EU Cookie Law

La nuova normativa del Garante Privacy relativa all'utilizzo dei cookie nei siti web

Come mi adeguo alla nuova normativa sui Cookie emessa dal Garante per la Privacy?
Il 10 di Gennaio scorso sono entrate in vigore le nuove norme per i cookie a cui i siti web devono adeguarsi.

Cosa prevedono le nuove norme cookie 2022 e cosa fare per essere a norma? Andiamo a vedere che cosa dice la normativa!
Questo il link della Gazzetta Ufficiale

Con questo provvedimento sono state apertamente dichiarate illegittime alcune prassi in "voga" tra i vari siti web.

I cookie e gli altri strumenti di tracciamento. Le nuove norme si applicano sia ai cookie, ovvero le stringhe d'accesso che i siti web archiviano all'interno del tuo dispositivo (detti anche identificatori attivi), che agli altri strumenti di tracciamento differenti dai cookie che utilizzano identificatori passivi.

Che Cosa fare per ogni tipologia di cookie?
I cookie's si distinguono a secondo del sito web che li installa, della loro funzione e del tipo di informazioni acquisite e a secondo delle caratteristiche, vengono richiesti diversi adempimenti e regole da rispettare.

I cookie's si continuano a distinguere in cookie di prima parte e di terza parte e, quello che la nuova normativa va a specificare è l'importanza delle funzionalità e delle finalità che i cookie's stessi hanno e che ne definisce una differente implementazione.

I cookie tecnici vengono utilizzati al solo fine di permettere la fruizione del sito web e erogarne il servizio. Riguardano dati non personali e non è necessario raccoglierne il consenso da parte del visitatore del sito web.

I cookie analitici sono utilizzati per l'analisi del traffico del sito web e possono essere equiparati a quelli tecnici solo se, vengono utilizzati ai soli fini statistici, mascherando almeno la clase C (la quarta componente) dell'indirizzo IP e evitando di inviare tali dati a terzi. Nel caso quanto detto sopra non sia rispettato, sarà necessario richiederne il consenso preventivo.

I cookie di profilazione permettono di effettuare il tracciamento comportamentale, ovvero un'analisi delle abitutdini e dei comportamenti in rete del visitatore, per proporre prodotti e/o servizi pubblicitari mirati sul singolo individuo.
Per questi cookie è obbligatorio richiedere il consenso PREVENTIVO, fornire un'informativa breve attraverso quello che la nuova normativa definisce Cookie Banner oltre ad un'informativa estesa definita Cookie Policy.
Non sarà più possibile utilizzare tali cookie di profilazione, solamente perchè il navigatore "skippa" e continua a fruire del sito.
Il consenso DEVE essere ESPLICITO, liberamente concesso, speecifico, granulare ed espresso in modo inequivocabile.
Da queste caratteristiche del consenso ne consegue che non possono essere considerati legittimi i cookie wall e lo scrolling come consenso.

Alla luce delle nuove norme Cookie dal 10 Gennaio 2022, ecco alcune caratteristiche che non devono mancare nell'informativa.

La Cookie Policy.

Deve essere scritta in linguaggio semplice, comprensibile e facilmente accessibile;
Deve essere fruibile anche da parte di chi ha disabilità;
L'informativa relativa ai cookie tecnici può rimanere in home page oppure essere inserita nell'informativa privacy;
Deve indicare i destinatari e i tempi di conservazione dei dati;
Deve indicare i diritti degli interessati riconosciuti dal GDPR;
Deve dare la possibilità, in qualsiasi momento della fruizione del sito web, di modificare le preferenze già espresse in precedenza.

Il Cookie Banner

Come si raccoglie il consenso per i cookie e come deve essere strutturato il banner di richiesta.

Deve contenere il comando per chiudere il Banner senza prestarne il consenso;
Deve contenere l'indicazione che il sito utilizza cookie tecnici;
Deve avvisare che l'eventuale chiusura del "Banner" comporta il rifiuto all'utilizzo di tutti i cookie tranne quelli tecnici.
Deve indicare l'eventuale utilizzo di cookie di profilazione o altri strumenti di tracciamento, indicandone le finalità;
Deve esserci un comando per accettare o rifiutare tutti i cookie;
Deve avere un link ad altra sezione ove sia possibile scegliere capillarmente i singoli consensi;
Deve avere il link alla Privacy Policy;

Il Garante ha definito "buona prassi" l'utilizzo di una grafica (icona o altro accorgimento tecnico evidente) che visualizzi lo stato dei consensi forniti.
Inoltre non è consentito reiterare la richiesta del consenso se non nei seguenti casi:

Cambiamento significativo delle condizioni di utilizzo dei dati;
Impossibilità per la tecnologia del sito web di sapere se un cookie sia già stato memorizzato o meno nel dispositivo dell'utente.
Siano trascorsi almeno 6 mesi dala precedente dichiarazione di consenso.

A che cosa serve la normativa Cookie Law ?

La normativa é orientata alla protezione della privacy degli utenti, ed allo stesso tempo, tenta di trovare un buon compromesso per il mercato del web e dell'advertising online che riguarda gli investitori pubblicitari.

ll problema non é una semplice contrapposizione fra pubblicitari e utenti: I cookie sono anche usati dalle piattaforme di Web Analytics, senza i quali ad esempio non si potrebbero registrare correttamente le visite ad un sito, sapere che cosa é stato visto, come funziona e cosa non funziona nelle nostre pagine o pianificazioni pubblicitarie.

La soluzione individuata va nella direzione di consentire la privacy degli utenti, ma senza pregiudicare la navigazione dei siti.

Quanti tipi di Cookie esistono?

Il Garante presenta due tipi di classificazione: cookie "tecnici" e cookie "di profilazione", a loro volta distinguibili in cookie installati dal titolare o gestore del sito e cookie definiti di "terze parti".

I cookie tecnici sono quelli che vengono utilizzati per fornire il servizio in modo migliore a chi ne usufruisce. Sono ad esempio usati dalle piattaforme di Analytics, oltre ad essere anche quelli che il sito usa per migliorare l'esperienza di navigazione. Nel concreto, stiamo parlando dei cookies che memorizzano ciò che inserisci, ad esempio, nel "carrello della spesa" in un sito di acquisti on-line, piuttosto che la lingua che preferisci per visualizzare il sito, oppure di quelli che si ricordano di te e non ti richiedono la password per accedere.

Questi sono i cookies autorizzati e basta inserire una informativa che indichi quali stai utilizzano e a che fine. In altre parole, é fondamentale un'informativa chiara, ma non é necessario un preventivo consenso degli utenti per il loro utilizzo.

Vi sono poi i cookie di profilazione, usando le parole del Garante, sono "volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso, nell'ambito della navigazione in rete". Per questi tipi di cookies é assolutamente necessaria una adeguata informativa e una richiesta di consenso esplicito, perchè, sia il Garante che l'Europa, li considerano invasivi rispetto alla sfera privata degli utenti.

Quelli installati dal titolare del sito, una sorta di first-party cookie, definiti anche "editoriali", in quanto la normativa fa quasi sempre riferimento solo alla divisione fra editori/concessionarie e advertiser.

I cookie di terze parti sono utilizzabili, ma il proprietario del sito web, deve creare una descrizione di quali siano e del motivo per cui vengono utilizzati, questo, in una pagina di informativa, la cosi detta "informativa estesa".
Relativamente ai cookie di profilazione, il Garante accetta che un editore non sia necessariamente informato su tutti i cookie di terze parti che vengono installati e sul loro funzionamento, ma deve essere al corrente di chi siano queste terze parti e ne dia riscontro all'utente che visita il sito.

In questo caso é necessario che il proprietario del sito web, effettui dei link verso il detentore di queste informazioni, cioé la terza parte, come ad esempio Google, per garantire l'informative necessarie al visitatore.

Chi deve seguire il tema della privacy e la cookie Law?

Il tema privacy non é solo per chi lavora o vive di pubblicità: se ne devono occupare le aziende che vogliono usare Internet per promuovere o vendere i propri prodotti o servizi.

Qui vi é la parte non propriamente chiarissima. La normativa parla di editori, ma ogni sito web é in qualche modo editoriale ed i contenuti, che vengono pubblicati, sono soggetti alla stessa responsabilità del "proprietario" del sito.

Questo rende tutte le aziende italiane con un sito internet, come pure i privati, e non solo gli editori che si occupano di informazione, soggetti passivi di questa normativa e passivi di una delle multe previste che come vedremo sono decisamente importanti come importi.

Non é quindi un tema solo per editori, concessionarie, centri media, agenzie SEM o performance. E' un tema di interesse per tutte le aziende che oggi hanno un sito web, o solo semplicemente la cosidetta "Business Card Page".

Mettersi in regola é tutto sommato facile, ma ce ne dobbiamo occupare tutti, di conseguenza vediamo come farlo al meglio.

Cosa dobbiamo fare nel o nei nostri siti web?

C'era abbastanza tempo, ma al momento che scrivamo, il termine di scadenza per mettersi in regola è 3 Giugno 2015. e quindi il tempo stringe!.

Il consiglio che vi diamo é di partire quanto prima per redigere tutta la documentazione necessaria, in cui presentare i cookie che si stanno usando. Questa pagina é la cosiddetta "informativa estesa" e deve essere tenuta aggiornata ogni qual volta si effettuino delle modifiche al sito, che comportano l'utilizzo di nuovi cookie sia titolari che di terze parti.

Dopo di che, va predisposto un layer su tutte le pagine, la cosiddetta "informativa breve", da presentare a tutti i nuovi visitatori del sito, in cui mettere il link alla privacy policy e una spiegazione del fatto che, continuando la navigazione si sta implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di navigazione. Nell'informativa breve va anche indicato se il sito utilizza o meno cookies di terze parti.

Come costruire l'informativa estesa

Per quanto concerne l'attuale normativa, fatti salvi eventuali nuovi sviluppi, nella pagina di informativa più dettagliata, devono essere presenti le segunti diciture:

In caso di utilizzo di adv (pubblicità), si deve includere l'informazione che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari in linea con le preferenze dell'utente, manifestate nella sua navigazione sulla rete;
In caso di cokies di terze parti, specificare che il sito consente, appunto, l'invio di cookie di terze parti;
Dovrà altresì contenere:
- L'elenco dei cookie utilizzati e una indicazione della loro finalità il perchè li sto usando ed a cosa mi servono;
- La possibilità di deselezionare i cookie di profilazione, che può essere implementata sia singolarmente che ragruppandoli. Questa decisione di raggruppamento é a discrezione del titolare del sito;
- Nel caso dei cookie di terze parti, deve essere presente un link alle pagine di informativa di questi soggetti, dove si descrive come funzionano tali cookies (in questo caso siamo una sorta di intermediario fra il nostro utente e il detentore dei cookies, nonché delle motivazioni per i quali vengono usati);
- L'indicazione che continuando la navigazione si accettano implicitamente i cookie che il sistema andrà a installare;
- Le istruzioni su come configurare il proprio browser per gestire, ovvero, non accettare i cookie del sito.

Dobbiamo quindi tenere traccia dell'accettazione o meno, della privacy policy e dei cookie di terze parti. La cosa interessante é che il Garante stesso suggerisce di farlo, sapete come?… con un cookie tecnico! ;-)

L'informativa estesa deve essere linkata da tutte le pagine del sito, fosse anche solo nel footer.

Chi ha l'obbligo di notifica al Garante?

L'uso dei cookie rientra nell'obbligo di notifica al Garante, ma non per tutti! Quelli che utilizziamo per "definire il profilo o la personalità dell'interessato o per analizzare abitudini o scelte di consumo" vanno notificati!.

Traducendo tutto in termini pratici, il Garante chiede una notifica solo dei cookie persistenti, che riguardano informazioni personali.

Tutti i cookie tecnici, compresi quelli di Web Analytics, espressamente nominati nel provvedimento, non hanno bisogno di alcuna notifica.

Quanto tempo abbiamo per adeguarci!

Niente panico, la normativa ci dà, anzi ci ha dato, ben un anno intero, per adeguare i nostri siti ed inserire le informative con la possibilità di fare un opt-out al tracciamento dei cookie di profilazione.

Sappiate che, la pubblicazione sulla Gazzetta Ufficiale é del 3 Giugno 2014, quindi abbiamo tempo, salvo degora, fino al 2 Giugno 2015 per metterci in regola.

Non preoccupatevi, le sanzioni sono piuttosto mancanti di criteri certi, ma si sa, siamo in Italia e ad ogni modo vanno da importi che possono variare dai 6.000 a 36.000 € per un'informativa non idonea o mancante, ai quali si aggiungono dai 10.000 a 120.000 € per l'inserimento di un cookie non autorizzato e adeguatamente segnalato al Garante! Il consiglio é "datevi una mossa" e mettete in regola i vostri siti. ;-)

Serve un avvocato?

Il consiglio é di non far da sè e per lo meno far leggere tutto anche ad un avvocato, nonostante la normativa sia abbastanza chiara.

Ad ogni modo se sei arrivato fin qui potresti avere già tutti gli elementi utili a metterti in regola.

Serve un tecnico informatico esperto in web?

La risposta é SI! VI SERVE! a questo punto inizierete a pensare e a dirvi, "grazie, é ovvio lo fa di mestiere, figurati se diceva che non serviva!" ed in effetti avete parzialmente ragione; non vi serve un tecnico esperto solamente se, risponderete positivamente a queste tre semplici domande:

Sai cos'é il Java scripting e come si implementa su un sito web?
Sai come si analizza una pagina web per evidenziare eventuali utilizzi e tecniche di cross site?
Conosci i principali metodi di advertising, che potrebbero essere presenti sul tuo sito web?

Se hai risposto positivamente a TUTTE e tre le domande, allora non ti servo e puoi fare da solo!. ;-) altrimenti, onde evitare brutte sorprese é meglio che ci contatti per avere un preventivo.