I titolari dei siti in rivolta: la norma italiana non si può applicare all’estero, inoltre costa 150 euro. La discriminante era inizialmente il luogo del server, ora sembra valga ovunque.
di Daniele Bartolucci
La Cookie Law non ha ancora mietuto vittime – nessuna sanzione nei primi giorni di assestamento, ha promesso il Garante Privacy italiano – ma il mondo del web è in subbuglio e già si annunciano le prime clamorose proteste. In pieno stile italiano, infatti, la protesta è arrivata solo dopo la scadenza della proroga di un anno concessa dalla legge per adeguare i siti alle nuove disposizioni introdotte a giugno 2014, anche se gli obblighi in materia di cookie derivano da una normativa europea da ultimo modificata nel 2009 – e recepita in Italia con un decreto del 2012 – che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo. Anche se in ritardo, la protesta ha un senso, in quanto la nuova normativa mette o potrebbe mettere a rischio migliaia di piccoli siti, compresi i blog, che utilizzano cookies di profilazione, in quanto solo per questi è prevista la serie di adempimenti più importante e onerosa. Il Garante ha infatti diviso i cookies in due macrocategorie, ‘tecnici’ per cui basta in pratica l’informativa, e ‘profilanti’ per cui oltre all’informativa e la richiesta di consenso (anche tramite il banner con il campo ‘ok’), occorre notificare al Garante italiano il titolare del trattamento dei dati e il luogo in cui questa operazione avviene, e se il primo è all’estero, va nominato un rappresentante in Italia (è il caso dei siti che hanno un server in Italia e l’azienda madre, quindi il titolare del trattamento dati, a San Marino).
La notifica, va specificato, avviene unicamente attraverso il modulo scaricabile attraverso il sito del Garante Privacy e la procedura ha un costo di 150 euro, che per grosse aziende o comunque imprese commerciali non è un granché (anche se appare come una sorta di tassa nascosta), ma che per un sito amatoriale o il classico blogger è un onere tale da scoraggiarlo a proseguire con la sua attività. Ed è anche per questo che la petizione online #bloccailcookie ha riscosso subito un successo plebiscitario, per chiedere al Garante che “i cookie di statistica anonimizzati siano esenti dall’obbligo di consenso preventivo, in quanto la terza parte non accede ai dati disaggregati di analytics a livello di IP”, “che venga convocato un tavolo con le comunità di sviluppatori dei principali CMS open source affinché si dia avvio alla creazione di strumenti da rendere disponibili a tutti, anche coloro che non hanno competenze tecniche o disponibilità economica adeguate”, “che venga stabilito un periodo di tolleranza finché questi strumenti non saranno pronti in cui sia sufficiente il banner con l’informativa breve e la pagina con l’informativa estesa sull’uso di cookie da parte del sito”.
Il rischio, anche secondo autorevoli esperti di informatica e associazioni di programmatori, è che “ogni sito che incorpora video di Youtube, per esempio, o bottoni per la condivisione sui social network dovrà implementare sistemi per il blocco preventivo dei cookie. Poiché si tratta di un’operazione tecnicamente difficile, l’effetto probabile del rispetto della Cookie Law sarà l’impedimento di utilizzare strumenti e funzioni molto diffusi, con conseguente limitazione della libertà di espressione delle persone”. Tanto che Roberto Scano, presidente italiano dell’IWA, l’associazione di sviluppatori del Web, con un commento al vetriolo nei confronti di Antonello Soro – “Siamo il paese in cui un dermatologo norma biscotti in informatica. Senza audire l’associazione che rappresenta gli sviluppatori Web per legge 4/2013” – ha annunciato un esposto alla Commissione europea per violazione delle regole sugli scambi di beni e servizi nella comunità europea, laddove si scoprisse (ed è quello che l’IWA sta verificando in questi giorni) che il resto d’Europa si è adeguato alla direttiva Ue in maniera meno stringente di come ha deciso l’Italia. Il mondo del web è però diviso su questa ipotesi, tanto che Roberto Liscia, presidente di Netcomm, il consorzio del commercio elettronico italiano, e Guido Scorza, noto avvocato esperto di questi temi, concordano sul fatto che non sia il Garante ad aver interpretato male o in maniera più stringente la normativa europea, bensì che “è proprio la normativa europea che chiede queste cose”. Il Garante italiano, da parte sua, non ha commentato questa possibilità, ma ha pubblicato alcuni chiarimenti (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878) facendo capire che l’intenzione non è sanzionare i siti italiani (le multe previste arrivano a 120mila euro, ndr), ma fare in modo che chi opera sul web, gestore o utente, lo faccia in modo molto più responsabile e corretto.
Siti esteri, il Garante chiarisce o confonde?
Restano però molti dubbi sull’applicazione della normativa, compreso quello emerso anche a San Marino sulle aziende e i siti esteri. Inizialmente (si veda Fixing nr. 21) gli uffici del Garante italiano avevano dato rassicurazioni in merito, chiarendo che la discriminante sarebbe stata il luogo del trattamento dei dati, ovvero il server, e quindi se questo è a San Marino (o in un Paese extra Ue), non c’è obbligo di sottostare alla normativa italiana, né a quella europea. Il problema però, potrebbe riproporsi sotto altra forma, ovvero per evitare alcune ‘furbate’, come creare una pagina del sito su un server straniero. E così nelle pieghe della legge riemerge il comma 2 dell’articolo 5 del Codice sulla privacy, con un’accezione più restrittiva di quella che riguardava unicamente il server. Infatti al punto 6 dei ‘chiarimenti’ – Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU – si specifica l’ambito della normativa, ricordando che “la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento strumenti situati sul territorio dello Stato”. Quali sono questi strumenti, quindi? La domanda è ovvia, ma la risposta non è ancora del tutto chiara.
Il Garante ha specificato infatti che “gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia”: significa che anche una piattaforma extra Europea dovrebbe bloccare i propri cookie e implementare l’informativa? E di converso, che un qualsiasi utente italiano che visiti un sito estero qualunque (ad esempio prenotando un albergo a San Marino), dovrebbe vedersi apparire la norma come prevista in Italia, stante il fatto che i cookies vengono installati sul suo browser? La questione non è cosa da poco, come si vede, perché potrebbe rappresentare la riproposizione di una ‘webtax’ occulta, che si meriterebbe – questa sì – un esposto alla Commissione europea.
