Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Cookie Law, che fare se utilizziamo Google Analytics e Adsense

di Antonino Polimeni, avvocato

04 Giu 2015

4 giugno 2015

Una guida, dopo l’entrata in vigore della norma del Garante Privacy. Ecco come comportarci se usiamo i due servizi Google. La configurazione consigliata e una soluzione tecnica da provare

Aggiornamento cookie policy giugno 2016: La normativa per i cookie, per la cookie policy e per la privacy è cambiata ed è stata aggiornata. In un nuovo articolo di Agendadigitale completo e aggiornato l’avvocato Antonino Polimeni spiega cos’è un cookie, cosa prevede la cookie law, la legge e la normativa sui cookie, per poi entrare nel dettaglio su cosa sono i cookie tecnici, i cookie di terze parti e i cookie analitici. Infine l’articolo include anche una guida su come fare una cookie policy e spiega come avvengono le sanzioni e la notifica al garante. Leggi la nuova guida sulla cookie policy e normativa per la privacy per analytics, adsense e per i cookie in generale.

Non chiamatela novità. I cookie sono oggetto di provvedimenti, regolamentazione e divieti sin dal preistorico (digitalmente parlando) anno 2002.

La direttiva europea 2002/58/CE, relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche esprime, tra i considerando, un concetto poi ripreso da tutte le successive norme recanti gli stessi argomenti: “Allorché tali dispositivi, ad esempio i marcatori (“cookies”), sono destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell’informazione, il loro uso dovrebbe essere consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull’apparecchiatura terminale che stanno utilizzando. Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale. L’accesso al contenuto di un sito Internet specifico può tuttavia continuare ad essere subordinato all’accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi.”.

Non serve alcuna interpretazione.

I cookie sono vietati da sempre se non oggetto di espresso consenso da parte dell’utente.

Lo stesso Codice Privacy, nel 2003 introduceva l’argomento: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (Art. 122 Decreto legislativo 30 giugno 2003, n. 196).

Google Adsense e Google Analytics, ognuno nel suo mercato, sono leader indiscussi e godono di una copertura mondiale che ormai non ha concorrenza.

Entrambi i servizi utilizzano cookie, di profilazione Adsense e tecnici Analytics.

Conseguentemente, come deve comportarsi il gestore del sito internet che utilizza uno o entrambi gli strumenti di Google?

La direttiva 2009/136/CE è la prima ad introdurre l’ipotesi in cui siano dei terzi a richiedere l’installazione dei cookie: “Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, “cookies”) o implicare un’intrusione ingiustificata nella sfera privata. Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili.”.

Il provvedimento n. 229 del Garante della Privacy stabilisce che i cookie di terzi necessitano di un avviso, i cookie di profilazione devono essere consensuati, mentre i cookie di analisi del traffico non sono soggetti al consenso dell’utente ma solo “laddove utilizzati direttamente dal gestore del sito”.

 

Vediamo quindi come comportarsi con Google Analytics.

Va innanzitutto rilevata l’infelicità dell’espressione “laddove utilizzati direttamente dal gestore del sito”. Che vuol dire? I cookie di Google Analytics li “utilizzo” io che ho installato il servizio e ne usufruisco per le mie analisi o li utilizza Google? Senza dilungarmi in interpretazioni letterali la risposta mi arriva direttamente da Michela Massimi che, in qualità di funzionario del Garante Privacy mi conferma: “sono cookie di Google quindi non vanno esaminati come cookie tecnici, sebbene lo siano, ma vanno trattati come cookie di terzi”.

Quindi, in base al dettato del provvedimento, alle regole, agli esempi ed alle f.a.q. del Garante, chi si serve di Google Analytics dovrà utilizzare la seguente configurazione:

  • banner semplificato all’apertura tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti, c) si indica il link all’informativa completa  d) si comunica che comunque è possibile scegliere di non autorizzare i cookie di analisi tramite il sito del terzo.
  • informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché le informazioni relative al link all’informativa privacy di Google Analytics.

 

Google Adsense invece installa cookie di profilazione. In tal caso sarà necessario richiedere il consenso, nella qualità di intermediari tecnici, anche per conto di Google.

Ed allora la configurazione sarà:

  • banner semplificato all’apertura del quale non devono essere preventivamente installati i cookie di Adsense e tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti c) si richiede il consenso nella qualità di intermendiari tecnici, d) si indica il link all’informativa completa,  e) si comunica che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.
  • informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché le informazioni relative al link che indirizza all’informativa privacy di Google Adsense.

Allo stato, la difficoltà maggiore è quella di impedire che, sotto il banner semplificato, Adsense continui a lavorare installando i suoi cookie. Come già detto i cookie dovranno essere installati solo dopo il consenso dell’utente.

Una soluzione tecnica ce la offre Gualtiero Santucci, SEO Specialist e consulente web marketing: “visto che, come risaputo, il codice fornito da Google, per regolamento, non si può variare, al fine di poter mostrare gli annunci solo a consenso avvenuto, stiamo sperimentando una soluzione che consenta di gestire gli script inserendoli in porzioni di codice html+js+css con delle proprie classi, senza inficiare il funzionamento di Adsense”

Appare subito evidente che per rendere effettive ed efficaci queste nuove norme, si devono possedere nozioni di html, di javascript, di grafica e di css oppure, in alternativa, si dovranno cercare soluzioni a pagamento.

“Qualsiasi sito – continua Santucci – per vivere ha bisogno che tutto funzioni in modo perfetto, ogni pagina è fatta per catturare l’attenzione dei visitatori, per sottoporre agli stessi i messaggi pubblicitari, per portarli a concludere delle azioni tramite passaggi ben studiati, dettati da precise tecniche di marketing. L’efficacia delle conversioni di un sito si gioca sul filo dei secondi e gli addetti ai lavori sanno bene quanto ogni attimo di ritardo porti a mancate conversioni. Quale impatto avranno queste complicazioni sulla funzionalità dei siti web e sul mercato?”.

  • Dani

    Ma alla fine se si utilizzano cookie di profilazione di terze parti come pulsanti social, video embedded e annunci Adsense, dobbiamo effettuare o no la notifica al garante della Privacy al costo di 150 euro?

  • Anonimo

    Si legge nell’articolo che per l’utilizzo di Google Analytics occorre il “banner semplificato all’apertura tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti, c) si indica il link all’informativa completa”.
    Non è così! Per i cookie tecnici il banner non serve a nulla!

  • Antonino Polimeni

    Abbiamo un’interpretazione autentica che supera la lettera del testo del provvedimento (secondo la quale potrei essere d’accordo con Lei).
    Un funzionario del Garante sostiene che quelli di Analytics:”sono cookie di Google quindi non vanno esaminati come cookie tecnici, sebbene lo siano, ma vanno trattati come cookie di terzi”.
    Ad oggi è così. Ma cambierà.

  • gbariop

    Buonasera,
    ho un blog personale, ed ho aiutato un amico, neo-fotografo nella realizzazione del sito, utilizziamo solo google Analytics per le statistiche, anche in questo caso dovrei fare la Notifica al Garante? e se aggiungessimo dei social, ma niente adsense o simili?

  • bjsasha

    @Dani, da quanto si può capire dalle guide più o meno accreditate pubblicate sulla cookie law, la notifica al Garante deve farla solo chi, attraverso l’uso dei cookie di profilazione, detiene il controllo e la gestione dei dati da essi raccolti (ved. a pag. 15 della guida che si può scaricare a questo indirizzo ➨ http://www.assocom.org/ITA/notizia/kit-di-implementazione-della-cookie-law-.aspx ), pertanto se si è titolari di un sito che non fa uso di cookie di profilazione in prima parte (cioé questi non sono direttamente inseriti dal proprietario del sito) ma solo in terza parte (come nel caso di inserimento di plugin social, embed, etc.), non è tenuto a comunicarlo al Garante per i motivi che si leggono nella guida stessa (pag.15).

  • Andrea

    Gentile dott. Polimeni, nel testo dell’articolo si legge che “Google Adsense installa cookie di profilazione. In tal caso sarà necessario richiedere il consenso, nella qualità di intermediari tecnici, anche per conto di Google”. Stabilito questo, Le chiedo se, essendo cookie non installati dal titolare del sito, ma appunto provenienti da un soggetto terzo come Google, ciò comporti lo stesso l’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice. La ringrazio in anticipo per la risposta.

  • nulll

    Salve,
    Google Analytics offre la possibilità di anonimizzare l’indirizzo IP prima di cominciare la raccolta dei dati.
    Da diverse fonti leggo che abilitando questa modalità, non è più necessario mostrare il banner semplificato.
    Qual’è il vostro parere in merito?

    Grazie.

    Fonti:
    http://www.iubenda.com/blog/ip-anonymization-google-analytics-privacy/
    http://blog.netsons.com/cookie-law-anonimizzare-ip-di-google-analytics/

Articoli correlati