Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

la guida

Tutto quello che dobbiamo sapere sui cookie: per la privacy, come utenti o gestori

di Antonino Polimeni, avvocato

23 Giu 2016

23 giugno 2016

Sia che siamo semplici utenti sia che abbiamo un sito web, è possibile che ci sfugga qualche aspetto importante su questi piccoli file di testo. Le recenti regole privacy richiedono un ulteriore approfondimento di questo materia. Vediamo tutto quello che bisogna sapere, a partire dalla base fino alle istruzioni per fare una cookie policy

Siamo sicuri di sapere tutto sui cookie? Sia che siamo semplici utenti sia che abbiamo un sito web, è possibile che ci sfugga qualche aspetto importante su questi piccoli file di testo. Le recenti regole privacy richiedono un ulteriore approfondimento di questo materia. Vediamo tutto quello che bisogna sapere, a partire dalla base fino alle istruzioni per fare una cookie policy.

 

COSA SONO I COOKIE

Ogni volta che visitiamo un sito web questo lascia innumerevoli tracce sul nostro browser e, più in generale sul nostro pc. Tecnicamente siamo noi che, collegandoci ad una determinata URL, richiediamo al server di inviarci tutte le componenti di un sito web, come immagini, testi, layout.

Tuttavia, il sito, oltre ad inviarci ciò che in effetti vediamo, ci invia tutta una serie di altri file che vanno a “parcheggiarsi” sul nostro hard disk e, tra questi, ci sono i cookie.

I cookie sono dei piccoli file di testo necessari affinché il server del sito web che li ha installati possa ottenere informazioni sulla specifica attività che l’utente compie su quelle pagine web.

Detti file possono essere temporanei e cancellarsi al termine della singola sessione oppure possono rimanere “nascosti” nei meandri delle cartelle del nostro pc, rientrando in collegamento con l’applicazione web ogni volta che l’utente si riconnette al medesimo server remoto.

Sfatiamo subito un mito: i cookie non sono pericolosi, né ci vengono inviati per chissà quale fine occulto. Anzi, senza essi molti siti web non potrebbero funzionare.

Il cookie più diffuso è quello “di sessione” che contiene i dati relativi al login o al “carrello” e-commerce o alla scelta del volo che state acquistando. E’ necessario per dare alle pagine che trovate durante il percorso di navigazione o d’acquisto, le informazioni relative alle vostre scelte. Senza questi cookie i siti con aree riservate o con percorsi “a step” non potrebbero esistere: si pensi ai servizi di social network, home banking, o, anche più semplicemente, la nostra casella di posta elettronica

Esistono poi i cookie non essenziali, tramite i quali l’applicazione web “studia” in un certo qual modo, le azioni, le preferenze, i dati relativi all’utente.

Questo avviene a fini di analisi, per conoscere quali siano le provenienze dei visitatori, gli strumenti di connessione, la frequenza delle visite, le preferenze di determinate pagine al posto di altre, così da poter migliorare sempre più il servizio offerto.

Altre volte, invece, l’installazione dei cookie avviene a fini di marketing, per non “disperdere” le pubblicità e selezionare il target esatto a cui mostrate un determinato banner o annuncio.

Il cookie che “conosce” le mie preferenze, mi mostrerà esclusivamente advertising alla quale potrei essere realmente interessato, con ottimizzazione delle campagne dell’investitore e con minore bombardamento pubblicitario per l’utente

È proprio, in particolare, su questi ultimi file che è intervenuta la legge a tutela della privacy del consumatore, stabilendo strette direttive a cui tutti i siti internet devono adeguarsi, dando la possibilità all’utente di conoscere cosa sta avvenendo nel substrato di un sito web e di decidere se accettare, eliminare, bloccare determinati cookie.

 

COOKIE LAW: COSA PREVEDE LA LEGGE E LA NORMATIVA SUI COOKIE

La normativa italiana sulle modalità di utilizzo dei cookie da parte degli operatori internet si basa sui contenuti di un testo emanato, dotto forma di provvedimento, nel maggio 2014, dal Garante per la Protezione dei Dati Personali, meglio conosciuto come Garante della Privacy, recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie. Il testo, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, parte dal recepimento di numerose direttive comunitarie in tema di protezione dei dati personali e dai suggerimenti pervenuti all’Autorità Garante da parte dei maggiori operatori nei servizi di comunicazione elettronica, dalle associazioni dei consumatori e delle categorie economiche i cui interessi sono stati toccati dalla pubblicazione del regolamento.

La nuova regolamentazione ha avuto un impatto tutt’altro che trascurabile nei confronti degli operatori informatici: i cookie infatti, come detto, sono ormai elementi essenziali per il buon funzionamento e per la corretta visualizzazione di quasi tutti i siti internet. Ed inoltre, il provvedimento ha espressamente previsto che ad esso debba adeguarsi qualsiasi sito internet effettui un “utilizzo dei cookie” nei confronti di cittadini italiani, indipendentemente dal fatto che il sito stesso, o il suo gestore, abbia sede nel nostro paese o all’estero.

La regolamentazione della gestione dei cookie prende spunto dalla normativa italiana vigente in materia di trattamento dei dati personali: l’articolo 122 del Codice della Privacy prevede infatti che le informazioni derivanti dalla tracciatura del profilo di un utente, possano essere utilizzate esclusivamente se tale utente ha manifestato espressamente la propria disponibilità ad utilizzare questi dati.

Da tale premessa deriva la ratio legis, per cui chiunque utilizzi cookie ha l’obbligo di informare l’utente sull’uso di questi e sul tipo di finalità che si intendono perseguire tramite gli stessi.

Dunque, come deve comportarsi il titolare di un sito web che vuole mettersi a norma per non rischiare le pesanti sanzioni previste dalla legge?

Innanzitutto è bene analizzare i propri cookie per comprenderne usi e funzionalità.

Da questa analisi, deriverà il tipo di informativa, banner, consenso che il titolare del sito dovrà utilizzare.

 

COOKIE TECNICI, COOKIE DI TERZE PARTI, COOKIE ANALITICI

Al fine di poter essere interpretata con assoluta chiarezza, la normativa fa una buona categorizzazione, chiarendo le differenti tipologie di cookie presenti sui siti web. Rispetto al provvedimento del Garante, per semplicità espositiva noi aggiungeremo una terza categoria di cookie alle due previste nel documento ufficiale e così procedendo possiamo parlare di: cookie tecnici, cookie analitici e cookie di profilazione.

1) I cookie tecnici sono quelli che permettono al sito di funzionare correttamente, consentendo al visitatore una migliore navigazione del sito.

2) I cookie analitici sono invece quelli destinati a fornire al gestore del sito dati meramente statistici come ad esempio il numero totale di visitatori del sito e di ogni sua pagina per ciascuna determinata fascia oraria.

3) Diversa, infine, è la classificazione data ai cookie di profilazione: stando a quanto espressamente dice l’Autorità per la Privacy, tali strumenti servono a creare dei profili relativi all’utente che li incontra durante la sua navigazione, tale profilo viene poi utilizzato a scopi commerciali, attraverso l’invio di messaggi pubblicitari creati su misura in base ai gusti ed alle preferenze manifestate in rete dall’utente profilato.

Un’altra sub-distinzione effettuata dal legislatore, prende invece in considerazione il soggetto che materialmente trasmette il cookie tramite il sito web aperto dall’utente: sommariamente, ma non per questo in modo meno esaustivo, il regolamento del Garante ha provveduto a distinguere tra cookie di prime parti e cookie di terze parti.

L’interpretazione letterale è quella che di fatto rende meglio l’idea: il legislatore ha voluto distinguere tra i cookie trasmessi dal proprietario del sito internet, ed i cookie trasmessi da soggetti terzi, di cui, come spesso accade, il proprietario del sito ne ignora la quantità raccolta e le finalità per le quali vengono poi sfruttati.

Ognuna delle predette categorie (1,2,3), incrociate con la distinzione “prima/terza parte” fa sorgere l’esigenza di un determinato tipo di comportamento delle informative privacy e informative cookie del sito web.

Proprio la presenza di cookie di terzi rappresenta la questione legalmente più difficile da inquadrare: da una parte c’è la necessità di dare consapevolezza al visitatore del sito su chi siano i destinatari delle proprie informazioni e del proprio profilo, dall’altra c’è anche la necessità di garantire usabilità e leggerezza al sito stesso.

In merito a tale considerazione e prima di passare all’analisi e ai modi di redazione delle info cookie, appare necessario evidenziare un’accortezza tecnica, imposta dal Garante della Privacy. Quest’ultimo ha infatti stabilito che, per quanto concerne i cookie di profilazione e, in generale, di terze parti, non indispensabili alla navigazione del sito stesso, il titolare del sito debba inserire un sistema che sia in grado di bloccare questi cookie prima che il visitatore presti il suo consenso a trasmetterli.

Dal punto di vista tecnico, questo aspetto è stato il problema maggiore introdotto dalla normativa emanata dal Garante a cui persino i sistemi di CMS si sono dovuti adeguare.

 

COME FARE UNA COOKIE POLICY

Al fine di informare l’utente, il Garante ha previsto che l’avviso agli stessi debba manifestarsi in due modi distinti, attraverso l’informativa breve e l’informativa estesa. A seconda del caso andranno utilizzate entrambe o meno.

Vediamo innanzitutto come redigere dette informative per poi incrociarle con i vari tipi di trattamento.

A) L’informativa breve è necessaria per quei casi in cui si rende necessario il consenso vero e proprio dell’utente (altre volte è sufficiente solo informare l’utente, senza raccoglierne il consenso) e compare all’utente attraverso un banner, non appena questo entra sul sito internet (indipendentemente dal fatto che entri dalla home page o da un’altra pagina).

Il Garante ha stabilito che tale informativa contenuta nel banner deve avere delle dimensioni tali da lasciar percepire all’utente una discontinuità tra il suo contenuto e la pagina web visualizzata. In altre parole il banner deve essere un elemento della pagina ben distinguibile e non può in alcun modo confondersi con i contenuti della pagina visualizzata dall’utente.

Il Garante ha inoltre precisato quale contenuto deve essere obbligatoriamente presente nel banner, nello specifico ha previsto che esso contenga:

– l’avviso all’utente che il sito utilizza cookie di profilazione, e, se il sito se ne avvale, del fatto che tali cookie possano essere anche di terze parti.

– l’indicazione relativa alla facoltà dell’utente di accettare o rinunciare in totale autonomia alla visualizzazione del sito web.

– l’indicazione del fatto che continuando con la navigazione del sito web si presta automaticamente il consenso all’utilizzo dei cookie.

– l’indicazione di un link di rinvio alla pagina in cui si trova l’informativa estesa.

Il banner può essere predisposto con un tasto recante l’approvazione del consenso e, inoltre, il regolamento dell’Autorità prevede la possibilità, da parte del proprietario del sito web, di predisporre un cookie tecnico al fine di non ripetere il banner ai visitatori che hanno già in precedenza fornito il proprio consenso.

Attraverso questo sistema l’utente è consapevole della presenza di cookie e può dunque scegliere o meno se proseguire con la navigazione. Rappresentano l’accettazione del consenso sia il click sul banner sia la prosecuzione della navigazione del sito (spesso viene utilizzata l’accettazione della presenza dei cookie tramite il semplice scrolling della pagina eseguito attraverso il mouse).

B) Quanto all’informativa estesa, il Garante della Privacy ha precisato che in essa debbono necessariamente essere presenti tutte le informazioni richieste dall’articolo 13 del Codice della Privacy.

Nello specifico, tali informazioni riguardano innanzitutto le finalità per cui vengono raccolti i dati attraverso i cookie, i soggetti che possono utilizzare o semplicemente entrare a conoscenza dei dati raccolti, ed infine, i dati del responsabile aziendale per il trattamento dei dati sensibili.

Inoltre la cookie policy del sito deve contenere informazioni riguardanti la natura facoltativa o obbligatoria dei dati raccolti e le conseguenze per l’utente di un suo eventuale diniego a fornire i dati.

Se il sito web trasmette cookie di terze parti, il titolare del sito deve fornire tutte le indicazioni su tali soggetti ed integrare la propria informativa con dei link alle cookie policy di tali terze parti.

L’informativa estesa deve essere raggiungibile attraverso il link contenuto nel banner dell’informativa breve, inoltre, un ulteriore link, deve essere riportato nella parte inferiore di ciascuna pagina del sito internet.

Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. A tel fine si rende necessario elencare i cookie utilizzati e le singole e relative finalità.

In base a quanto detto sin ora e a quanto stabilito dal provvedimento 229 dell’8 Maggio 2014 del Garante Privacy, nonché dai successivi chiarimenti, analizziamo quindi i vari casi, per orientarci sui modi di adeguamento dei siti web.

Di seguito elencherò i tipi di cookie incrociati con la distinzione prima/terza parte e indicherò il tipo di adeguamento necessario per il sito web.

·         cookies tecnici (navigazione, lingua, carrello e-commerce, autenticazione): creare solo informativa estesa, anche in un’altra pagina, con link diretto dall’home page, elencando i tipi di cookie tecnici e le finalità;

·         cookies analytics propri (prima parte): i chiarimenti del Garante del 05/06/15 li hanno assimilati in tutto e per tutto ai cookie tecnici. Pertanto, come nel caso precedente, anche qui sarà sufficiente creare solo informativa estesa ex art. 13 Codice Privacy, con le stesse modalità indicate sopra;

·         cookies analytics di terzi (come Google Analytics): informativa breve con banner semplificato anche senza consenso tramite il quale si avverte che il sito consente l’invio di cookies di terze parti + informativa estesa ex art.13 necessaria esclusivamente per il cookies tecnico prima parte che “ricorda” il consenso ma che includa anche le indicazioni delle informative privacy dei terzi;

·         cookies di profilazione propria: informativa breve con banner semplificato di consenso espresso tramite il quale si avverte che il sito consente l’invio di cookies di profilazione  + link ad informativa completa ex art. 13 Codice Privacy;

·         cookies di profilazione altrui (come Adsense ads): informativa breve con banner semplificato di consenso espresso tramite il quale si avverte che il sito consente l’invio di cookies di profilazione di terze parti + link ad informativa completa ex art. 13 Codice Privacy per il cookies tecnico che “ricorda” il consenso ma che includa anche le indicazioni delle informative privacy dei terzi”;

Esempi pratici: informative cookie per Google Adsense e Google Analytics

Google Adsense e Google Analytics, ognuno nel suo mercato, sono leader indiscussi e godono di una copertura mondiale che ormai non ha concorrenza.

Entrambi i servizi utilizzano cookie, di profilazione Adsense e tecnici Analytics.

Conseguentemente, come deve comportarsi il gestore del sito internet che utilizza uno o entrambi gli strumenti di Google?

In base al dettato del provvedimento, alle regole, agli esempi ed alle f.a.q. del Garante, chi si serve di Google Analytics dovrà utilizzare la seguente configurazione:

–          banner semplificato all’apertura tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti, c) si indica il link all’informativa completa  d) si comunica che comunque è possibile scegliere di non autorizzare i cookie di analisi tramite il sito del terzo.

–          informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché l’elenco dei cookie installati, le relative funzioni e le informazioni relative al link all’informativa privacy di Google Analytics.

Google Adsense invece installa cookie di profilazione. In tal caso sarà necessario richiedere il consenso, nella qualità di intermediari tecnici, anche per conto di Google.

Ed allora la configurazione sarà:

–          banner semplificato all’apertura del quale non devono essere preventivamente installati i cookie di Adsense e tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell’utente, b) si avverte che il sito consente anche l’invio di cookie di terze parti c) si richiede il consenso nella qualità di intermendiari tecnici, d) si indica il link all’informativa completa,  e) si comunica che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.

–          informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (necessarie solo per il cookie tecnico installato) nonché le informazioni relative al link che indirizza all’informativa privacy di Google Adsense.

Allo stato, la difficoltà maggiore è quella di impedire che, sotto il banner semplificato, Adsense continui a lavorare installando i suoi cookie. Come già detto i cookie dovranno essere installati solo dopo il consenso dell’utente.

Una soluzione tecnica ce la offre Gualtiero Santucci, SEO Specialist e consulente web marketing: “visto che, come risaputo, il codice fornito da Google, per regolamento, non si può variare, al fine di poter mostrare gli annunci solo a consenso avvenuto, stiamo sperimentando una soluzione che consenta di gestire gli script inserendoli in porzioni di codice html+js+css con delle proprie classi, senza inficiare il funzionamento di Adsense”

Appare subito evidente che per rendere effettive ed efficaci queste nuove norme, si devono possedere nozioni di html, di javascript, di grafica e di css oppure, in alternativa, si dovranno cercare soluzioni a pagamento.

“Qualsiasi sito – continua Santucci – per vivere ha bisogno che tutto funzioni in modo perfetto, ogni pagina è fatta per catturare l’attenzione dei visitatori, per sottoporre agli stessi i messaggi pubblicitari, per portarli a concludere delle azioni tramite passaggi ben studiati, dettati da precise tecniche di marketing. L’efficacia delle conversioni di un sito si gioca sul filo dei secondi e gli addetti ai lavori sanno bene quanto ogni attimo di ritardo porti a mancate conversioni. Quale impatto avranno queste complicazioni sulla funzionalità dei siti web e sul mercato?”.

 

SANZIONI e NOTIFICA AL GARANTE

La nuova regolamentazione richiama espressamente le norme del Codice Privacy relative alle sanzioni per il mancato rispetto degli obblighi previsti dalla stessa.

Il Garante ha previsto sanzioni molto pesanti per chi non ottempera agli obblighi di legge, infatti per chi non adegua il proprio sito internet alle disposizioni introdotte, la sanzione pecuniaria prevista varia da un minimo di 6 mila euro ad un massimo di 36 mila euro.

Ancor più ingenti sono le sanzioni combinate a chi utilizza cookie di profilazione senza il permesso dell’utente: in tal caso la multa varia da un minimo di 10 mila ad un massimo di 120 mila euro.

La stessa somma, 120 mila euro, è richiesta a chi non provvede ad effettuare la comunicazione della propria attività di profilazione tramite cookie all’Autorità garante.

Detto ciò, so che una dichiarazione come quella che sto per fare potrebbe essere scambiata per acqua che tiro verso il mio/nostro mulino, ma nella presente guida, in una rivista così autorevole e qualificata, non posso esimermi dal dare un consiglio importante.

I professionisti, gli avvocati, i consulenti, solitamente hanno un’assicurazione professionale (o comunque dovrebbero averla). Una consulenza per la redazione di un’informativa cookie ha un costo davvero irrisorio. Rivolgersi ad un esperto privacy vorrebbe dire affidarsi a lui per l’adeguamento del sito web e, contemporaneamente, tramite un ordinario meccanismo di incarico professionale e relativa responsabilità prevista dalla legge italiana, il committente avrebbe il diritto di rifarsi sul professionista (se italiano e regolare) se le eventuali sanzioni comminate dovessero dipendere da un errore nella redazione dell’informativa.

In ultimo, per completare il quadro, appare opportuno rilevare che, per chi trasmette in modo diretto cookie di profilazione o analitici di terzi, sorgerebbe inoltre l’obbligo di comunicare preventivamente la propria attività al Garante della Privacy, al fine di istituire una sorta di albo delle aziende che raccolgono dati personali attraverso internet a fini commerciali. Tale obbligo si scontra con una prassi poco recettiva sull’argomento. E a mio parere, sebbene io debba essere un uomo di legge, il costringere normativamente chiunque utilizzi ad es. Google Analytics ad effettuare notifiche al Garante è una pratica che non riuscirà ad attecchire nel terreno del web, la cui velocità di crescita e capacità di rinnovarsi poco si incontrano con prassi burocratiche macchinose. La legge dev’essere modellata sulla realtà dei fatti. Viceversa, quest’ultima difficilmente riuscirà a prendere le forme imposte dalle normative.

www.antoninopolimeni.it

  • Cla

    La ringrazio per questa guida molto utile ed esaustiva.
    Volevo chiederle: se il dominio è un .com, se il server su cui è “hostato” il sito si trova a Londra, ma chi sviluppa il sito è in Italia, l’informativa privacy/cookie a quale legge dovrebbe riferirsi? All’art. 13 del d.lg. n. 196/2003 – Codice in materia di protezione dei dati personali? In tal caso bisogna fare riferimento al fatto che il database con i dati di fatto risiede a Londra?
    Altra cosa: nel caso si utilizzasse Adsense, va notificato il garante spendendo 150€ anche se il sito è un semplice blog appartenente ad un privato, non ad una azienda?
    Grazie,
    Claudio

  • giogio

    Invece di investire soldi nel curare le paranoie di quei pochi che sono ancora convinti che i cookie possano arrecare danno a qualcuno, qui si fa spendere una valanga di soldi ai gestori di siti, ore di lavoro devastate a implementare soluzioni di banner districandosi tra il codice. E si distruggono, come succede spesso, tutti i piccoli siti a budget limitato che non sono in grado di pagarsi un professionista per un pezzo di codice complicato come quello del banner.
    Pessimo. Mi chiedo ancora quale criterio ci sia dietro a tutta questa pesantezza sulla privacy in Europa, se non estrema paranoia, da curare quindi. Non da assecondare.

Articoli correlati