Consiglio di Stato francese sui cookies

Una sentenza del Consiglio di Stato francese sui “témoins de connexion”, che certamente costituirà una base giurisprudenziale per il futuro.

La storia: il Garante Francese (CNIL) ha sanzionato una casa editrice in quanto il loro sito web utilizzava cookies di terze parti senza informare gli utenti (e quindi senza averne ottenuto il consenso); la società ha successivamente impugnato il provvedimento del CNIL davanti al Consiglio di Stato francese.

Nella sentenza, che rigetta il ricorso della casa editrice e conferma la sanzione del CNIL, il Consiglio di Stato specifica che:

  • i cookies tecnici possono essere “installati” senza consenso;
  • per i cookies di terze parti, anche se necessari per il sostentamento del servizio, occorre informare ed ottenere il consenso;
  • il browser non costituisce un valido strumento per ottenere il consenso all’utilizzo dei cookies, in quanto esso non consente una “scelta informata” ne la libera e “granulare” opposizione ad essi.

Inoltre, si stabilisce che il Titolare del Trattamento (il proprietario del sito) ha tutti gli obblighi che derivano dall’uso dei cookies, anche se sono servizi di terzi, ed addirittura esso ne deve garantire i tempi massimi di conservazione, fissati in 13 mesi.

Dalla sentenza si evince che (almeno in Francia) i siti web che utilizzano cookies di terze parti debbono informare preliminarmente l’utente (banner) ed ottenere il consenso “granulare” per ciascun cookie (o classe di cookies).

Il punto centrale della sentenza è quello relativo al fatto che il browser (tramite le relative impostazioni sui cookies) non può essere utilizzato come strumento per determinare il consenso dell’utente all’utilizzo dei cookie di terze parti.

Ritengo comunque che la sentenza “farà scuola” in tutta Europa.

Firefox e Privacy by Design

Successivamente alla piena entrata in vigore del Regolamento, ricevo molte richieste sui cookies e le relative informative dei siti web.

Vorrei proporre, ai miei 4 occasionali visitatori, una nuova prospettiva dalla quale approcciare il problema.

Dapprima voglio ricordare come molti survey, effettuati da più parti, indicano come i visitatori dei siti web non si soffermano quasi mai a leggere l’informativa, neanche quella semplificata; è quindi errato il concetto alla base.

Propongo quindi di spostare il problema su di un diverso ambito; quello di privacy by design.

Coloro che visitano un sito web utilizzano un software definito web browser; si tratta quindi di un software che gli utenti possono liberamente configurare (anzi devono, se tengono alla propria privacy).

Purtroppo molti non conoscono bene le implicazioni conseguenti ad una errata o mancata configurazione; nello specifico vorrei focalizzare sulla gestione dei cookies di Firefox.

Prendiamo come browser di esempio Firefox in quanto molto conosciuto e da sempre paladino delle libertà in rete; nella sua configurazione di default, esso consente la creazione di tutti i cookies, anche di terze parti, e la conservazione sino alla loro scadenza (impostata dal codice del sito web che lo ha generato).

Questa non è una configurazione “privacy by design”; la configurazione privacy migliore sarebbe quella di non accettare nessun cookie.

Dato che spesso tale configurazione non consente il corretto funzionamento del sito (moltissimi siti utilizzano cookie tecnici per il loro funzionamento) la configurazione minimale e funzionante è quella che indico nella immagine soprastante: accetta solo cookie di prima parte e conservali sino alla chiusura del programma.

In questo modo, non verranno resi possibili cookies di terze parti, mentre quelli tecnici saranno rimossi alla chiusura del browser.

Proporrò ai creatori di Firefox di impostare, durante l’installazione del software, tali parametri come di default.

Molto più semplice e lineare che costringere milioni di siti ad arrampicarsi sugli specchi per rendere compliant i loro servizi, farciti di servizi di terze parti.

Ritengo che questo dovrà valere per ogni software, dispositivo o app che gli utenti possano installare.

Certo, occorrerà una nuova mentalità; spero che il GDPR, ma anche il prossimo Regolamento e-privacy, contribuiranno a tale mutamento.

Cookie Law e GDPR

Dopo quasi tre anni dalla applicazione della famosa cookie law, il bilancio non è molto positivo.

Quasi tutti si sono abituati a bypassare il banner senza neanche leggere (facendo scroll della pagina o chiudendo con il pulsante).

Addirittura, in alcuni siti che trattano temi relativi alla privacy, vengono usati cookie di terze parti che non appaiono molto “compliant” al tema trattato.

Per non parlare di quei siti che scrivono nel banner “usiamo cookie per renderti felice e per migliorare la tua vita” e poi piazzano cookies di profilazione ed altri sistemi di tracciamento.

Dal 25 maggio, immagino che molte di queste cosette cambieranno …