Ormai ci siamo, tra poche ore diventa obbligatorio adeguarsi alla c.d. “cookie law”, ovvero le prescrizioni dettate in materia di cookie dal Garante per la protezione dei dati personali con un provvedimento dell’8 maggio 2014.
I cookie (letteralmente “biscottini”) sono informazioni immesse sul browser quando un utente visita un sito web o utilizza un social network con il suo pc, smartphone o tablet.
Ogni cookie contiene diversi dati (come, ad esempio, il nome del server da cui proviene) e possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser) o per periodi più lunghi. I cookie servono a rendere più veloce e rapida la navigazione (come quelli che usiamo per evitare di doverci autenticare alla nostra casella mail ogni volta che spegniamo e riaccendiamo il PC), a raccogliere informazioni statistiche sugli accessi al sito oppure a monitorare il comportamento degli utenti anche allo scopo di inviare loro pubblicità e servizi mirati e personalizzati.
Credits: creativemotions.it
L’iniziativa del Garante della Privacy – che si inquadra nell’ambito dell’attuazione della direttiva europea 2009/136 – ha l’obiettivo dichiarato di arginare la diffusione dei cosiddetti cookie di profilazione e dei relativi rischi per la privacy degli utenti. Nonostante ci sia stato un anno per l’adeguamento al Provvedimento, come spesso accade nel nostro Paese, solo negli ultimi giorni aziende, amministrazioni e blogger hanno iniziato a mettersi in regola.
Può tornare utile quindi un breve riepilogo.
1) Chi è tenuto a mettersi in regola?Tutti i titolari dei siti web che installano cookies: pubbliche amministrazioni, imprese, professionisti, freelance, associazioni, blogger, ecc.
Se hanno un sito e utilizzano dei cookies (ad esempio perché embeddano un video di Youtube in un post) sono tenuti a rispettare il provvedimento del Garante; ciò sia che abbiano una piattaforma su proprio hosting, sia che ricorrano a piattaforme erogate da soggetti terzi (servizi come WordPress.com e Blogger.com stanno fornendo ai propri utenti informazioni su come procedere per i cookie memorizzati dalle loro piattaforme).
2) Quali sono le scadenze?Il Provvedimento del Garante Privacy, in considerazione della complessità dell’adeguamento, ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione in Gazzetta Ufficiale (3 giugno 2014) per consentire ai soggetti interessati di adeguarsi.
Il termine per mettersi in regola, pertanto, scade il 2 giugno 2015.
3) Quali sono le diverse tipologie di cookie?Il provvedimento distingue gli adempimenti da porre in essere in relazione tipo di cookie memorizzati dal sito, vale a dire se si tratti di cookie “tecnici” o cookie di“profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd.
terze parti).
Sono tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata (senza cioè raccogliere gli indirizzi IP), sul numero di utenti e su come questi visitano il sito.
Per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.
Al contrario, oltre all’informativa, sarà necessario acquisire uno specifico consenso per l’utilizzo di cookie di profilazione, quei “biscottini” che consentono di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.
Credits: icecreates.com
4) Come deve essere fornita l’informativa per i cookie?Nel caso in cui il sito usi cookie di profilazione, il Garante ha previsto modalità semplificate per rendere l’informativa e acquisire il consenso dall’interessato.
L’informativa sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli:
- la c.d. “informativa breve”, contenuta in un banner presentato all’utente al momento del primo accesso al sito;
- la c. d. “informativa “estesa”, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio.
L’informativa breve dovrà indicare:
– se il sito utilizza cookie di profilazione;
– se il sito consente l’invio di cookie di terze parti;
– il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie;
– che, proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie.
Il gestore del sito dovrà registrare il consenso, eventualmente attraverso un apposito cookie tecnico, in modo da non proporre nuovamente il banner con l’ informativa breve alle successive visite dell’utente.
Il Garante ha chiarito che, qualora il sito installi cookie “di terze parti” (come – ad esempio – Google Analytics oppure quelli per la condivisione su Facebook e Twitter), incombe sul gestore del sito rendere l’informativa e acquisire il consenso.
Per questo motivo, l’informativa estesa dovrà contenere i link alle informative delle terze parti.
5) Cosa bisogna fare oltre all’informativa?Il meccanismo definito dal provvedimento del Garante Privacy è un sistema di opt-in, per cui il gestore del sito deve garantire che nessun cookie di profilazione e di terze parti debba essere memorizzato sul terminale dell’utente prima che questi abbia prestato il proprio consenso.
Si tratta, probabilmente, della parte più complessa per l’adeguamento: se scrivere le informative può essere relativamente semplice, sicuramente più complesso è garantire che nessun cookie non tecnico sia installato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza.
Tanto più se si tiene conto delle sanzioni previste:
- per i casi di omessa o incompleta informativa la sanzione prevista è da 6 mila a 36 mila euro
- l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da diecimila a centoventimila euro.
Insomma, i biscottini possono costare molto cari.
ERNESTO BELISARIO
