Aggiornamento cookie policy giugno 2016: La normativa per i cookie, per la cookie policy e per la privacy è cambiata ed è stata aggiornata. In un nuovo articolo di Agendadigitale completo e aggiornato l’avvocato Antonino Polimeni spiega cos’è un cookie, cosa prevede la cookie law, la legge e la normativa sui cookie, per poi entrare nel dettaglio su cosa sono i cookie tecnici, i cookie di terze parti e i cookie analitici. Infine l’articolo include anche una guida su come fare una cookie policy e spiega come avvengono le sanzioni e la notifica al garante. Leggi la nuova guida sulla cookie policy e normativa per la privacy per analytics, adsense e per i cookie in generale.
Non chiamatela novità. I cookie sono oggetto di provvedimenti, regolamentazione e divieti sin dal preistorico (digitalmente parlando) anno 2002.
La direttiva europea 2002/58/CE, relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche esprime, tra i considerando, un concetto poi ripreso da tutte le successive norme recanti gli stessi argomenti: “Allorché tali dispositivi, ad esempio i marcatori (“cookies”), sono destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell’informazione, il loro uso dovrebbe essere consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull’apparecchiatura terminale che stanno utilizzando. Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale. L’accesso al contenuto di un sito Internet specifico può tuttavia continuare ad essere subordinato all’accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi.”.
Non serve alcuna interpretazione.
I cookie sono vietati da sempre se non oggetto di espresso consenso da parte dell’utente.
Lo stesso Codice Privacy, nel 2003 introduceva l’argomento: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (Art. 122 Decreto legislativo 30 giugno 2003, n. 196).
Google Adsense e Google Analytics, ognuno nel suo mercato, sono leader indiscussi e godono di una copertura mondiale che ormai non ha concorrenza.
Entrambi i servizi utilizzano cookie, di profilazione Adsense e tecnici Analytics.
Conseguentemente, come deve comportarsi il gestore del sito internet che utilizza uno o entrambi gli strumenti di Google?
La direttiva 2009/136/CE è la prima ad introdurre l’ipotesi in cui siano dei terzi a richiedere l’installazione dei cookie: “Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, “cookies”) o implicare un’intrusione ingiustificata nella sfera privata. Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili.”.
Il provvedimento n. 229 del Garante della Privacy stabilisce che i cookie di terzi necessitano di un avviso, i cookie di profilazione devono essere consensuati, mentre i cookie di analisi del traffico non sono soggetti al consenso dell’utente ma solo “laddove utilizzati direttamente dal gestore del sito”.
Vediamo quindi come comportarsi con Google Analytics.
Va innanzitutto rilevata l’infelicità dell’espressione “laddove utilizzati direttamente dal gestore del sito”. Che vuol dire? I cookie di Google Analytics li “utilizzo” io che ho installato il servizio e ne usufruisco per le mie analisi o li utilizza Google? Senza dilungarmi in interpretazioni letterali la risposta mi arriva direttamente da Michela Massimi che, in qualità di funzionario del Garante Privacy mi conferma: “sono cookie di Google quindi non vanno esaminati come cookie tecnici, sebbene lo siano, ma vanno trattati come cookie di terzi”.
Quindi, in base al dettato del provvedimento, alle regole, agli esempi ed alle f.a.q. del Garante, chi si serve di Google Analytics dovrà utilizzare la seguente configurazione:
- banner semplificato all’apertura tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti, c) si indica il link all’informativa completa d) si comunica che comunque è possibile scegliere di non autorizzare i cookie di analisi tramite il sito del terzo.
- informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché le informazioni relative al link all’informativa privacy di Google Analytics.
Google Adsense invece installa cookie di profilazione. In tal caso sarà necessario richiedere il consenso, nella qualità di intermediari tecnici, anche per conto di Google.
Ed allora la configurazione sarà:
- banner semplificato all’apertura del quale non devono essere preventivamente installati i cookie di Adsense e tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti c) si richiede il consenso nella qualità di intermendiari tecnici, d) si indica il link all’informativa completa, e) si comunica che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.
- informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché le informazioni relative al link che indirizza all’informativa privacy di Google Adsense.
Allo stato, la difficoltà maggiore è quella di impedire che, sotto il banner semplificato, Adsense continui a lavorare installando i suoi cookie. Come già detto i cookie dovranno essere installati solo dopo il consenso dell’utente.
Una soluzione tecnica ce la offre Gualtiero Santucci, SEO Specialist e consulente web marketing: “visto che, come risaputo, il codice fornito da Google, per regolamento, non si può variare, al fine di poter mostrare gli annunci solo a consenso avvenuto, stiamo sperimentando una soluzione che consenta di gestire gli script inserendoli in porzioni di codice html+js+css con delle proprie classi, senza inficiare il funzionamento di Adsense”
Appare subito evidente che per rendere effettive ed efficaci queste nuove norme, si devono possedere nozioni di html, di javascript, di grafica e di css oppure, in alternativa, si dovranno cercare soluzioni a pagamento.
“Qualsiasi sito – continua Santucci – per vivere ha bisogno che tutto funzioni in modo perfetto, ogni pagina è fatta per catturare l’attenzione dei visitatori, per sottoporre agli stessi i messaggi pubblicitari, per portarli a concludere delle azioni tramite passaggi ben studiati, dettati da precise tecniche di marketing. L’efficacia delle conversioni di un sito si gioca sul filo dei secondi e gli addetti ai lavori sanno bene quanto ogni attimo di ritardo porti a mancate conversioni. Quale impatto avranno queste complicazioni sulla funzionalità dei siti web e sul mercato?”.
