Jun 06 2015

HelpSemaforoQuesto semaforo indica il livello difficoltà del post
semaforo verde - articolo per tutti semaforo giallo - articolo avanzato semaforo rosso - articolo per esperti

Perché non parlo della cookielaw?

autore: categoria: cookie

Vi sarete accorti che non ho scritto nulla sulla cosiddetta cookielaw, e per chi mi segue sui social network, che mi sono tenuto a distanza da quasi tutte le conversazioni. E’ stata una scelta deliberata, quando ho capito mesi fa che le cose non sarebbero andate affatto lisce come qualcuno sperava. Qualcuno si aspettava un post almeno a proposito dei cookie di Analytics, ma nemmeno su quelli ci sono certezze.

Per lavoro, so di questa norma da più di un anno, quando ancora era in discussione. Io e l’azienda dove lavoro abbiamo tentato di fornire materiale e risposte per provare a chiarire i punti critici del provvedimento quando ancora non era una legge. Nonostante tutto, è uscita come tutti la conosciamo. La prima cosa che ho capito quando abbiamo iniziato a lavorarci è stata questa: l’interpretazione legale è imprescindibile, e quindi qualsiasi cosa avessi detto o scritto, sarebbe stata sbagliata, semplicemente perché – ed è assurdo, me ne rendo conto – ognuno in quella norma ci legge cose diverse.

Ho finora lavorato con 4 legali diversi, e non c’è una installazione uguale ad un’altra. Ho letto i post di molte persone sui social e sui blog, e ognuno dice tante cose giuste e tante cose enormemente sbagliate, ma poiché tutto si basa su interpretazione, hanno ragione tutti.

Il più grande demerito di questa legge è quello di aver trasformato per sempre i concetti alla base dei cookie. Una cosa universalmente nota (oserei dire binaria) come “cookie di prima parte e cookie di terza parte” (cookie salvati nello stesso dominio che si visita = prima parte, salvati su altri domini = terza parte), un concetto cristallino e inoppugnabile, è diventato un problema insormontabile una volta trasformato in legalese “cookie DELLA prima parte e cookie DELLA terza parte” (cookie creati dal gestore del sito o creati da “altri”): i casi si moltiplicano e si complicano, perché ad esempio un “pezzo di sito” fatto e hostato da un partner diverso dal gestore è una terza parte? quindi i loro cookie tecnici sono di terza parte? e se quel pezzo di sito c’è un pulsante di Facebook, è una terza parte che crea cookie su una terza parte? se invece vale “chi ha deciso di mettere quel pulsante” e sto usando un template già pronto? insomma le complicazioni di questo modo di chiamare le cose sono infinite.

Fine della digressione e del rant, non credo ci saranno ulteriori update in materia su queste pagine.

Condividi l'articolo:

6 Commenti

  1. Condivido tutto, quando la legge italiana tocca qualcosa lo trasforma in burocrazia e questo non aiuta certo chi con queste cose ci lavora…

  2. Sono due mondi che hanno regole diverse: quello della legge giudica e sancisce, quello della tecnologia trova un’altra soluzione. Potremmo dire la che tecnologia è come l’acqua, che trova sempre una strada e la legge è il muro che tenta di contenerla o fermarla. Siamo uno l’alieno dell’altro.

  3. Ciao Marco, condivido la tua decisione.

    Riguardo a quello che definisci “il più grande demerito” di un legge che è indubbiamente mal scritta, ossia la definizione legale di “cookie di terze parti” che appare in contrasto con quella tecnica comunemente accettata, bisogna però precisare che non è farina del Garante italiano; infatti credo che quella definizione sia da ricondurre all’opinione del Data Protection Working Party, adottato due anni fa (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf – par. 2.3):

    For the purpose of this opinion, we will follow the first approach and use the term “third party cookie” to describe cookies that are set by data controllers that do not operate the website currently visited by the user. Conversely, the term “first party cookie” will be used to refer to a cookie set by the data controller (or any of its processors) operating the website visited by the user, as defined by the URL that is usually displayed in the browser address bar. [grassetto mio]

  4. Legge pensata male a livello europeo…

    perché ad esempio non obbligare i browser a cancellare i cookie, invece dei siti?

    Perché non imporre una funzione standard per rifiutare i cookie che facilitasse il compito di tutti…

  5. Parole sante, Marco.
    Per quanto riguarda la mia esperienza, ho letto le interpretazioni più variegate per poi convenire con alcuni legali che “meno fai, meno sbagli” 😀
    Per ora solo banner informativo ed accettazione implicita.. poi si vedrà.
    Allo stato attuale anche nel malaugurato caso qualcuno venisse sanzionato, la sanzione potrà essere impugnata senza tanti problemi proprio per le sue vaste interpretazioni.

  6. Perdona lo spam, ma fatalità è uscito un chiarimento del garante che mi ero perso:

    – Lo scrolling costituisce un metodo legittimo di raccolta del consenso

    – Gli strumenti di statistica terzi come Google Analytics, se opportunamente configurati, sono assimilabili a cookie tecnici

    – Il titolare ha l’obbligo di garantire che nessun cookie potenzialmente di profilazione sia installato prima del consenso, il che comporta come conseguenza la necessità di bloccare preventivamente gli strumenti terzi che possano installare cookie

    – La notificazione va effettuata solo qualora la prima parte effettui profilazione, come da legislazioni precedenti

    Cookie tecnici FTW

Scrivi un Commento