Alcuni suggerimenti per essere conformi con la normativa

Un mondo senza cookie grazie al contextual targeting

Lo scorso 2 giugno è entrato in vigore un nuovo provvedimento del garante della privacy in merito all’utilizzo dei cookie nei siti internet, ma l’impressione è che molti non si siano ancora messi in regola!!!

Che cosa riguarda la normativa?

Per chi lavora in ambito di sviluppo web o più in generale di sviluppo software è normale avere a che fare con un tema delicato come è quello della Privacy.

Se andiamo a controllare con qualche piccolo strumento, come ad esempio CCleaner, noteremo che il nostro computer è pieno di cookie la cui finalità è quella di raccogliere informazioni circa le nostre abitudini sul web al fine di farci vedere nella pagine web pubblicità attinenti ai nostri interessi.

Ma entriamo nel vivo dell’argomento non come navigatori, ma come titolari di siti web, perché la questione riguarda proprio quello che ho detto nella frase precedente.

Innanzitutto avete una pagina dedicata alla Privacy sul sito? Se non lo avete fatto provvedete immediatamente, se la avete già vediamo come integrarla con le novità del provvedimento 229/2014: cosa scrivere e cosa modificare nel sito per rispettare la normativa. Nello specifico approfondiamo le modalità semplificate per l’Informativa e acquisizione del consenso per l’uso dei cookie, identificate dal Garante. Esistono due tipologie di cookie, due tipologie di informativa, varie implementazioni e altrettante sanzioni.

Ambito e tempistiche

Quello che trovate in questo articolo è obbligatorio per tutti i siti italiani dallo scorso 2 giugno 2015. Chi gestisce o è titolare di un sito deve garantire la conformità alla normativa. Le norme seguenti sono obbligatorie per tutti i siti indipendentemente dal dispositivo adottato per la sua consultazione.

Cookie tecnici e Cookie di profilazione

Il Garante ha classificato i cookie rilasciati da un sito in due categorie: Cookie tecnici e Cookie di profilazione.

Cookie tecnici

I Cookie definiti tecnici indicati dal Garante sono quelli:

  • Relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto.
  • Relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.
  • Relativi ad attività di salvataggio delle preferenze (es. impostazione di lingua e valuta, carrello nel caso degli e-commerce ecc.).

Questa categoria di cookie non necessita di alcun consenso preventivo da parte del visitatore e tantomeno un’informativa, al contrario di quelli di profilazione.

Cookie di profilazione

I Cookie definiti di profilazione indicati dal Garante sono quelli:

  • Di statistica gestiti da terze parti.
  • Di profilazione pubblicitaria.
  • Di retargeting.
  • Dei social network.

ATTENZIONE: i Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi.

Eccezioni

É interessante notare che, soprattutto per i Cookie di profilazione relativi a servizi di statistica esistono due eccezioni. Tali deroghe permettono di non chiedere obbligatoriamente il consenso preventivo nei casi seguenti:

  • Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa né accedere e nemmeno utilizzare i dati in forma disaggregata a livello IP. Per esempio Google Analytics può anonimizzare i dati in questo modo tramite l’apposita funzionalità di Mascheratura dell’indirizzo IP (https://support.google.com/analytics/answer/2905384?hl=it).
  • Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito, quindi parliamo di quelli non forniti da servizi esterni di terze parti.

Informativa breve e Informativa estesa

Si tratta di un testo necessario a informare il visitatore su quali aspetti del suo comportamento online vengono monitorati, come e da chi. L’informativa consente al visitatore di scegliere se desidera autorizzare l’archiviazione e l’utilizzo di cookie sul proprio computer. Si parla quindi di consenso informato.

Informativa breve

Necessaria solo nel caso in cui il sito invii cookie di profilazione. É un’informativa molto sintetica, visibile in qualsiasi pagina del sito, al primo accesso e per ogni accesso successivo qualora non sia stato espresso il consenso all’utilizzo dei cookie. Deve sempre contenere il link all’informativa estesa.

In termini di layout, lo spazio dedicato all’informativa breve (es. una fascia nella parte superiore o inferiore della pagina) deve differenziarsi dal resto dei contenuti. Ecco un testo di esempio di informativa breve:

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all’uso dei cookie.

L’esecuzione di una qualunque delle azioni indicate nel testo conferma il consenso. Quindi il non interagire con i moduli di consenso, l’uscire dall’informativa chiudendola o semplicemente continuando a navigare nel sito è già sufficiente per dichiarare di aver prestato il consenso, ma solo a condizione che sia indicato espressamente nel testo del banner (come nell’esempio qui sopra). In questo caso, dalla visita successiva non è più necessario mostrare il banner con l’informativa né chiedere alcun consenso. Viceversa dovrà comparire a ogni nuova visita.

ATTENZIONE: l’informativa breve è necessaria solo se il sito invia anche cookie di profilazione, se invia solo cookie tecnici non serve usare l’informativa breve.

Informativa estesa

Si intende l’informativa completa sull’utilizzo dei Cookie. Tipicamente una pagina dedicata allo scopo. In ogni caso deve contenere:

  • Quanto richiesto dall’articolo 13 del d.lgs 196/2003 Codice privacy, caratteristiche già teoricamente presenti in tutti i siti.
  • Una spiegazione sintetica e chiara su cosa sono i cookie e come gestirli/eliminarli tramite le impostazioni del browser.
  • L’indicazione di come viene prestato il consenso (cfr. il copy di esempio per il banner).
  • Le tipologie e la descrizione dei Cookie tecnici divisi per finalità.
  • Le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo modulo di consenso.
  • Le tipologie e la descrizione dei Cookie di terze parti con relativa finalità, specifico link all’informativa e al modulo di consenso della terza parte. Per i soli Cookie di profilazione pubblicitaria si può linkare, qualora fosse tra i sistemi consociati, il sito www.youronlinechoices.com/it (scritto proprio così, non è un esempio, è il link vero). Per curiosità, provate a vedere quanti cookie di profilazione sono già attivi sul vostro computer senza saperlo…

ATTENZIONE: l’Informativa estesa è sempre necessaria sia che si inviino Cookie di profilazione che solo Cookie tecnici. É altresì utile sapere che la responsabilità per la gestione delle preferenze dell’utente relativamente ai cookie di terze parti ricade sulla terza parte che li ha rilasciati.

Obblighi e sanzioni

I titolari dei siti che utilizzano Cookie di profilazione sono obbligati a notificarlo preventivamente al garante (cfr. art. 37, comma 1, lett. d, del Codice della Privacy) tramite questo modulo online (https://web.garanteprivacy.it/rgt/NotificaTelematica.php). Dall’obbligo sono esclusi i titolari di siti che inviano Cookie di profilazione solo tramite servizi di terze parti in quanto non rientrano nel controllo degli stessi. Tuttavia, se il titolare del sito può accedere in forma disaggregata a questi dati (es. Google Analytics senza Mascheratura dell’indirizzo IP) si ritorna sull’obbligo in quanto ipoteticamente interpretabile come co-titolare e va quindi notificato.

Attenzione perché le sanzioni possono essere onerose.

Tutto questo è applicabile ai soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).

Alessio Arrigoni