precisato che le imprese inglesi con un volume d’affari non superiore a 81.000 sterline (non tenuti a richiedere un numero di partita Iva), se prestano servizi digitali a consumatori di altri Paesi UE, sono obbligate ad applicare la nuova deroga territoriale basata sul Paese del committente, con l’obbligo di registrarsi al MOSS, in alternativa dell’identificazione Iva nei Paesi Ue di consumo.

Non rimane che attendere chiarimenti in merito.

 

marzo 26, 2015

Posta elettronica certificata, firma elettronica (avanzata) e forma scritta.

pecHo sempre pensato che la PEC non consentisse di imputare direttamente  un atto giuridico al titolare della casella stessa a meno che costui non usasse la sua firma digitale per sottoscrivere un eventuale allegato incluso nel messaggio. ( avevo già affrontato il tema: http://dirittodigitale.com/a-proposito-di-identificazione-e-pec-e-davvero-cosi-importante/ e http://dirittodigitale.com/pec-e-identificazione-personale/ ). Ed ho sempre pensato che una PEC non potesse equivalere ad un documento scritto.

E’ vero che il mittente è “identificato” dal fornitore di servizi PEC, ma questa circostanza non crea una connessione univoca con l’atto giuridico contenuto nel messaggio e soprattutto non soddisfa il requisito della forma scritta, posto che il CAD (art. 21, comma 2 bis d. lgs. 82/2005) prevede che il documento informatico sia sottoscritto con firma avanzata, qualificata o digitale a seconda della tipologia di atti. Tale disposizione prevede infatti che:

Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Dunque per stare tranquilli era meglio utilizzare la PEC con dentro un allegato sottoscritto con firma digitale.

Da un po’, però  è entrato in vigore Il DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) che  prevede all’art. 61:

L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

Quindi ai sensi di tale disposizione, il privato può avanzare telematicamente istanze alla p.a. (di questo si occupa il citato art. 65 CAD) semplicemente attraverso la PEC e senza necessità di usare una firma avanzata.

C’è anche un’ altra conseguenza.

L’art. 21 comma 2 bis citato qualche riga sopra, prevede che soddisfa il requisito della forma scritta il documento informatico sottoscritto con firma avanzata.

Ora, se la firma avanzata è sostituita a sua volta dalla PEC, se ne potrebbe dedurre che l’uso della PEC consenta di produrre atti scritti….

L’art.61 del DPCM 22.2.2013, però pone due condizioni:

  1. contempla il caso delle istanze inviate alla p.a.
  2. contiene l’incinso “nei confronti della pubblica amministrazione

Due interrogativi emergono:

1) può un DPCM (che è norma secondaria, proveniente da un’autorità amministrativa e non da una legislativa) introdurre una nuova forma di equiparazione tra documento informatico e documento cartaceo non prevista – nè espressamente “delegata” – dalla legge?

Il CAD infatti non prevede che la PEC possa sostituire la firma avanzata. Forse chi ha scritto il DPCM non ha pensato o non ha voluto questa ulteriore conseguenza, ma – se la logica non m’inganna – questo è l’effetto che si verifica….

2) ammesso e non concesso che tale innovazione (niente affatto irrilevante) sia ammissibile in termini di gerarchia delle fonti, si tratterebbe di effetto limitato ai rapporti tra cittadino e p.a.?

Se si, da cosa sarebbe giustificata tale disparità di trattamento?

O al contrario, proprio perché si verificherebbe una disparità di trattamento, quel che vale per la p.a. deve valere anche nei rapporti tra privati?

O, ancora, quel che vale nei confronti della p.a. deve valere  a maggior ragione nei confronti dei privati?

Di fronte a tale scenario, il collega Marco Cuniberti si è chiesto se sia possibile utilizzare una soluzione FEA (Firma Elettronica Avanzata) utilizzando la PEC, fornendo una risposta positiva. Condivido le conclusioni ed anche il percorso argomentativo: la mia però è una domanda un po’ più radicale. Io mi chiedo infatti se l’uso della PEC sia di per sè equivalente all’uso di una FEA sul piano squisitamente giuridico e non su quello operativo.

Mettendo da parte per un momento il quesito pregiudiziale di cui al punto 1 che precede (muovendo dalla considerazione circa la deregulation che “vige” in materia), l’equivalenza mi sembra perfetta nei rapporti tra cittadino e p.a., mentre è più problematica nei rapporti tra privati o tra p.a. e p.a.

A tale ultimo riguardo, nella circolare n. 3 della Ragioneria dello Stato (http://www.rgs.mef.gov.it/_Documenti/VERSIONE-I/CIRCOLARI/2014/Circolare_del_20_gennaio_2014_n_3.pdf) può leggersi (pag. 3 terzultimo paragrafo) che la previsione di cui all’art. 61 DPCM 22.2.2013 “è limitata alla trasmissione mediante casella di posta elettronica certificata personale di cui all’art. 65, comma lett. c-bis del CAD. Con la conseguenza che può escludersi dalla predetta fattispecie l’invio effettuato tramite casella di posta elettronica certificata rilasciata a soggetto diverso da persona fisica, ivi incluse le pubbliche amministrazioni”.

E’ un’interpretazione che rispetta – a mio parere in modo eccessivamente rigoroso  – il solo dato letterale della disposizioni (sia dell’art 61 DPCM 22.2.2013 che dell’art. 65 del CAD).

L’interprete deve infatti considerare anche la ratio della norma e il profilo sistematico, nonchè l’analogia ed i principi generali (art. 12 preleggi).

Quali particolarità possiede allora la comunicazione da un cittadino verso la p.a. che non possiede la comunicazione tra privati o tra p.a.?

Cosa ostacola il ricorso all’analogia?

Una risposta è certamente presente nell’art. 14 delle stesse preleggi che vieta l’interpretazione estensiva o analogica di leggi che “fanno eccezione a regole generali”. Tale disposizione parrebbe confortare il tenore letterale, poiché l’art. 61 DPCM 22.2.2013 deroga effettivamente alle disposizioni di legge (CAD) che consentono l’equiparazione del documento informatico al documento scritto solo se viene usata la firma digitale o la FEA, ma non anche la sola PEC.

Però l’interpretazione deve anche rispettare il principio di ragionevolezza (qui un interessante studio sul punto http://www.cortecostituzionale.it/documenti/convegni_seminari/RI_Cartabia_Roma2013.pdf ).

Credo che se un determinato effetto è ammesso dalla legge in un certo tipo di rapporto tra privato e p.a. non possano esserci ostacoli ad utilizzarlo in senso inverso cioè dalla p.a. al cittadino. E’ perché poi escluderlo tra p.a o tra cittadini?
Forse il legislatore ha voluto effettivamente circoscrivere la norma al rapporto tra cittadino e p.a. (e per giunta solo dal basso verso l’alto), ma temo che tale norma possa non resistere al vaglio di ragionevolezza e coerenza sistematica:  sarà forse necessario un intervento della Corte Costituzionale che espunga del tutto la norma dall’ordinamento o che ne individui un’intepretazione rispettosa dei citati principi ?

La dignitá perduta

Si é svolto nel pomeriggio l’incontro di studio su “La deontologia dell’avvocato matrimonialista” organizzato dall’AMI in collaborazione con l’Ordine degli Avvocati di Ancona.
Il dibattito si é incentrato sulla esigenza di un codice etico per gli avvocati, ed in particolare per gli avvocati che si occupano della delicata materia familiare e minorile.
Le statistiche ci confermano che oggi la famiglia uccide più della mafia.

L’Associazione Avvocati Matrimonialisti Italiani precorre i tempi adottando un codice etico che racchiude le norme comportamentali che devono ispirare ogni azione dei suoi soci.
In particolare l’avvocato é tenuto ad agire prioritariamente per la tutela dei diritti e degli interessi dei minorenni, indipendentemente dalla parte che assiste in giudizio, nella piena autonomia e libertà, e deve individuare caso per caso le soluzioni meno traumatiche e penalizzanti per i figli e genitori.
Ogni avvocato deve prevenire ogni strumentalizzazione o manipolazione in danno del minore al fine di estromettere ingiustamente l’altro genitore dalla vita dei figli e viceversa.
L’avvocato non deve avallare acriticamente le tesi del proprio assistito specie se esse risultano palesemente in contrasto con i diritti dei minori coinvolti in qualsivoglia giudizio che li riguarda.
Il rapporto fiduciario difensore/assistito non può prescindere dall’ autorevolezza ed autonomia dell’avvocato.
L’avvocato non deve sottostare alle strategie del proprio assistito specie quando esse appaiono palesemente finalizzate alla ingiusta compressione dei diritti ed interessi della controparte.
Negli atti difensivi, pur nella concitazione di un procedimento altamente conflittuale, dovrà evitare l’eccessiva enfatizzazione dei fatti e ragioni del proprio assistito e l’utilizzo di espressioni gratuitamente offensive nei confronti della controparte o irriguardose in danno del collega avversario, al quale dovrà, invece, dimostrare il massimo rispetto, salvo che la condotta di quest’ultimo non sia palesemente violativa di norme che invocano la lealtà e il decoro di chi esercita la professione forense.

Non c’é dubbio sulla condivisione dei principi espressi dall’AMI, che debbono valere indistintamente per tutti gli avvocati e non soltanto per i soci; sebbene maggiore sia l’accortezza richiesta a professionisti che si occupano di materie delicate che hanno ad oggetto diritti inviolabili della persona.
L’esigenza di adottare un codice per riassumere detti principi -fondamentali da sempre nella professione forense- ci deve far riflettere sulla perdita di autorevolezza subita dall’avvocatura.
Forse i troppi processi in tv, i troppi post e tweet ..spesso solo finalizzati ad enfatizzare singoli successi professionali.. hanno allontanato i cittadini dal buon Azzecca-garbugli di manzoniana memoria?
La ricetta per salvare la dignitá della nostra professione deve passare attraverso competenze multidisciplinari, libertá ed autonomia.

gennaio 16, 2015

legge di stabilità 2015 : e-book iva al 4%

Finalmente con la legge di Stabilità 2015 il Governo ha posto fine ad una disparità di trattamento nelle vendite di libri, che aveva penalizzato non poco le vendite dei cosiddetti e-book. Infatti, fino ad ora i soli libri presenti nella Tabella A parte II iva al 4% erano quelli tradizionali e per i libri in formato elettronico, il venditore era costretto ad applicare l’aliquota al 22%, con un evidente penalizzazione del commercio elettronico di libri. Tale divergenza  contravveniva alle disposizioni Ocse sulla necessità di non prevedere forme di tassazione del commercio elettronico specifiche e di utilizzare la tassazione già presente per le cessioni di beni  analoghi senza internet.

gennaio 14, 2015