Entrata in vigore il 3 giugno 2015, in data 05 giugno 2015 il Garante pubblica i primi Chiarimenti normativi in materia di cookie, per confermare e chiarire alcuni punti della normativa in materia di cookie nota come Cookie Law (meglio descritta nel precedente articolo “Cookie Law: cosa fare …”), al centro di dibattiti e polemiche.
Nel proseguo dell’articolo sintetizziamo di seguito i punti emersi.
Argomenti trattati
Ambito di Applicazione
Nel nostro precedente articolo avevamo già chiarito diversi aspetti, ed in particolare evidenziato come ogni sito debba valutare e agire in base al tipo di cookie installati. In aggiunta a ciò, il garante ha fatto la seguente precisazione:
“Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa.”
In altre parole: il Garante precisa che chi non installa alcun cookie (nemmeno tecnico) non deve fare nulla. Per il resto, valgono le precisazioni che abbiamo indicato nel paragrafo “COSA DEVI VERIFICARE” del precedente articolo, dove si precisava che se un sito installa solo COOKIE TECNICI, allora dovrà adattare solo l’informativa “estesa” (detta anche cookie policy) potendola anche includere della privacy policy; non sarà, invece, obbligato al banner preventivo.
Utilizzo dei cookie analitici di terze parti
Il Garante precisa in quali casi i cookie analitici di terze parti possono essere assimilati a cookie tecnici:
In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
Dal punto di vista tecnico, è quindi necessario fare l’anonimizzazione degli IP degli utenti (su piattaforme come Google Analytics) di modo che il codice di tracciamento possa essere utilizzato con il solo obbligo di specificarlo nella cookie policy.
Inoltre:
L’mpiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.
In altre parole: oltre all’anonimizzazione degli IP, è necessario anche controllare il contratto del fornitore di statistiche e verificare nei Terms Of Service che questi s’impegni contrattualmente a non utilizzare i dati per fini ulteriori a quello di erogare il servizio di statistiche. Se tale specifica non è indicata, voi siete tenuti ad operare come in presenza di “cookie profilanti di prime parti”.
Uso di piattaforme che installano Cookie
Parliamo ora dei cookie profilanti di terze parti: informato della difficoltà tecnica legata a questo punto, il garante sostiene che è stato concesso – proprio per questo – un periodo finestra di un anno, e che rimane obbligatorio avvisare e preservare l’utente:
In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.
Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.
Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.
In altre parole: se il tuo sito utilizza widget sociali, banner, mappe (es. di Google maps), video (es. di Youtube), plugin sociali, AdSense, etc… si deve bloccare tutto in attesa di ricevere prima il consenso dell’utente: quindi, è necessario realizzare subito un banner con informativa breve, che avvisa l’utente immediatamente all’accesso al sito/pagina, con rimando all’informativa estesa. Confermiamo ancora la validità di scritto nel precedente articolo, nella sezione dedicata a “L’INFORMATIVA”.
Un chiarimento importante è il seguente:
Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.
Sempre in merito ai cookie di terze parti, il Garante sottolinea che la normativa riguarda solo i siti che utilizzano cookie per erogare messaggi pubblicitari mirati:
Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.
Modalità di acquisizione del consenso
Il Garante precisa che il consenso all’utilizzo dei cookie può avvenire sia in modo palese, cliccando sul pulsante ‘OK’, sia in modo tacito proseguendo la navigazione nel sito: questo significa che se l’utente clicca su un punto qualsiasi interno alla pagina o su un link in essa presente, il consenso s’intende tacitamente acquisito. E’ necessario che tale attività sia rilevata in un apposito cookie tecnico.
Il proseguo della navigazione potrebbe avvenire anche tramite scroll di pagina:
Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.
In altre parole: anche lo scroll di pagina è considerato consenso se è chiaramente indicato nell’informativa breve (banner) e se l’evento possa essere registrato in un cookie tecnico.
Applicazione della normativa ai siti con sede in Paesi Extra UE
Si tratta dell’affermazione che fa discutere forse più di tutte: il Garante sosterrebbe che un qualsiasi sito, se visitato da un utente italiano sul cui pc vengono installati dei cookie, deve adeguarsi.
In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato”
Penso che difficilmente una società americana con un sito americano potrebbe essere sanzionata… sorvoliamo quindi sull’aspetto tecnico e giurisprudenziale di questo punto.
Notificazione in caso di gestione di più siti
Nel caso di cookie profilanti di prime parti, il gestore è tenuto ad effettuare un unico atto di notifica al garante, anche in caso di gestione di più siti, elencandoli tutti.
…In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco.
Infografica del Garante
Per rendere ancora più chiaro l’argomento, il Garante ha pubblicato la seguente infografica, reperibile anche all’indirizzo http://www.gpdp.it/cookie:
Come indicato all’inizio dell’articolo, trovate il documento completo del Garante a questo link, mentre una guida completa su cosa fare nel nostro precedente articolo.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!