Cookies nel Codice Privacy, prima lettura (confusa)

L'Italia ha adempiuto agli obblighi comunitari in tema di comunicazioni elettroniche e privacy, tra l'altro adottando le previsioni della cosiddetta "Direttiva Cookie", in realtà una direttiva di molto più ampio respiro, che contiene al suo interno alcune modifiche alla Direttiva 2002/58/EC sulla protezione dei dati personali nelle comunicazioni elettroniche. Abbiamo dunque un nuovo articolo 122 del Dlgs 196/2003, noto come Codice in Materia di Protezione dei Dati Personali.

Il tutto con un bel decreto legislativo adottato sulla scorta della Legge comunitaria 2010, e senza uno straccio di periodo transitorio, senza ovviamente una adeguata consultazione con le parti coinvolte o qualsivoglia tipo di consultazione.

Vediamo dunque cosa dice il nuovo articolo 122.

1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni gia' archiviate

Sembrerebbe riferirsi ai cookies. Ma solo ai cookies permanenti o anche a quelli di sessione (che spirano con lo spirare della sessione?). Siccome la norma parla di "archiviate", mi pare che si tratta solo dei cookies permanenti. Ovviamente anche al malware e spyware, ma non si tratta di ipotesi che mi interessa discutere qui.

E il codice javascript? Javascript non è permanente, viene caricato dinamicamente solo per la sessione in corso, a meno di utilizzare strumenti particolari che consentano la permanenza del codice, ma in questo caso è l'utente che richiede che un particolare programma svolga la funzione. Dunque urchin.js di Google Analitics sembrerebbe non rientrare (non sono sicuro che usi un cookie permanente, ma potrebbe essere).

sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalita' semplificate di cui all'articolo 13, comma 3.

Questa parte è chiara: si richiede l'informativa e il consenso. L'informativa può essere data in forma semplificata, secondo le modalità che stabilisce il Garante. Purtroppo però il Garante non ha stabilito alcunché, e la norma è già in vigore. Pasticcio.

L'informativa deve essere preventiva. Così come il  consenso. Dunque l'utente deve fare quella serie di stupide interazioni col sito che farebbero scappare un santo o dissuaderebbe un cacciatore pornofilo arrapato da accedere a un sito XXX, come quello ipotizzato da Paul Carpenter? A stretto rigore sì, ma da una lettura più attenta, probabilmente no.

Il consenso può anche essere dato in modo automatizzato, tramite la configurazione di appositi programmi, ad esempio un plugin di un browser. Ciò è previsto dal secondo comma. È presumibile che il consenso non possa essere generico, "abilita i cookies" non sembra sufficientemente "chiare" circa il consenso, è più probabile che ci si riferisca a sistemi del tutto inutilizzati e misconosciuti tipo P3P, amati solo dai garanti privacy e da qualche masochista del web.

Cio' non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni gia' archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della societa' dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio.

Questo passaggio è criptico

Sembrerebbe che si escludano dall'obbligo di informativa i cookies "tecnici", ad esempio un cookie che dica "l'utente è già stato autenticato con id-password in questa sessione [oppure su questo browser]", oppure "l'ultima volta la lingua scelta è stata italiano" così da non dover richiedere la password o di riselezionare la lingua tutte le volte che si riaccede. Tutto questo è la prima parte del periodo. La "o" evidenziata (archiviazione o accessso) è una congiunzione disgiuntiva solo apparente, significa verosimilmente "o l'uno, o l'altro, o tutti e due", ovvero il funzionamento standard dei cookies: prima scrivo il cookie, poi lo leggo.

La seconda parte, dà i grattacapi. La parte dopo il "se" indica le condizioni a cui è consentito memorizzare e leggere l'informazione. Queste sono:

  • finalità: unicamente per la trasmissione di una comunicazione su una rete di comunicazione elettronica; cioè qualsiasi interazione? Qualsiasi accesso a una pagina web, ad esempio? Chi lo sa! Interpretando a senso direi che, come accennato sopra, si tratti solamente di quei cookie legati ad esigenze tecniche e non di monitoraggio, ma quale sia il confine la legge non lo dice;
  • oppure (o forse "e"?)

  • nella misura necessaria [...] a erogare [un] servizio Anche qui, niente è necessario, ma con certe caratteristiche in meno. Mi sa che si tratta in sostanza di un'esplicitazione (?) del punto precedente e nulll'altro, che la parte che governa;
  • quando tale servizio è esplicitamente richiesto dal contraente. Si fa fatica a pensare a casi in cui il servizio non venga richiesto dal cliente, peraltro manca una definizione di cosa sia un servizio? Esempio: la ricerca sul motore Google e il servizio di autocompletamento sono lo stesso servizio o due servizi diversi? Da un punto di vista tecnico sono due servizi diversi, con due contenuti diversi, ma funzionalmente sono ovviamente coordinati al fine superiore della "ricerca". E la memorizzazione delle ricerche precedenti per presentare risultati più pertinenti? Difficile stabilire un confine.

 

Punti di dubbio lessicale, prima che normativo, ve ne sono più d'uno. La "o" sembra disgiuntiva, o l'una o l'altra. Ma in realtà sembrerebbe più logico che fosse una congiunzione "e". Il dubbio è ancora più accentuato dal fatto che, come accennato nella discussione del punto, la parte sulla richiesta sembra nulla aggiungere alla parte sulla richiesta.

Ai fini della determinazione delle modalita' semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.

Questa parte felicemente non presenta particolari difficoltà, fatta salva la considerazione già espressa per cui la norma è in vigore e di informative semplificate non vi è traccia. Non era meglio attendere l'entrata in vigore della normativa a quando la parte di dettaglio non fosse già completata?

Insomma, un guazzabuglio infernale. Per capirci qualcosa andiamo a prendere il testo della Direttiva (come modificata)

Member States shall ensure that the storing of infor­mation, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user con­ cerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications net­ work, or as strictly necessary in order for the provider of an information society service explicitly requested by the sub­ scriber or user to provide the service.’;

Onestamente non è molto più chiaro del testo della norma italiana. Sembra la solita minestra. L'Italia ha dunque in pratica solamente tradotti in cattivo italiano una norma in cattivo inglese.

Abbiamo però un piccolo aiuto, che ci consente di inquadrare cosa la direttiva voglia perseguire. Mi riferisco al considerando 66:

Third parties may wish to store information on the equip­ ment of a user, or gain access to information already stored, for a number of purposes, ranging from the legiti­ mate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spy­ ware or viruses). It is therefore of paramount importance that users be provided with clear and comprehensive infor­ mation when engaging in any activity which could result in such storage or gaining of access. The methods of pro­viding information and offering the right to refuse should be as user-friendly as possible. Exceptions to the obligation to provide information and offer the right to refuse should be limited to those situations where the technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user. Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application. The enforcement of these require­ ments should be made more effective by way of enhanced powers granted to the relevant national authorities

Il considerando ci consente di interpretare la norma italiana nel senso di cui abbiamo detto sopra, ovvero, al di là delle oscurità del linguaggio, tutte le volte che abbiamo un cookie e un cookie serve solo a far funzionare un sito, non serve nessuna informativa (o diritto di vietare). Il fatto che i sistemi elettronici siano o meno dotati di opzioni circa l'uso dei cookie mi pare del tutto irrilevante, se non al limite per creare nella pratica un'ulteriore categoria di informazioni registrate sul computer dell'utente, che non sia "strettamente" necessaria, ma sia utile, ad esempio la memorizzazione di un cookie che sopravviva alla sessione e che registri l'autorizzazione.

Cosa devono fare i gestori dei siti? Probabilmente niente. La norma resterà probabilmente lettera morta, perché l'obbligo, accompagnato da sanzioni di tipo penale e amministrativo, è troppo generico e indeterminato, una vera e propria legge in bianco che dovrà essere interpretata in modo restrittivo, nonostante la formulazione "tutto è vietato tranne quello che è consentito che, ultima perla, proviene dal comma 2-bis (chissà perché non 3, visto che non esiste alcun comma 3):

2-bis. Salvo quanto previsto dal comma 1, e' vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente

Tipo di Entry: