I danni della sciagurata attuazione della Cookie Law all’italiana sono molti e variegati. C’è il danno che genera ai gestori di siti web, uno dei soliti danni burocratici all’italiana fatta di gabelle (150 euro di notifica se usi Analytics così com’è) e di minacce (multe per migliaia di euro per chi non si adegua, e stiamo parlando di gente che non ha fatto niente, che non ha profilato nessuno ma ha al massimo messo un bottone like sul suo blog). Collegato a questo c’è il danno innegabile e sciagurato, alla libera espressione dei cittadini, ingarbugliata ed incasinata da una normativa che si occupa di piccole questioni mettendone a rischio di grandi. Poi esiste il danno di scenario (spiegato molto bene da Carlo Blengino qui): da un lato il Garante della Privacy si occupa di normare inflessibilmente i cookies fin dentro le pagine dei cittadini ignari, dall’altro non mostra altrettante preoccupazioni per i giganteschi danni alla nostra riservatezza made in NSA e compagnia: faccende di pagliuzze e travi. Esiste poi un danno di interfaccia: costringere i cittadini a navigare dentro ridicoli frame che chiedono in continuazione liberatorie rende la navigazione web (che è oggi, ci piaccia o no, uno dei nostri attuali presidi democratici) una esperienza fastidiosa e scomoda dentro la quale il grado delle priorità è delineato molto chiaramente: prima occupiamoci delle cazzate poi, se vi resta tempo, dedicatevi a tutto il resto. Ma soprattutto esiste un danno molto chiaro di prospettiva generale, il trionfo (da noi l’ennesimo) della stupida burocrazia sopra la gestione delle nostre vite e la contemporanea assenza di un organo superiore che protegga i cittadini da simili incursioni.
Molti anni fa, quando iniziarono le prime rotte aeree commerciali sul cielo degli Stati Uniti un gruppo di proprietari terrieri decise di presentare un ricorso di fronte alla Corte Suprema. Poichè la legge americana recitava che la proprietà privata era “from ground to heaven” chiesero che le compagnie aeree i cui voli transitavano sopra le loro teste pagassero a ciascuno di loro un fee per ogni passaggio “dentro” le loro proprietà (che estendendosi fino al paradiso probabilmente comprendevano anche le rotte aeree e tutto il cielo stellato sopra di me). Il giudice della Corte Suprema (ora non ricordo il nome ma era un sant’uomo) negò questa possibilità motivando il diniego – lo racconta Lawrence Lessig in un suo vecchio libro – con grande semplicità: Il buonsenso non lo consentirebbe. Se il Garante della Privacy (quello italiano ma anche il consesso di suoi colleghi europei) avesse una vaga idea di cosa sia e come funzioni Internet, una volta vista all’opera la spremitura dei cervelli dei suoi consulenti, avrebbe semplicemente detto la medesima cosa. Una applicazione del genere della normativa sui cookies il buonsenso non la consentirebbe. Ma il buonsenso ed i burocrati dello Stato abitano parti dell’universo piuttosto diverse: il primo ormai è in paradiso, i secondi invece sono ben piantati qui in terra ad imporci le loro gabelle.
Giugno 10th, 2015 at 01:24
Complimenti.
Questo è uno dei rari posti in cui ho trovato delle critiche a questa normativa, altrove è un correre al consigliare come mettersi in regola o al riportare le “rassicuranti precisazioni” del garante, oppure a sminuire la cosa come una piccola incombenza, e c’è pure chi trova la cosa positiva, una giusta opera di “sensibilizzazione”.
Ed è vero, sono rimasto tanto sensibilizzato da sospendere e rendere privato un blog che gestivo da anni, del resto sentir parlare di cifre come seimila o centoventimila euro ha il suo peso anche per un piccolo blogger, forse per un grosso sito o una multinazionale no ma come si dice?
Colpire i piccoli per dare un segnale ai giganti del web?
Mah, me ne sfugge la logica ma accidenti il buon cittadino deve rispettare le regole, o meglio lo farebbe se fossero certe e non rischiasse il taglio della testa per una errata interpretazione, però almeno così la privacy è salva, beh tranne per il Bossetti di turno che diciamocela se lo è meritato anche se il processo è stato fatto solo in TV, e tranne che per le visite degli amici americani dei servizi, ma perché sottilizzare e non cogliere le grandiose prospettive di una simile normativa che il mondo c’invidia? Ci siamo modernizzati e qualcuno ha parlato di fine della rete come far west e sua urbanizzazione, poi che chi l’abbia detto ha il suo business nell’elargire consigli e nel creare privacy dietro equo compenso è cosa secondaria, o no?
Da blogger un grazie per la sua voce e, buona fortuna se continuerà a violare la “sacra legge che l’Europa lo vuole”, si buona fortuna perché in questo strano paese alle rassicurazioni seguono sempre gli atti dovuti che poi si tramutano in condanne assurde, e questo paese è pieno di gente multata o processata per le motivazioni più ridicole, e non avrebbe nessuna solidarietà, perché le direbbero subito che “in fondo poteva adeguarsi oppure… non scrivere”, cosa mi puzza di censura, ma di sicuro sbaglio, in fondo questo è il paese migliore del mondo, e come si fa il caffè e la pasta qui ce lo invidiano tutti…
Giugno 10th, 2015 at 08:18
Sì. E d’altra parte non può essere un caso occuparsi dei cookie e non delle cose che contano. Sulle seconde non possono far nulla, sui primi possono far mettere un etichetta che ad ogni sito ti ricorda che il Garante esiste.
Ho smesso di credere all’incompetenza. Qui siamo alla manipolazione.
Giugno 10th, 2015 at 10:04
se devo veramente pagare 150 euro per ogni sito che ho collegato ad analytics sono rovinato.
Giugno 10th, 2015 at 10:33
Ma all’estero c’è stato lo stesso nostro casino?
Giugno 10th, 2015 at 10:59
Notificare il trattamento al Garante se hai gli Analytics, per me e’ una sonora stupidaggine. E me ne prendo ogni resposnabilita’, come avvocato.
Per il resto, pur con qualche imprecisione giuridica (es.: sempre la notifica), considererei anche questo
http://giovanniscrofani.it/2015/06/09/quando-il-garante-ti-prese-sul-serio-e-scrisse-la-cookielaw/
Giugno 10th, 2015 at 11:30
Daniele l’avevo letto ma è scritto in maniera talmente elegante ed allusiva che non ci ho capito nulla. Sull’obbligo in questione io sono contento se è una sonora stupidaggine ma mi piacerebbe che qualcuno lato garante lo scrivesse in un italiano corrente (ma mi accontenterei anche del tuo punto di vista)
Giugno 10th, 2015 at 11:42
Massimo, lo so che c’e’ qualcuno che lo dice, ma occorrerebbe valutare anche la competenza giuridica della fonte.
Quanto al Garante, mi sa che coi suoi ultimi chiarimenti ha fatto piu’ casino che altro.
Giugno 10th, 2015 at 12:24
Un articolo bellissimo che nella sua semplicità è disarmante.
Da diffondere assolutamente!
Grazie :)
Giugno 10th, 2015 at 12:28
Una considerevole fetta della percezione negativa nei confronti della cookie law mi pare frutto di un isteria collettiva che finisce per sragionare, travisare la realtà e perdere di vista il senso del provvedimento.
Mettere un bottone like di Facebook o un bannerino pubblicitario di Google permette a questi di tracciare la navigazione di ogni lettore da un sito all’altro. E questa non è una cosa da niente, perché sono proprio questi i dati su cui campano i titani di Internet, e sono proprio questi i dati di cui sono tanto ghiotti i servizi segreti.
Aumentare la coscienza dei lettori e degli editori del web è uno dei fini della legge, ed è anche uno dei migliori modi per contrastare la sempre crescente minaccia alla privacy. Questa è la via che il buonsenso ci consiglia, al di là dei difetti tecnici della nuova normativa.
Giugno 10th, 2015 at 12:38
Aumenta la coscienza quando scrivi la ricetta sul tuo blog se no ti multo di 120.000 euro. Bello eh?
Io tutt’oggi non riesco a scoprire quali cookies scarica una pagina quando mi collego perché a seconda di dove guardo (impostazioni di Firefox, Ghostery, siti che analizzano le pagine e te lo dicono) i risultati sono diversi. Pensa un po’ se poi sbaglio a scrivere l’informativa e, dura lex sed lex, mi arriva a casa il conto?
Giugno 10th, 2015 at 12:44
Ma dove sta scritto che un blog personale e’ soggetto alla normativa sulla privacy? E’, invece, scritto l’esatto contrario: art. 5 d.lgs. 196/2003
Giugno 10th, 2015 at 13:41
[…] meglio è per tutti, ma su questo tema vi rimando alla battaglia che sta facendo, quasi da solo, Massimo Mantellini sul suo blog), il mercato invece va esattamente dall’altra parte. Ovvero, cosa ci dicono le Grandi Compagnie […]
Giugno 10th, 2015 at 14:32
In tutto questo nessuno dice cosa fare di preciso se si incorporano contenuti da youtube, ustream, vimeo e via discorrendo. Almeno youtube ha l’opzione senza cookie ma il resto del mondo?
Giugno 10th, 2015 at 15:36
Daniele per chi non è avvocato che dice l’art. 5 d.lgs. 196/2003 e come si applica tenendo conto della cookies law a un blog personale che ha i pulsanti per condividere sui vari social network e incorpora video o altro, come praticamente fanno tutti i blog personali oggi?
Giugno 10th, 2015 at 19:31
L’ipotesi che questa sia una trovata dei “poteri” per mettere in difficoltà i blogger indipendenti mi sembra una sonora cavolata.
È semplicemente il risultato di tante mediocrità italiane, dall’incapacità di concepire regole semplici e farle valere, al problema delle Authority di dover dimostrare che esistono, al parassitismo di chi sulle complicazioni inutili ci campa.
PS: giusto per buttarne lì un’altra, come la mettiamo con i siti realizzati con Google Sites, usato anche in ambito professionale?
C’è una mezza soluzione per l’informativa breve e dubito che abbia le caratteristiche per soddisfare i requisiti della legge.
Giugno 10th, 2015 at 21:01
L’art 5 del d.lgs. 196/2003 (Codice Privacy) dice cosi’ (specie il comma 3):
*****
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
3-bis. [abrogato] (1)
*****
Giugno 10th, 2015 at 21:40
Avete notato la soluzione di amazon?
Riporto l’inizio:
Visitando i siti di Amazon con il browser impostato in modo che accetti i cookie, o utilizzando i dispositivi, le applicazioni mobili o altri software di Amazon, indichi di voler utilizzare i prodotti e i servizi di Amazon e acconsenti all’utilizzo dei cookie e di altre tecnologie necessarie per visualizzarli, come descritto in questa informativa e nella nostra Informativa sulla Privacy (versione desktop di Amazon.it). La sezione seguente spiega come modificare le impostazioni del tuo browser in modo che tu possa essere avvisato quando ricevi un nuovo cookie o per consentirti di disabilitare i cookie.
Giugno 10th, 2015 at 22:01
Se non si riferisce a cookie di profilazione, e’ una discreta stupidaggine (quella di Amazon)
Giugno 10th, 2015 at 22:02
Su Amazon non c’è l’informativa breve. Forse non vengono inviati cookie traccianti prima del login? La home page invia 13 cookie, tutti tecnici? Non ho trovato l’elenco dettagliato dei cookie sul sito.
Giugno 10th, 2015 at 22:03
@Riccardo Lora troppo facile, se non sbaglio il garante ha già detto che le modifiche lato browser (che in altri paesi bastano e avanzano) non sono sufficienti
Giugno 10th, 2015 at 22:09
Ma certo che le modifiche lato browser non c’entrano (ma non so mica se l’ha detto anche il Garante).
Ma la vogliamo finire di improvvisarci giuristi?
Giugno 10th, 2015 at 22:10
@Argia
Ma cosa vuol dire *cookie traccianti*? Dove li trovi nelle varie fonti normative?
Giugno 10th, 2015 at 23:13
@Daniele: volevo dire cookie di profilazione.
Giugno 10th, 2015 at 23:19
Ecco, iniziamo ad usare i termini giusti.
Come ho appena avuto modo di dire a qualcuno in privato, di tutta questa vicenda la cosa che mi fa incavolare e’ che c’e’ gente che chiude o minaccia di chiudere blog, dunque vuole smettere di esercitare i propri diritti costituzionali anche nel nostro interesse, sulla scorta di tutte le stupidaggini – spesso random – che voi, pur ignoranti in materia, sentenziate.
Le leggi sono una cosa seria.
Nel concreto, non so precisamente cosa faccia Amazon, ma non vedo come si possa scalare il tutto ad un blog.
Giugno 10th, 2015 at 23:39
Vedo diversi siti di grandi aziende che non hanno messo l’informativa breve, anche se usano cookie di profilazione (lo scrivono nell’informativa estesa).
Sarà mica una cosa della serie “ci provino ad agire legalmente, noi abbiamo legioni di avvocati”?
Giugno 11th, 2015 at 00:09
Vediamo come la cookie-law migliorerà il web! Bah… ho i miei dubbi che questa legge apporterà qualche beneficio. Ti faccio i miei complimenti per l’articolo, molto interessante, diverso dai soliti: “devi fare questo e quell’altro per metterti in regola” ecc. Finalmente un pensiero libero! Un saluto :)
Giugno 11th, 2015 at 10:00
Grazie per avermi dato le parole pacate con cui spiegare ai miei “pazienti” che tutta la baracca in questione e’ una %”$%5!!!£4 3%”5=?) 6357 … ;-)
Purtroppo la gente reagisce con apprensione alle bestialita’ che ci vengono propinate dai legislatori e dai “garanti” ed e’ disposta a pagare centinaia di euro anche se non ha niente da temere,
solo perche’ “non si sa mai, cosi’ siamo di sicuro in regola …”
Saluti, quoto i commenti di tutti !
Giugno 13th, 2015 at 16:30
@Daniele Minotti: che il provvedimento generale, e più estensivamente il D.Lgs 196/2003 non si applichi ai blogger lo dice lei, visto che l’art. 5 che cita tira in causa la “diffusione del dato”.
Certo per un blogger il fine del trattamento del dato è di carattere personale, ma basta semplicemente avere la possibilità di commentare un post del blog per fare diventare il commento “dato destinato a diffusione”. E dato identificativo nel caso sia associato a un’utenza.
Inoltre il trattamento delle informazioni a fini di profilazione lo effettuano società commerciali – per il tramite – del sito o del blog in questione, tramite che proprio il Garante ha chiamato in causa nel suo provvedimento.
Relativamente poi alle informazioni contenute nell’articolo che ha scritto poi per agendadigitale.eu, la inviterei a riflettere su quanto lei ha qui scritto: “Ma la vogliamo finire di improvvisarci giuristi?”
Ecco, lei non si improvvisi tecnico.
I cookies NON SONO piccoli files, NON SI INSTALLANO e NON SI DISTINGUONO in nessuna categoria.
E’ solo la finalità del trattamento delle informazioni che un cookie (indistinguibile tecnicamente da un altro) fa stabilire se un determinato cookie è utilizzato per una determinata finalità piuttosto che un altra.
E questa finalità la può dichiarare SOLO ED ESCLUSIVAMENTE il soggetto che utilizza e tratta il dato ricavato dal cookie. Quindi, per fare un esempio, solo leggendo le finalità del trattamento di una società come Google rispetto ad un determinato cookie è possibile stabilire se si tratti di una finalità tecnica, profilante, o quant’altro.
Per finire la invito, quindi, a non fare disinformazione ulteriore su questa materia e a creare ulteriore confusione rispetto a quella che già si sta manifestando.
Grazie
Giugno 13th, 2015 at 18:07
Inoltre mi chiedo. Se lei continua a sostenere che un blogger personale non è soggetto alla normativa sulla privacy, perchè sul suo blog personale (non il sito del suo studio ma proprio il suo blog personale) ha reso l’informativa ai sensi dell’art 13 del Codice sulla Privacy?
Non sta dicendo che non è soggetto?
Giugno 14th, 2015 at 09:37
[…] Cookie Law: il buonsenso non la consentirebbe ::: manteblog […]
Giugno 14th, 2015 at 20:33
Il Garante nel provvedimento è andato oltre quello che la legge italiana e la disciplina europea gli chiedevano di fare.
I successivi chiarimenti non aiutano molto.
Concordo con Alleja su questo:
[…] I cookies NON SONO piccoli files, NON SI INSTALLANO e NON SI DISTINGUONO in nessuna categoria.
E’ solo la finalità del trattamento delle informazioni che un cookie (indistinguibile tecnicamente da un altro) fa stabilire se un determinato cookie è utilizzato per una determinata finalità piuttosto che un altra.
E questa finalità la può dichiarare SOLO ED ESCLUSIVAMENTE il soggetto che utilizza e tratta il dato ricavato dal cookie. Quindi, per fare un esempio, solo leggendo le finalità del trattamento di una società come Google rispetto ad un determinato cookie è possibile stabilire se si tratti di una finalità tecnica, profilante, o quant’altro. […]
In particolare, solo i gestori dei cookie di terze parti sono titolari dei relativi trattamenti perché sono gli unici che possono deciderne le finalità (la prima parte è solo il tramite attraverso il quale questa gestione può essere effettuata, ma cosa viene fatto a monte non può saperlo) e può cambiarla senza che nessuno ne sappia nulla…
Abbiamo predisposto una informativa che soddisfa i requisiti della normativa nazionale ed europea sui cookie per i blog free su WordPress.com, la trovate qui:
https://lamiaprivacy.wordpress.com/benvenuti/
Qui trovate l’ultimo di una serie di articoli sull’argomento:
#cookielaw: esame senza sconti degli ultimi chiarimenti del Garante – http://wp.me/p5ltXn-hm
@lamiaprivacy #privacy #epicfail #nonchiudeteiblog
Giugno 14th, 2015 at 22:54
Tra l’altro, il Garante oltre ad essere intervenuto inopinatamente sulle modalità di espressione del consenso in forma semplificata, potere a lui non concesso visto che le forme semplificate del consenso sono stabilite a priori nel D. Lgs 196/03 stesso per categorie ben specifiche, ha proprio stabilito che l’informativa la debba dare un soggetto diverso dal titolare del trattamento.
La funzione setcookie() che imposta il valore del cookie nel browser dell’utente viene attivamente inviata all’header direttamente dal server della “terza parte” quindi quella variabile viene impostata esclusivamente dal server della “terza parte”.
Ovvero “l’archiviazione delle informazioni” nel browser dell’utente la svolge direttamente la “terza parte”. Senza tanti giri di parole o “tramiti” strani come vogliono farci credere.
E fino a prova contraria, da nessuna parte, proprio nessuna, nel D.Lgs 196/03 è scritto che il Garante possa attribuire ad altri la responsabilità di rendere l’informativa (semplificata o meno) e acquisire il consenso se non al Titolare del trattamento stesso (o suoi incaricati).
Quindi la normativa nazionale, ma anche europea, è un completo buco nell’acqua.
Giugno 23rd, 2015 at 11:36
[…] No, questo sbilenco e fin troppo manicheo discorso sulle potenzialità della Rete rappresenta, nonostante tutto, una fantastica risorsa per il solo fatto che già troppe volte abbiamo fallito l’opportunità di attivare un genuino processo critico nei confronti del rapporto che questo pezzo di mondo intrattiene con tutto ciò che non è sensibile al tatto, declassando a banali onanismi intellettuali di settore le denunce riguardanti la quasi-approvazione di un decreto che avrebbe reso l’Italia il primo paese al mondo a legalizzare l’utilizzo diffuso di “remote computer searches” attraverso spyware di stato e le altrettanto inquietanti iniziative del legislatore in tema di educazione al web e cookie law. […]
Novembre 11th, 2015 at 12:14
[…] legge, lo hanno detto in molti, è sciocca. E’ beyond common sense. Non mi interessa commentarla, ma voglio usarla come spunto per un discorso […]