Cookies, Terze Parti, titolari autonomi, contitolari: facciamo chiarezza

24 agosto 2022Ultimo aggiornamento 29 febbraio 2024
Tempo di lettura stimato: 6'
Torniamo a parlare di cookies. Stavolta torniamo su una questione che mi dà un po’ di noie: la questione della titolarità, contitolarità e quant’altro, e della poca trasparenza. Ne ho parlato in un live di Raise Academy con Christopher Schmidt, Data Privacy Specialist, Magister of Law e Law Tutor, quando abbiamo analizzato insieme le Linee Guida del Garante sui cookies e i provvedimenti degli altri paesi dell’UE. 

Quello che segue è solo un estratto, trovi l’intervista completa su Raise Academy. 

Google, Facebook, LinkedIn… tutti questi grandi carrier sono titolari autonomi, responsabili o contitolari? 

Andrea Chiozzi: C’è un problema di trasparenza con i grandi carrier e quindi anche di trasparenza nei confronti dell’interessato al trattamento che arriva sul nostro sito. 

Christopher Schmidt: Sì. Già informare un interessato è difficile. Viene sul mio sito web personale e devo dirgli "Io ho qualcosa di Google (Analytics, per esempio), però non riesco proprio a spiegarti che cosa sta succedendo con questi dati, cosa si fa, per quali fini vengono trasmessi, dove esattamente..."

Perché queste informazioni sono di Google, sono segrete, sono informazioni non disponibili. Quindi informare in modo trasparente un interessato, fargli sapere che cosa viene fatto col suo indirizzo IP, cosa viene fatto con tutti i meta dati del browser, quanto è grande lo schermo, i fingerprint... non è possibile, perché queste cose non si sanno.

L'argomento della trasparenza, soprattutto, si sente molto da parte delle autorità. E ci sono anche altri problemi che non possiamo, da entità individuali, risolvere così facilmente.  Di conseguenza, se non è chiaro chi è responsabile e chi non lo è, allora siamo tutti titolari del trattamento e quindi “responsabili davanti alla legge”. 

Andrea Chiozzi: Ritengo importante quello che hai detto e vorrei puntualizzare alcune cose. Innanzitutto, questo: fermo restando che la contitolarità potrebbe succedere, a oggi non ci sono contratti che ci permettono di farlo con i grandi carrier. Quindi, per tutto quello che riguarda Google, Facebook e compagnia, bisogna scordarsi il concetto di contitolarità. Che loro lo dicano o non lo dicano, che lo dichiarino o meno, noi, come Consulenti, come aziende, che dobbiamo e vogliamo lavorare con loro, dobbiamo capire che la contitolarità, oggi, non è possibile

Un domani magari usciranno dei contratti fatti benissimo sulla contitolarità con Facebook – dico Facebook perché è il primo che ne ha parlato - e andrà tutto bene, ma oggi così non è. Tutti questi grandi carrier non possono essere responsabili esterni al trattamento, perché possono in autonomia decidere eventuali aggiunte di finalità, che a oggi magari non sono neanche esplicitate, sono loro che decidono le regole, non sei tu.

Quindi, se io sono autonomo, non sono il tuo responsabile. Perché il responsabile non è autonomo, lo è solo nel perimetro che il titolare del trattamento gi ha dato. Nessuno di questi grandi può essere responsabile.

Quelli piccolini - la web agency piccolina, che ci fa il sito web, che ci ospita il sito web, con cui riesco a costruire e a dare delle regole di comportamento - quella può essere invece responsabile esterno al trattamento. Ma è proprio una differenza tra il piccolo e il grosso, in questo caso: è inutile che ci giriamo intorno. 

Sono tutti uguali?
No! Uno fattura miliardi di dollari, l'altro no.

Cookies e Terze Parti: cosa dicono le FAQ del Garante

Andrea Chiozzi: Quindi, non è che ci rimangono tantissime strade. L'unica cosa che trovo interessante, non tanto nelle Linee Guida del Garante, ma nelle FAQ delle Linee Guida del Garante italiano, è il fatto esplicitare la figura della Terza Parte

Perché il Garante italiano nelle sue FAQ dice: "Ok, io capisco che tu sei piccolino e che Google è grande. Capisco che tu possa/debba utilizzare dei cookies. Nel momento in cui userai dei cookies o dei beacon o dei fingerpints, degli oggetti tecnologici, che permettono il trattamento di dati - te li fornisce Google, ma tu poi ci guardi dentro, ci fai marketing sopra, ci fai tu profilazione sopra, quindi non li rendi anonimizzati - tu lo devi dichiarare e quindi entri nel concetto di chiedere il consenso eccetera”.

Però io capisco che se tu dici "Io uso Google, gli dico di anonimizzare, Google mi dice che i dati me li dà anonimi (e io, titolare, non li riesco a vedere, ma Google i dati veri li vede!), allora indicami che Google è la Terza Parte. Indicami dove il navigatore può trovare l'informativa o le regole che ha Google, e poi spara a lui la problematica." È nelle FAQ delle Linee Guida, neanche nelle Linee Guida. 

E infatti ELMO, il nostro consent manager, ha proprio la gestione delle Terze Parti. 

Christopher Schmidt: Torno sul concetto di contitolarità e da bravo avvocato direi "Aspettatemi un secondo, perché ci sono almeno due problemi". Punto primo. Il concetto della contitolarità non richiede un accesso ai dati personali. Esistono casi con due contitolari, di cui uno è senza l'accesso ai dati. Comunque, è sempre e rimane contitolare. 

Quindi ha tutto il rischio addosso.

Andrea Chiozzi: Sì, sì, sì. Questo non cambia. Il "rischio Google" se lo tiene lo stesso.  

Christopher Schmidt: Secondo. I dati finiscono comunque in America e abbiamo il problema della sentenza Schrems II. Bisogna fare molta attenzione perché, in molti casi, ci vuole una DPIA, per valutare se questo trasferimento si può fare o se le garanzie per i diritti e le libertà degli utenti europei non sono rispettati in altri Paesi. 

Andrea Chiozzi: Faccio un esempio: la Russia, server farm in Marocco, Algeria, Egitto...

Christopher Schmidt: Anche lì, esistono delle opinioni di esperti su Sud America, Russia e Cina. È davvero complesso. Non voglio dire che non si debba più usare niente, perché non è vero. Però il fatto che ci siano dati fuori dall'UE diventa una cosa molto più complessa rispetto a due o tre anni fa. Dico “Pensateci bene se non abbia senso prendere un altro servizio o se quel servizio può essere self hosted, nei vostri server in Europa o almeno presso un fornitore di servizi europeo, per evitare almeno questa cosa e avere un problema in meno”. 

Andrea Chiozzi: È fondamentale la consapevolezza di quello che sto facendo, perché e con quali strumenti. Anche i responsabili IT - che sono quelli a cui di solito viene demandata la scelta tecnologica - piuttosto che i responsabili marketing, devono capire che la scelta degli strumenti e dei partner deve passare anche da una valutazione sul trattamento dei dati. Non dico solo, ma anche. E quando faccio una gara, la mia valutazione passa anche per la valutazione sulla compliance al GDPR dello strumento. È obbligatorio! È un po’ come avere il bollino della marcatura CE.

Non posso esimermi dal non fare questa valutazione.

Dopo che l'ho fatta, a fronte del costo, delle features tecniche, tutto quello che vuoi, io darò evidenza del perché ho fatto quella valutazione e già lì sono a 2 o 3 passi avanti rispetto a chi dice "Ho scelto Google perché... boh! Me l'hanno proposto, c'era solo quello, lo usano tutti..."

Christopher Schmidt: Ci sono le alternative. Non dico per tutti, soprattutto per i grandi, per cui facciamo fatica a trovare una cosa robusta - e lo capiscono anche le autorità -, ma per le cose comuni (un tracker, un log, un tool di newsletter) le alternative ci sono. Non stanchiamoci di cercarle. 

Andrea Chiozzi: Tra l'altro, quando fai un po' di ricerca, si scoprono anche delle perle, cose assolutamente interessanti che, se ci fossimo seduti a dire "Usiamo questo perché è quello che usano tutti", non le avremmo trovate. Quindi, in realtà, è anche una giusta evoluzione del mercato. Ma lo fai se hai il pallino del "devo verificare anche quello".

E TAG Manager?

Andrea Chiozzi: TAG Manager. Cosa ne pensi? Se ne parla in Germania? Io personalmente lo vedo come la peste, perché lo trovo pericolosissimo. 

Christopher Schmidt: Non usarlo. Se possibile consiglio di non usarlo. Se già pensiamo a tutta la complessità di Google Analytics, un tool che fa integrare diversi servizi, sotto un unico cappello, diventa ancora più difficile da gestire non solo dal punto di vista tecnologico, ma soprattutto legale. Già se parliamo di titolare, di chi fa che cosa e per quale finalità, lì siamo nel buio. Quindi, se non possiamo spiegarla noi una cosa, come possiamo spiegarla agli interessati e all'autorità?

Andrea Chiozzi: E cosa dire dei pulsanti “condivi su Facebook/Twitter…”, beacon, i log, i Font di Google, che sono belli, per carità, ma con diversi problemi? Nel live parliamo anche di questo. 

Vuoi saperne di più? 
Iscriviti alla Raise perché questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Data Privacy Specialist, Magister of Law, Law Tutor

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy