ECLaw

Come mi adeguo alla normativa sui Cookie emessa dal Garante per la Privacy?

Negli ultimi mesi, una delle attività che più ci ha impegnato, è stato capire come la politica e le istituzioni hanno legiferato a riguardo della privacy; Internet e i cookie e come potevamo aiutare i nostri clienti a prendere decisioni che tenessero in considerazione tutti gli aspetti, compreso quello transazionale tipico della Rete.

Questo perchè Internet è globale e nell'ipotesi che l'Italia avesse deciso politiche di limitazione per le aziende e i siti italiani, il risultato sarebbe stato un progressivo migrare verso l'estero di tutte quelle attività che se lo sarebbero potuto permettere; attività web che d'altronde sono quelle che muovono più denaro e posti di lavoro.

Fortunatamente la diatriba sull'adozione della direttiva Europea sui cookie si è fermata e l'Europa ha già indicato una direzione attraverso una linea guida che i diversi stati devono recepire.

Vi è molta confusione attorno a questi temi, con questa semplice guida, e con il nostro servizio, speriamo di potervi aiutarti a fare un pò di chiarezza.

A che cosa serve la normativa Cookie Law ?

La normativa è orientata alla protezione della privacy degli utenti, ed allo stesso tempo, tenta di trovare un buon compromesso per il mercato del web e dell'advertising online che riguarda gli investitori pubblicitari.

ll problema non è una semplice contrapposizione fra pubblicitari e utenti: I cookie sono anche usati dalle piattaforme di Web Analytics, senza i quali ad esempio non si potrebbero registrare correttamente le visite ad un sito, sapere che cosa è stato visto, come funziona e cosa non funziona nelle nostre pagine o pianificazioni pubblicitarie.

La soluzione individuata va nella direzione di consentire la privacy degli utenti, ma senza pregiudicare la navigazione dei siti.

Quanti tipi di Cookie esistono?

Il Garante presenta due tipi di classificazione: cookie "tecnici" e cookie "di profilazione", a loro volta distinguibili in cookie installati dal titolare o gestore del sito e cookie definiti di "terze parti".

I cookie tecnici sono quelli che vengono utilizzati per fornire il servizio in modo migliore a chi ne usufruisce. Sono ad esempio usati dalle piattaforme di Analytics, oltre ad essere anche quelli che il sito usa per migliorare l'esperienza di navigazione. Nel concreto, stiamo parlando dei cookie che memorizzano ciò che inserisci, ad esempio, nel "carrello della spesa" in un sito di acquisti on-line, piuttosto che la lingua che preferisci per visualizzare il sito, oppure di quelli che si ricordano di te e non ti richiedono la password per accedere.

Questi sono i cookie autorizzati e basta inserire una informativa che indichi quali stai utilizzano e a che fine. In altre parole, è fondamentale un'informativa chiara, ma non è necessario un preventivo consenso degli utenti per il loro utilizzo.

Vi sono poi i cookie di profilazione, usando le parole del Garante, sono "volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso, nell'ambito della navigazione in rete". Per questi tipi di cookie è assolutamente necessaria una adeguata informativa e una richiesta di consenso esplicito, perchè, sia il Garante che l'Europa, li considerano invasivi rispetto alla sfera privata degli utenti.

Quelli installati dal titolare del sito, una sorta di first-party cookie, definiti anche "editoriali", in quanto la normativa fa quasi sempre riferimento solo alla divisione fra editori/concessionarie e advertiser.

I cookie di terze parti sono utilizzabili, ma il proprietario del sito web, deve creare una descrizione di quali siano e del motivo per cui vengono utilizzati, questo, in una pagina di informativa, la cosi detta "informativa estesa".
Relativamente ai cookie di profilazione, il Garante accetta che un editore non sia necessariamente informato su tutti i cookie di terze parti che vengono installati e sul loro funzionamento, ma deve essere al corrente di chi siano queste terze parti e ne dia riscontro all'utente che visita il sito.

In questo caso è necessario che il proprietario del sito web, effettui dei link verso il detentore di queste informazioni, cioè la terza parte, come ad esempio Google, per garantire l'informative necessarie al visitatore.

Cosa devo presentare all'utente la prima volta che entra nel sito?

All'utente deve essere presentato un banner, un pop-up, un messaggio on-top, la prima volta che entra nel sito. Nel quale messaggio, gli viene spiegato che c'è una informativa e che il sito sta tracciando qualche aspetto della sua navigazione. Ovviamente questo deve avvenire in modo del tutto anonimo e cosa molto importante, preventivo.

Dalla seconda volta in poi, non sarà più necessario presentare questo banner al medesimo utente.
Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page, perchè l'utente potrebbe avere come "entry page" una qualsiasi delle pagine del sito, trovate mediante un motore di ricerca.

Chiunque deve avere la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti.

La buona notizia, dettata dal buon senso, è che non è richiesto un "click palese" per l'accettazione dei cookie di profilazione, ma è sufficiente continuare la navigazione per accettare implicitamente i contenuti dell'informativa.

Inoltre, i cookie tecnici non hanno bisogno di alcuna autorizzazione, necessitano solo di un'informativa.

È un sistema più naturale, meno invasivo e che tiene l'Italia al livello delle altre country europee e mondiali. In questo modo si evita che un sito italiano non sia "più ostile" di un qualsiasi concorrente posizionato in altre nazioni.

Chi deve seguire il tema della privacy e la cookie Law?

Il tema privacy non è solo per chi lavora o vive di pubblicità: se ne devono occupare le aziende che vogliono usare Internet per promuovere o vendere i propri prodotti o servizi.

Qui vi è la parte non propriamente chiarissima. La normativa parla di editori, ma ogni sito web è in qualche modo editoriale ed i contenuti, che vengono pubblicati, sono soggetti alla stessa responsabilità del "proprietario" del sito.

Questo rende tutte le aziende italiane con un sito internet, come pure i privati, e non solo gli editori che si occupano di informazione, soggetti passivi di questa normativa e passivi di una delle multe previste che come vedremo sono decisamente importanti come importi.

Non è quindi un tema solo per editori, concessionarie, centri media, agenzie SEM o performance. È un tema di interesse per tutte le aziende che oggi hanno un sito web, o solo semplicemente la cosidetta "Business Card Page".

Mettersi in regola è tutto sommato facile, ma ce ne dobbiamo occupare tutti, di conseguenza vediamo come farlo al meglio.

Cosa dobbiamo fare nel o nei nostri siti web?

C'era abbastanza tempo, ma al momento che scrivamo, il termine di scadenza per mettersi in regola è 3 Giugno 2015. e quindi il tempo stringe!.

Il consiglio che vi diamo è di partire quanto prima per redigere tutta la documentazione necessaria, in cui presentare i cookie che si stanno usando. Questa pagina è la cosiddetta "informativa estesa" e deve essere tenuta aggiornata ogni qual volta si effettuino delle modifiche al sito, che comportano l'utilizzo di nuovi cookie sia titolari che di terze parti.

Dopo di che, va predisposto un layer su tutte le pagine, la cosiddetta "informativa breve", da presentare a tutti i nuovi visitatori del sito, in cui mettere il link alla privacy policy e una spiegazione del fatto che, continuando la navigazione si sta implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di navigazione. Nell'informativa breve va anche indicato se il sito utilizza o meno cookie di terze parti.

Come costruire l'informativa estesa

Per quanto concerne l'attuale normativa, fatti salvi eventuali nuovi sviluppi, nella pagina di informativa più dettagliata, devono essere presenti le segunti diciture:

  1. In caso di utilizzo di adv (pubblicità), si deve includere l'informazione che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari in linea con le preferenze dell'utente, manifestate nella sua navigazione sulla rete;
  2. In caso di cookie di terze parti, specificare che il sito consente, appunto, l'invio di cookie di terze parti;
  3. Dovrà altresì contenere:
    • L'elenco dei cookie utilizzati e una indicazione della loro finalità il perchè li sto usando ed a cosa mi servono;
    • La possibilità di deselezionare i cookie di profilazione, che può essere implementata sia singolarmente che ragruppandoli. Questa decisione di raggruppamento è a discrezione del titolare del sito;
    • Nel caso dei cookie di terze parti, deve essere presente un link alle pagine di informativa di questi soggetti, dove si descrive come funzionano tali cookie (in questo caso siamo una sorta di intermediario fra il nostro utente e il detentore dei cookie, nonché delle motivazioni per i quali vengono usati);
    • L'indicazione che continuando la navigazione si accettano implicitamente i cookie che il sistema andrà a installare;
    • Le istruzioni su come configurare il proprio browser per gestire, ovvero, non accettare i cookie del sito.

Dobbiamo quindi tenere traccia dell'accettazione o meno, della privacy policy e dei cookie di terze parti. La cosa interessante è che il Garante stesso suggerisce di farlo, sapete come?… con un cookie tecnico! ;-)

L'informativa estesa deve essere linkata da tutte le pagine del sito, fosse anche solo nel footer.

Chi ha l'obbligo di notifica al Garante?

L'uso dei cookie rientra nell'obbligo di notifica al Garante, ma non per tutti! Quelli che utilizziamo per "definire il profilo o la personalità dell'interessato o per analizzare abitudini o scelte di consumo" vanno notificati!.

Traducendo tutto in termini pratici, il Garante chiede una notifica solo dei cookie persistenti, che riguardano informazioni personali.

Tutti i cookie tecnici, compresi quelli di Web Analytics, espressamente nominati nel provvedimento, non hanno bisogno di alcuna notifica.

Quanto tempo abbiamo per adeguarci!

Niente panico, la normativa ci dà, anzi ci ha dato, ben un anno intero, per adeguare i nostri siti ed inserire le informative con la possibilità di fare un opt-out al tracciamento dei cookie di profilazione.

Sappiate che, la pubblicazione sulla Gazzetta Ufficiale è del 3 Giugno 2014, quindi abbiamo tempo, salvo degora, fino al 2 Giugno 2015 per metterci in regola.

Non preoccupatevi, le sanzioni sono piuttosto mancanti di criteri certi, ma si sa, siamo in Italia e ad ogni modo vanno da importi che possono variare dai 6.000 a 36.000 € per un'informativa non idonea o mancante, ai quali si aggiungono dai 10.000 a 120.000 € per l'inserimento di un cookie non autorizzato e adeguatamente segnalato al Garante! Il consiglio è "datevi una mossa" e mettete in regola i vostri siti. ;-)

Serve un avvocato?

Il consiglio è di far leggere tutto anche ad un avvocato, nonostante la normativa sia abbastanza chiara, vi sono però alcuni punti di non facilmente interpretazione. Ad ogni modo se sei arrivato fin qui potresti avere già tutti gli elementi utili a metterti in regola. Comunque, puoi passare al tuo legale questo link dove è spiegato tutto con i riferimenti alle normative pregresse e richiamate:
Provvedimento del Garante per la Privacy dell'8 maggio 2014, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 pubblicato sulla Gazzetta Ufficiale n. 126 dello scorso 3 Giugno 2014 http://www.gazzettaufficiale.it/eli/id/2014/06/03/14A04066/sg

Serve un tecnico informatico esperto in web?

La risposta è SI! VI SERVE! a questo punto inizierete a pensare e a dirvi, "grazie, è ovvio lo fa di mestiere, figurati se diceva che non serviva!" ed in effetti avete parzialmente ragione; non vi serve un tecnico esperto solamente se, risponderete positivamente a queste tre semplici domande:

  1. Sai cos'è il Java scripting e come si implementa su un sito web?
  2. Sai come si analizza una pagina web per evidenziare eventuali utilizzi e tecniche di cross site?
  3. Conosci i principali metodi di advertising, che potrebbero essere presenti sul tuo sito web?

Se hai risposto positivamente a TUTTE e tre le domande, allora non ti servo e puoi fare da solo!. ;-) altrimenti, onde evitare brutte sorprese è meglio che ci contatti per avere un preventivo.

Link utili