Normativa sui cookie: come mettere in regola il proprio sito internet dal 2 giugno 2015

Il 2 giugno 2015 entra in vigore l’obbligo per tutti gli editori e possessori di siti web di informare i visitatori della presenza di cookie navigando il proprio sito internet e richiedere esplicito consenso all’utilizzo degli stessi nel caso di cookie di profilazione.
Tra pochi giorni quindi il termine ultimo per mettere in regola i propri siti web secondo le informazioni dettate dalla normativa pubblicata sulla Gazzetta Ufficiale n.126 del 3 giugno 2014 e relativo registro dei provvedimenti n.229 dell’8 maggio 2014 dal titolo "Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie" (qui disponibile il testo completo sul sito del Garante per la privacy).

Le sanzioni per la mancata applicazione della normativa sono pesanti: da un minimo di 6.000 euro a un massimo di 36.000 euro. L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da 10.000 a 120.000 euro.

Ecco la video-guida del Garante della Privacy:

Cosa sono i cookie?

I cookie (dall’inglese "biscotto") sono stringhe di codice che vengono inviati da un sito internet visitato sul computer dell’utente tramite il browser e possono persistere nel computer registrando e inviando successivamente informazioni di diverso tipo (vedremo di seguito alcuni esempi).

La normativa distingue:

– cookie tecnici, per i quali non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice

– cookie di profilazione, per i quali è necessario ottenere esplicito consenso da parte degli utenti.

I cookie tecnici sono quelli utilizzati al fine di

"effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).

Cookie tecnici propri di un sito possono essere ad esempio quelli che permettono l’accesso ad aree riservate o il login per partecipare a forum e lasciare commenti, oppure negli ecommerce quelli che permettono di riempire il carrello e "ricordare" in accessi successivi gli oggetti che erano stati inseriti e non acquistati.

I cookie provenienti da servizi di statistica come Google Analytics sono assimilabili a cookie tecnici se registrano in modo anonimo e aggregato informazioni sulla navigazione dell’utente, come ad esempio
– se l’utente ha già avuto precedentemente accesso ad un sito,
– tipo di percorso che l’utente ha fatto all’interno del sito,
– provenienza dell’utente (motore di ricerca, pubblicità, altro sito, ecc)
– stringa di ricerca con cui l’utente è atterrato sul sito dal motore di ricerca

Cookie di profilazione sono, secondo il sito del Garante per la privacy, quelli

utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi
cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso
utente nella navigazione online.

Anche se i cookie di profilazione vengono spesso indicati nel sentire comune come "spie", in realtà il loro funzionamento non prevede l’identificazione univoca di un utente ma solo la creazione di un profilo derivante dal tracciamento dell’accesso in determinati siti o la ricerca di stringhe sui motori di ricerca, che si riflette nella proposta di pubblicità in linea con i siti visitati o con ricerche fatte (ad esempio pubblicità su RCA se si è cercato "assicurazione auto") o pubblicità di un determinato sito se si è visitato senza acquistare nulla o un targeting geografico (pubblicità di attività nella zona da cui si naviga).
Nel caso si installino sul sito cookie di profilazione creati da noi in house, è necessario darne comunicazione al Garante (lo stesso non vale per cookie di profilazione di terze parti, come spiegato nella prossima sezione).
I cookie di profilazione sono sempre un male? A mio parere no, se ad esempio mi permettono di avere pubblicità che ricordano le mie preferenze o le mie attuali necessità e ricerche piuttosto che pubblicità generiche, ma avremo modo di approfondire in un altro post l’aspetto "filosofico" dell’utilizzo dei cookie.

Cosa sono i cookie di terze parti?

Un’altra differenziazione prevista dalla legge sta nel soggetto che installa i cookie. Sono definiti cookie di terze parti quei cookie non installati dall’editore/proprietario del sito, ma installati da altri siti tramite quello che stiamo visitando. Esempi di cookie di terze parti sono quelli di concessionarie pubblicitarie come Google Adsense o più semplicemente i plugin o bottoni dei social network. In questo caso è necessario indicare nel banner (informativa breve) che si utilizzano cookie di terze parti, ma non è necessario fare comunicazione al Garante e nell’informativa estesa è sufficiente indicare il nome delle terze parti e il link alla loro informativa sui cookie, passando quindi a loro l’incombenza di specificare tipologia di cookie, trattamento dei dati e modalità di disattivazione.

Cosa va inserito nel sito per essere in regola nel caso di utilizzo di soli cookie tecnici?

Secondo quanto indicato nelle FAQ del Garante della Privacy, nel caso in cui si utilizzino solo cookie tecnici, non è obbligatorio inserire il banner ma è sufficiente fornire l’informativa agli utenti ai sensi dell’art. 13 del Codice con le modalità che si ritenga più idonee, ad esempio anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

Cosa va inserito nel sito per essere in regola nel caso di cookie di profilazione o di terze parti?

Quando si accede a una qualsiasi pagina del sito deve comparire un banner ben visibile, in cui sia indicato chiaramente:

• 1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

• 2) che il sito consente anche l’invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

• 3) un link a un’informativa estesa e l’indicazione che nella stessa è possibile negare il consenso all’installazione di qualunque cookie;

• 4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito, selezionando un’immagine o un link, scrollando la pagina) si presta il consenso all’uso dei cookie.

Ogni volta che l’utente aprirà il nostro sito si ripresenterà il banner anche se ha già dato il consenso? No, perché è possibile (e concesso dal Garante) impostare un cookie tecnico (pensate un po’!) che tenga traccia degli ip che hanno già dato il consenso ed impedire che il banner venga visualizzato ad accessi successivi.

Come dev’essere l’informativa estesa?

• deve essere linkabile da ogni pagina del sito
• deve contenere l’elenco e le finalità dei cookie installati dal sito
• deve contenere l’elenco delle terze parti a cui è concessa l’installazione di cookie sui computer degli utenti tramite l’accesso al nostro sito con il link aggiornato alla loro cookie policy.
• deve indicare la possibilità per l’utente di disattivare i cookie tramite i browser e le istruzioni per procedere alla disattivazione con i browser principali.

Ecco alcune domande frequenti sull’utilizzo dei cookie a cui ha risposto il Garante della Privacy

Il tuo sito è in regola con le nuove normative sui cookie?
Come abbiamo visto la materia è piuttosto complessa e le azioni da mettere in atto per adeguare il proprio sito alla normativa vigente sono diverse da caso a caso.

Per avere una valutazione sugli interventi necessari per mettersi in regola puoi contattarci ai recapiti che trovi qui.