Diventa obbligatoria in un giorno festivo ma c’è stato un anno di tempo per adeguare il proprio sito web alla nuova normativa. Parliamo del provvedimento del Garante della Privacy datato 8 maggio 2014 su “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” e pubblicato in Gazzetta Ufficiale il 3 giugno 2014.
Facciamo un passo indietro per spiegare di cosa si tratta: i cookie sono piccoli file di testo che la maggior parte dei siti web installa sui computer dei visitatori, da una parte per profilarli e dall’altra per migliorarne la navigazione. Una direttiva dell’Unione Europea ha sancito che l’utente deve essere informato di questa attività e ogni Paese ha recepito l’indicazione con tempi e modalità diverse. Quella italiana, dopo un anno di periodo transitorio, entra in vigore dal 2 giugno 2015. Riguarda la quasi totalità dei siti internet e comporta multe da 10mila a 120mila euro in caso di mancato rispetto.
Tipologie di cookie
Il garante ha individuato due tipologie di cookie: i cookie di “profilazione”, che salvano le preferenze dell’utente per poi proporre messaggi pubblicitari mirati, e i cookie “tecnici”, utilizzati per ottimizzare la navigazione del sito web (ad esempio ricordando user, password, lingua scelta ed altre funzionalità di questo tipo9. Per i cookie di profilazione è necessario il consenso dell’utente prima che questi vengano installati. Per i cookie tecnici non è invece necessario il consenso ma è comunque obbligatorio informare l’utente di ciò che sta avvenendo.
Per i cookie di profilazione c’è poi un’ulteriore distinzione tra cookie proprietari e cookie di terze parti. I primi sono quelli che vengono installati e analizzati direttamente dal sito web che si sta visitando. I secondo sono quelli installati da servizi esterni al sito web visitato (es. Google Analytics) e per i quali l’obbligo di consenso ricade su chi fa la profilazione mentre il titolare del sito web visitato ha solo l’obbligo di informativa.
Il garante ha anche pubblicato una faq esplicativa del provvedimento che su alcuni punti ha generato confusione prestandosi a diverse interpretazioni. Quello che però vale è il testo della legge pubblicato in Gazzetta Ufficiale e linkato ad inizio articolo.
Cosa bisogna fare
Se sul proprio sito si hanno solo “Cookie tecnici” bisogna solo informare l’utente della loro presenza nella modalità ritenuta più idonea.
Se sul proprio sito si hanno “Cookie di profilazione” di terze parti oltre all’informativa breve che informa della loro presenza bisogna linkare un’informativa estesa dove viene spiegato nel dettaglio l’utilizzo che il sito fa dei cookies e dove deve essere presenta la possibilità di negare l’autorizzazione ai cookies stessi.
Se sul proprio sito si hanno “Cookie di profilazione” proprietari bisogna richiedere il consenso all’utente prima di installarli e notificare la cosa al Garante (che immaginiamo avrà a breve la casella di posta piena). Il consenso non deve avvenire necessariamente tramite un click specifico, ma anche solamente proseguendo la navigazione. Va però dettagliato già nell’informativa breve.
Casi pratici
1) Sono un giornale o un blog che si occupa di turismo, utilizzo Google Analytics per analizzare le statistiche, Adsense/Dfp per servire banner e ho i pulsanti di Facebook e Twitter per condividere le notizie.
E’ un sito che installa sicuramente cookie tecnici e ha cookie di profilazione di terze parti: in questo caso dovete informare tramite banner in home page della loro presenza e notificare nell’informativa estesa quali sono e le modalità per rifiutare i loro servizi. Come abbiamo fatto anche noi su Webitmag
2) Sono un hotel che traccia le visite con Google Analytics, permetto di scegliere la lingua con cui visualizzarlo e ho un booking engine per fare una prenotazione diretta.
La scelta della lingua è un cookie tecnico, quello di Analytics è di terze parti. Il booking engine se proprietario genera un cookie tecnico necessario ad effettuare l’acquisto, se di terze parti è equiparabile ad Analytics. Anche qui serve il banner in home page con l’informative breve e link all’informativa estesa.
3) Sono un’agenzia viaggi che non ha Google Analytics, nessun pulsante social, ma solo pagine statiche in due lingue e un form di contatto via email.
In questo caso si tratta solo di cookie tecnici e quindi basta informare l’utente della loro esistenza e non necessariamente in home page. Però diciamo anche che in questo caso è da valutare l’opzione di ripensare tutto il sito 🙂
4) Sono un’Ota con un mio sistema di prenotazione voli/alberghi, raccolgo informazioni sulle pagine visitate dagli utenti per inviargli notifiche personalizzate su cosa acquistare e ho sviluppato un mio sistema di analytics che dà informazioni più dettagliate di quelle di Google.
In questo caso poiché si sta profilando direttamente l’utente è necessario ottenere il suo consenso preventivo all’installazione dei cookie.
Come fare
Per le soluzioni tecniche (come far comparire il banner e linkarlo a una pagina interna / come bloccare i cookies prima dell’installazione) è meglio consultare il proprio consulente web di fiducia. Ci sono dei plugin di wordpress che fanno un lavoro simile ma magari sono pensati per la normativa in vigore in altri Paesi europei che può essere meno restrittiva di quella italiana.
Per le soluzioni legali, ovvero il testo da scrivere e le informazioni da dare in base ai cookie utilizzati, si può chiedere un parere a uno studio legale esperto in tematiche web oppure, come suggerisce Wired, utilizzare un plugin pensato per queste attività come quello fornito da Iubenda, startup specializzata in privacy policy per i siti web. Consigliamo invece di evitare l’errore di scopiazzare la cookie policy di un concorrente perché il modo di trattare i dati potrebbe essere differente a seconda delle soluzioni tecniche utilizzate.
Articoli interessanti sull’argomento:
Cookie Law, tutto quello che devi sapere
Cookie di Google Analytics, consenso e informativa privacy
Il sito di Google dedicato ai Cookie
E per finire il post su Google Plus dell’avvocato Matteo Luigi Riso che dissipa alcuni dubbi
