Ma gestire un sito internet (qualunque) è attività pericolosa? Domande al Garante

Ma gestire un sito internet (qualunque) è attività pericolosa? Domande al Garante Mi sforzerò di essere meno qualunquista del solito e di non fare terrorismo psicologico: la domanda mi è venuta leggendo il provvedimento del Garante Privacy sui cookies dell’8 maggio 2014. Lo stesso Garante, del resto, consapevole della bomba che deflagrerà quando anche i mass media tradizionali se ne accorgeranno (e pure la rete che pare assopita), prevede un anno di periodo transitorio per potersi conformare alle modalità semplificate previste dal provvedimento (non entro del merito della legittimità della sospensione – apprezzabilissima – all’applicazione di una norma di legge, ad opera di un provvedimento di un’autorità indipendente), dicendosi “consapevole dell’impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo”. So bene che il provvedimento discende dall’articolo 122 del Codice Privacy nella versione introdotta da decreto legislativo che a sua volta recepisce direttive comunitarie. So bene tutto questo, so bene che i cookies possono in determinate occasioni risultare subdoli (perché poco conosciuti e persistenti) strumenti di profilazione e, in generale, di trattamento illecito dei dati. So bene che la logica della regolamentazione – comunitaria e nazionale – prevale su tutto e ben difficilmente avrà un freno, perché, prima di tutto, alimenta se stessa e coloro che se ne nutrono. Qui però si tratta di fare una valutazione ad ampio raggio, avendo presente che non si tratta solo di questione economica (oneri per titolari e gestori di siti internet per adeguarsi alle prescrizioni del Codice Privacy e del Garante Privacy) ma di libertà di espressione, (ripeto, non voglio estremizzare, non è nella mia natura), perché la mancata informativa anche in un semplice blog, magari in relazione a cookies di terze parti utilizzate dalla piattaforma di cui ci si avvale e di cui non si sapeva neppure l’esistenza, potrà comportare l’irrogazione delle sanzioni del Codice Privacy che sono piuttosto pesanti (si veda il provvedimento). Mi si dirà: l’applicazione sarà ragionevole e di conseguenza anche le sanzioni. Figuriamoci se mi fido della ragionevolezza! Anche perché, ad esempio, i confini della nozione di informativa incompleta sono piuttosto labili, e lasciano ampi margini di discrezionalità (nel bene e nel male). Domando al Garante: in cosa consiste la semplificazione? l’informativa breve (banda, banner, pop up, ecc.) si somma comunque a quella integrale da pubblicare sul sito; era ammissibile pensare ad una differenziazione di adempimenti tra siti, salvi i casi di trattamenti più delicati? la piattaforma di commercio elettronico ha esigenze diverse dal blog; non si poteva prevedere la possibilità di consentire cancellazioni/consensi a blocchi? ad esempio “accetta/rifiuta tutti i cookies di sessione funzionali alla navigazione del sito”; per i siti che utilizzano solo cookies analytics (e sono tanti), potevano ipotizzarsi esenzioni? ad esempio, scrivere nel footer: “questo sito utilizza Google Analytics e i relativi cookies” e fine degli incombenti. E poi la domanda delle domande (ma questa non è per il Garante): vale la pena? ossia, applicando i principi di necessità e proporzionalità cari alla privacy, gli adempimenti richiesti sono necessari e proporzionali all’obiettivo? Scritto da Antonio Zama