cookielaw

Cookie Law: cosa fare e come adeguare il proprio sito per adempiere alla normativa

 
Dal 3 giugno 2015 tutti i siti web dovranno essere adeguati alla “Cookie Law“, ovvero alle prescrizioni dettate dal Garante per la protezione dei dati personali, definite dal provvedimento n. 229/2014 dell’8 maggio 2014.

L’obiettivo di questa disposizione (che andiamo a dettagliare e semplificare nei punti successivi) è informare gli utenti web sulle modalità di tracciamento dei loro dati durante la navigazione web, di modo che acconsentano o meno a rilasciare determinate informazioni, che i diversi siti utilizzano per personalizzare l’esperienza di navigazione stessa (installando autonomamente frammenti di codice sul pc dell’utente).

 

La Cookie Law in breve

La nuova normativa richiede di inserire in ogni sito web un’informativa che spiega la cookie policy, informando il visitatore circa il tipo di utilizzo che il sito fa dei cookie: in base a questo aspetto, possono poi essere necessari altri interventi, che prevedono (nella maggior parte dei casi) l’inserimento di un banner con un messaggio breve ben visibile all’accesso al sito, piuttosto che ad una serie di altri interventi di tipo tecnico e normativo.

In considerazione della complessità dell’adeguamento, il Garante della privacy ha previsto un periodo transitorio di un anno che decorreva dalla pubblicazione in Gazzetta Ufficiale (avvenuta il 3 giugno 2014) per consentire ai soggetti interessati di adeguarsi.

Nel seguito di questo articolo forniamo un overview sugli aspetti principali che riguardano la normativa, al fine di semplificarne la comprensione pratica e permettervi di verificare se vi siete adeguati in modo adeguato:

I COOKIE: COSA SONO?
TIPOLOGIE DI COOKIE
RIFERIMENTI NORMATIVI
OGGETTO DELLA NORMATIVA
CHI DEVE METTERSI IN REGOLA
L’INFORMATIVA
COSA DEVI VERIFICARE
COSA DEVI FARE
SUPPORTO LEGALE
LE SANZIONI

   

I COOKIE: COSA SONO?

I cookie (letteralmente “biscottini”) sono piccoli file di testo che memorizzano diverse tipologie di informazioni sull’utente che sta visitando un sito web, come la sua localizzazione, il device da cui si collega (pc, smartphone, tablet..), il browser che usa, i suoi dati di autenticazione, le preferenze di navigazione, etc… ma possono anche memorizzare dati sulle sue abitudini e scelte personali: informazioni quest’ultime che possono essere utilizzate a posteriori per tracciare un profilo del singolo consumatore.

Quindi, oltre alle informazioni che l’utente inserisce consapevolmente nel browser quando visita un sito web o utilizza un social network, vengono rilevate altre informazioni di monitoraggio della navigazione che permettono sia di migliorare l’esperienza dell’utente sul sito, sia di gestire diverse operazioni complesse (altrimenti impossibili da gestire, come ad esempio un acquisto on line) che di profilare l’utente e proporgli una pubblicità mirata.  

 

TIPOLOGIE DI COOKIE

Ai fini dell’applicazione del Provvedimento, il Garante ha individuato due macrocategorie di cookie esentando quelli definiti “cookie tecnici” dal consenso preventivo dell’utente, ma non dalla necessità di fornire l’informativa estesa completa.
 
Cookie “tecnici”
Strettamente necessari al funzionamento e fruizione del servizio web, sono utilizzati per raccogliere informazioni in forma aggregata sulle visite al sito. Tra questi abbiamo:

  • cookie di navigazione (o di sessione)
  • cookie di autenticazione (per esempio, inserimento utente e password)
  • cookie di personalizzazione (per esempio, relativi ad attività di salvataggio delle preferenze)
  • cookie di funzionalità (per esempio, salvataggio del carrello o delle preferenze sulla lingua/valuta)
  • cookie analytics (ovvero statistici, considerati tecnici se adoperati dal gestore per raccogliere dati in forma aggregata (= senza raccogliere gli indirizzi IP) , ovvero sul numero di utenti e su come questi visitano il sito)
  • cookie flash player (se non superano la durata della sessione)
  • etc…

Per la loro natura ‘tecnica’ (essendo strettamente necessari alla fruizione del servizio web) per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.

 
Cookie di “profilazione”
servono a delineare il profilo dell’utente ed inviargli pubblicità mirata, quali:

  • cookie di profilazione pubblicitaria di prima o terza parte;
  • cookie di retargeting;
  • cookie di social network;
  • cookie di statistica gestiti completamente dalle terze parti (eccetto: cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazioni da parte di terzi, come Piwik; cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP).

Il gestore del sito, oltre i cookie di profilazione, potrebbe utilizzare altri strumenti analoghi (come ad esempio web beacon o web bug o clear.GIF) per tracciare i gusti del visitatore, anch’essi oggetto di adeguamento normativo.

Per l’installazione dei cookie di profilazione, oltre all’informativa, sarà necessario acquisire uno specifico consenso: questi sono infatti i ‘biscottini’ nel mirino del garante, in quanto tracciano un profilo più dettaglio dell’utente, con il fine di inviargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.

 
Soggetto che installa il cookie
Il cookie può essere installato dal gestore del sito o da terze parti; formalmente, si parlerà di:

cookie di prime parti (o del c.d. “editore”) = installati direttamente dal gestore del sito
cookie di terze parti = installati da terzi attraverso il sito del soggetto titolare

 

RIFERIMENTI NORMATIVI

L’iniziativa del Garante della Privacy s’inquadra nell’ambito dell’attuazione della direttiva europea 2009/136: con il provvedimento n. 229/2014 – pubblicato in Gazzetta ufficiale il 03 giugno 2014 – il Garante indica le linee guida iniziali.

Le indicazioni operative sono state definite successivamente, dalla consultazione tra il Garante stesso e le principali associazioni di categoria di riferimento del mondo online: il risultato è stato il rilascio di un kit contenente le linee guida per implementare la cookie law sul piano tecnico.

Il Garante mette anche a disposizione diverso materiale e le faq per rispondere e chiarire i vari quesiti.

 

OGGETTO DELLA NORMATIVA

Con questa disposizione, il Garante per la privacy ha vietato l’installazione dei cookie per finalità commerciali senza il consenso esplicito dell’utente.

L’obiettivo del provvedimento è quindi quello di proteggere la privacy degli utenti rispetto ai cosiddetti cookie di profilazione: così, chi visita determinate pagine web, potrà scegliere se consentire o meno all’utilizzo delle sue informazioni raccolte con finalità di pubblicità mirata.

 

CHI DEVE METTERSI IN REGOLA

Tutti i titolari dei siti web che installano cookies: pubbliche amministrazioni, imprese, professionisti, freelance, associazioni, blogger, ecc.

Nel mirino tutti i siti che installano cookie di profilazione di prime parti, ma anche siti che utilizzano cookies di terze parti (ad esempio perché includono un video di Youtube in un post).

 

L’INFORMATIVA

Per garantire la conformità con la normativa, entro il 2 giugno 2015 è necessario adottare dei modelli di informativa che siano considerati chiari per l’utente. L’informativa potrà essere resa su due livelli:

 
Informativa breve (Banner)
L’informativa breve deve essere contenuta in un banner presentato al momento del primo accesso ad una qualsiasi pagina del sito. Il banner dovrà essere abbastanza ‘discontinuo’ per farsi notare subito, e dovrà indicare:

  • se il sito utilizza cookie di profilazione (=cookie per inviare messaggi pubblicitari mirati);
  • se il sito consente l’invio di cookie di terze parti;
  • il link all’informativa estesa, con la precisazione che ivi sarà possibile negare il consenso all’installazione di qualsiasi cookie;
  • che, proseguendo nella navigazione nel sito, l’utente presterà il consenso all’installazione dei cookie

 
Il “consenso all’installazione del cookie”, da parte dell’utente, avviene tramite il click sul tasto interno al banner (tipo tasto OK oppure X per chiudere il banner) oppure con la selezione di un link o un’azione di scroll nella pagina stessa. Questo significa che il consenso s’intende automaticamente manifestato semplicemente proseguendo la navigazione nel sito: l’utente acconsente effettuando una qualsiasi azione sulla pagina, dopo aver visto il banner.

Il gestore del sito dovrà registrare il consenso in apposito cookie tecnico, che si considererà poi rinnovato automaticamente a ogni successiva visita del sito (per non proporre nuovamente lo stesso banner alle successive visite dell’utente).

L’utente deve poter comunque modificare le proprie scelte sui cookie, anche a posteriori ed a partire da qualsiasi pagina web, attraverso il link all’informativa estesa.

 
Informativa estesa (Cookie policy)
L’informativa estesa è contenuta in un’apposita pagina, oppure inserita all’interno della pagina della Privacy Policy già presente sul sito (come chiarito dal Garante Privacy nelle FAQ di chiarimento) e deve essere accessibile sia direttamente dal banner breve, sia successivamente dal footer di ogni pagina web.

L’informativa estesa contiene tutte le informazioni di dettaglio, ed in particolare:

  • gli elementi di cui all’art. 13 d.lgs. 196/20031 (“Codice Privacy”);
  • una spiegazione generale di cosa sono i cookie e della loro gestione nel browser ;
  • la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link);
  • la descrizione delle categorie di cookie tecnici suddivisi per finalità;
  • la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
  • la descrizione delle finalità dei cookie di terza parte.

In questa pagina, l’utente potrà revocare in ogni momento il consenso: inoltre, qualora il sito installi cookie “di terze parti” (come quelli per la condivisione su Facebook e Twitter) è obbligo del gestore del sito rendere l’informativa e acquisire il consenso, indicando i link alle relative informative delle terze parti.

 

COSA DEVI VERIFICARE

Gli adempimenti si differenziano a seconda dei cookie utilizzati: devi, quindi, prima di tutto verificare il tipo di attività e cookie che servono al tuo sito.

  • Sito che utilizza solo cookie tecnici (analitici di prima parte): non è necessario il banner, ma è sufficiente gestire le specifiche indicazioni sui cookie all’interno dell’informativa estesa (ad esempio, con un apposito paragrafo ‘Cookie Policy’ nella Privacy Policy).
  • Esempio: sito web che ha solo cookie tecnici che consentono la scelta della lingua di navigazione, l’autenticazione in aree riservate, etc… .

  • Sito che utilizza cookie profilanti di terze parti (non propri) “anonimizzati”: sono assimilabili al caso precedente: è sufficiente segnalarli nell’informativa.
  • Esempio: sito web che attiva il cookie di Google Analytics, ma in modalità anonimizzata: in questo modo, alla piattaforma di analytics vengono inviate informazioni in forma aggregata, che non possono ricondurre all’utente.

  • Sito che utilizza cookie profilanti di terze parti (non propri) “NON anonimizzati”: è necessario gestire l’informativa breve (tramite banner) e l’informativa estesa, nella quale dovranno essere descritti i cookie installati dal sito e indicati i link ai siti e ai moduli di consenso delle terze parti. In questo caso, sarà necessario bloccare i cookie (non tecnici) delle terze parti finché l’utente non presti il consenso.
  • Esempio: sito web che installa solo cookie tecnici, ma che consente anche l’installazione di cookie profilanti di terze parti attraverso il Pixel di Facebook (per visualizzare poi pubblicità mirata su Facebook) oppure Adsense di Google.

  • Sito che utilizza cookie profilanti di prime parti: è necessario gestire l’informativa breve (tramite banner) e l’informativa estesa, acquisire dall’utente il consenso espresso ( prima dell’installazione di qualsiasi cookie) ed effettuare la notifica al Garante Privacy .
  • Esempio: sito web che installa cookie di profilazione che, tenendo traccia delle pagine visualizzate o delle ricerche effettuate sul sito da un utente, ne ricava il profilo individuandone gli interessi e inviandogli pubblicità mirata.

Maggiori dettagli li trovi nel nostro articolo successivo Cookie Law: i chiarimenti del Garante dove trovate anche questa utilissima infografica (Ripresa dalla fonte ufficiale del sito del Garante Privacy):

cookie law infografica
cookie law infografica

 

COSA DEVI FARE

Seguire le linee guida per implementare la cookie law sul piano tecnico, che possono sintetizzarsi in:

  • Informativa (Cookie policy): attivare sul tuo sito l’informativa più adatta al tuo caso.
  • Adeguamento tecnico del sito: Oltre all’informativa, devi verificare e garantire che dal tuo sito nessun cookie di profilazione nè di terze parti venga memorizzato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza. Devi quindi implementare adeguatamente il sistema di opt-in e non installare nulla fino all’acquisizione dell’esplicita autorizzazione. Nel caso in cui, inoltre, vuoi assimilare i cookie analitici di terze parti ai cookie tecnici, devi procedere all’anonimizzazione degli IP degli utenti: ad esempio, nel caso di Google Analytics, dovrai inserire nel tuo sito, nello script di collegamento a GA, una riga di codice aggiuntiva (che potrebbe variare in base alla versione di Analytics). Un articolo che offre ai webmaster informazioni tecniche sulle procedure da attuare lo trovate su webmaster.it oppure potete consultare il sito developers.google con il gtag.js.
  • Notifica al Garante: In caso di cookie di profilazione di prime parti, il titolare del sito è obbligato alla notificazione al Garante (ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy) ovvero dovrà preventivamente comunicare la finalità di utilizzo, compilando e inviando l’apposito modulo.

Un servizio web che potrebbe esserti utile per adempiere a parte degli adempimenti è iubenda.com: è un servizio che consente di generare privacy policy e cookie policy, sia gratuitamente (se rientri nel caso dei soli cookie tecnici) sia in versione pro (per i siti che utilizzano forme di monetizzazione e cookie di profilazione). Attenzione però: Iubenda è un sistema che ti può aiutare e facilitare il lavoro, ma che va impostato in modo corretto e ragionato.

 

SUPPORTO LEGALE

Con questo articolo, abbiamo cercato di descrivere e semplificare al massimo il nuovo adempimento: tuttavia, la lettura di quanto esposto non può e non deve sostituirsi alla consulenza di un legale sul campo.

Dato che la violazione della normativa potrebbe comportare l’applicazione di sanzioni anche molto onerose, e che sono diverse le sfumature da considerare (es. la contitolarità del trattamento di cookie di terze parti quando vi sia la possibilità di accedere ai dati – da parte del titolare del sito – in forma disaggregata, ad esempio per via di particolari accordi commerciali) è opportuno sempre valutare la propria posizione avvalendosi di un legale.

 

LE SANZIONI

Le sanzioni sono molto salate:

  • per omessa o incompleta informativa, la sanzione prevista è da 6 mila a 36 mila euro
  • per l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso , la sanzione prevista va da 10 mila a 120 mila euro.
Comments are closed.