La Informativa e consenso per l’uso dei cookie - Garante Privacy dice che per “cookie di profilazione” si intendono

(domanda 5, grassetti qui e nelle altre citazioni miei): “i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

e alla domanda successiva “È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?" risponde:

****Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.  Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

La spiegazione ufficiale di Google su come il suo server DoubleClick utilizza i cookie per far funzionare il sistema di banner pubblicitari Adsense dice testualmente che: DoubleClick utilizza i cookie per migliorare la pubblicità. Alcuni usi comuni dei cookie includono la selezione della pubblicità in base a ciò che è pertinente per un utente per migliorare i rapporti sul rendimento delle campagne e per impedire che l’utente visualizzi annunci già mostrati in passato. ** L’ID cookie di ogni cookie DoubleClick è essenziale per questi usi.** Ad esempio, DoubleClick utilizza gli ID cookie per tenere un log degli annunci da mostrare sui vari browser. Quando è il momento di pubblicare un annuncio su un browser, DoubleClick può utilizzare l’ID cookie del browser per verificare quali annunci DoubleClick sono già stati mostrati tramite quel determinato browser. In questo modo DoubleClick non mostra agli utenti gli annunci già visualizzati.[…]

I cookie di DoubleClick non contengono informazioni che consentono l’identificazione personale degli utenti. A volte il cookie contiene un identificatore supplementare che è simile in apparenza a l’ID cookie. Questo identificatore viene utilizzato per identificare una campagna pubblicitaria a cui è stato esposto un utente in precedenza. Nel cookie, però, DoubleClick non memorizza informazioni che consentono l’identificazione personale degli utenti.

In altre parole, quando salti da un sito con Adsense all’altro, Google non sa (non da quei cookie, almeno) che ti chiami Mario Rossi e abiti a Corso Garibaldi 1. Però sa benissimo (e lo deve sapere, sennò come farebbe a capire cosa è pertinente per te e quali annunci hai già visto?) che sei sempre lo stesso utente che martedì ha visitato la sezione “Bellezze esotiche” di Playboy.com, mercoledì ha cercato informazioni sulle malattie veneree e giovedì ha comprato un biglietto low cost per Bangkok. Oppure quello che visita sempre solo siti di cucina fai-da-te, quindi è inutile mostrargli pubblicità di ristoranti. Cosa rivela della vostra navigazione precedente il banner in questa pagina?

Ora, se metto insieme:

• la spiegazione ufficiale di Google di come lavorano i cookie di Adsense

• la definizione ufficiale del Garante di “cookie di profilazione”

• il fatto che il Garante (come Google, d’altronde) parla **solo **di utente, cioè di specifico individuo ma… _indipendentemente _dal fatto che se ne conoscano nome e cognome (per dire: sempre il Garante il 6 maggio 2015 ha ricordato che va protetta “sia la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account…sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line”).

a me viene spontaneo concludere che usare anche solo Adsense, anche solo per pagarsi i costi di esercizio di un sito significa, per il Garante, “installare cookie di profilazione di terze parti”, cioè avere gli obblighi visibili nell’ultima riga dell‘Infografica del Garante sui cookie, di cui questa è una schermata parziale:

Ovvero che, per essere in regola, un sito con Adsense, non deve nè far notifiche al Garante nè pagargli 150 Euro, ma DEVE sia avere un banner che informi i visitatori che se usano il sito verranno profilati anche lì, sia ricevere il loro consenso prima che _i server di Google, _non il sito stesso, gli  installino i cookie di Adsense nel loro browser. L’ultima cosa è possibile tecnicamente, QUANDO sul sito è possibile installare software extra (plugin), e pare anche in accordo con le condizioni d’uso di Adsense, visto che Google vieta esplicitamente solo le “alterazioni del codice AdSense che aumentino in modo artificioso il rendimento degli annunci o danneggino le conversioni degli inserzionisti”. Però…

Conclusioni?

Nessuna! Proprio nessuna nessuna. Io per ora di policy sui cookie ho questa, appena possibile l’aggiornerò e installerò un plugin Open Source per bloccare i banner fino a consenso, se esiste (se sì, ditemelo, grazie). O magari toglierò proprio i banner. In ogni caso,** non sono un avvocato**, o un qualsiasi altro tipo di vero esperto su questo argomento. È possibilissimo, ripeto: possibilissimo che abbia capito male e/o mi sia sfuggito qualcosa, ditemelo nei commenti. In questi giorni potete trovare senza sforzo sia avvocati che sostengono le stesse cose che ho appena scritto, sia avvocati che sostengono proprio il contrario. Quindi, non sognatevi di fare o non fare qualsiasi cosa solo in base a questa pagina. Queste sono solo robette sul tema “cookie law vs adsense”, messe insieme un po’ perché potrebbero far comodo a qualcuno, ma soprattutto per “svuotarmi” la testa e non pensare più a questo strazio per qualche giorno. Al massimo, spiegano perché questa norma e tutta la confusione fattagli intorno mi fanno sentire come se avessi mangiato cibo avariato.

Nota finale: se il Garante della Privacy ci vivesse davvero, in questo secolo e paese su cui ha il dovere di vigilare e regolare, il 99% dei dubbi e polemiche sulla “cookie law” li avrebbe stroncati sul nascere semplicemente fornendo risposte secche stile Sì/No, ma ufficiali, a domande da 140 caratteri, ergo forzatamente semplici… dal suo account Twitter ufficiale. Che non esiste. Appunto. Se esistesse un account del genere, probabilmente avremmo già finito di polemizzare. Magari diremmo comunque che è una legge cretina, ma potremmo dirlo facendo esempi inoppugnabili.

Ringraziamenti: a tutti quelli a cui in questi giorni ho rotto parecchio le scatole (costruttivamente e in buona fede, credetemi!) per cercare di capirci qualcosa. Voi sapete chi siete.