Dal 2 giugno 2015 è entrata in vigore la cookie law, la nuova normativa europea sui cookie, una parola che per molti significa “biscottino”, per alcuni significa “lavoro” (anche se “duro”) e quasi per tutti significa cliccare quel fastidioso pulsante “Acconsento” ad ogni prima visita di un sito web. Ma facciamo un passo indietro, necessario per inquadrare meglio la questione e le soluzioni a portata di mano per evitare multe che oscillano tra i 6,000€ ed i 120,000€.

Cosa sono i cookie e perché introdurre una “cookie law”?

Si tratta di piccole stringhe di testo inviate dal sito web che si sta visitando e memorizzate sul dispositivo dell’utente, per essere poi ritrasmesse allo stesso sito alla visita di una nuova pagina da parte del medesimo utente. Nella navigazione su un sito, il terminale dell’utente può ricevere anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”). I cookie, numerosi e talvolta salvati per lunghi periodi, hanno diverse finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc..

cookie-law

Sulla base di queste diverse finalità il legislatore opera una distinzione tra cookie tecnici (necessari all’ottimizzazione della navigazione dell’utente, per esempio i cookie del carrello su un e-commerce) e di profilazione (necessari alla profilazione delle preferenze degli utenti, per esempio un cookie di remarketing).

Cos’è cambiato con l’introduzione della cookie law?

La distinzione operata dal legislatore, sebbene apparentemente semplice, pone in realtà moltissimi problemi ai titolari dei siti web, ai loro gestori e consulenti e ai loro webmaster. Riassumerli in una casistica completa è praticamente impossibile, perciò proviamo a lavorare sui temi e le domande più ricorrenti, facendo riferimento alla normativa pubblicata sulla Gazzetta Ufficiale (Provvedimento n. 229, GU n.126 del 3-6-2014) e al tavolo inter-associativo promosso da Fedoweb, iab, Netcomm ed UPA e Garante della Privacy.

Quali sono gli adempimenti necessari?

In estrema sintesi sono 3 i principali doveri del titolare di un qualsiasi sito web (sì, qualsiasi: esistono eccezioni che proveremo a illustrare molto brevemente).
Dal 2 giugno 2015 non è più possibile installare cookie prima di:

  1. aver predisposto e mostrato all’utente un banner informativo;
  2. aver predisposto e mostrato all’utente una cookie policy;
  3. aver richiesto il consenso agli utenti.

1. Predisporre e mostrare un banner
Le caratteristiche del banner concordate dal Garante della Privacy con il tavolo inter-associativo devono essere precise. Lo scopo del banner è informare l’utente sulle finalità di installazione dei cookie di cui il sito fa uso, perciò deve essere notato dall’utente e dunque possedere caratteristiche di discontinuità rispetto all’esperienza di navigazione del sito, per esempio una versione al centro della pagina, o una versione con una striscia in alto al sito. Lo scroll del sito o la chiusura del banner sono considerati una attribuzione di consenso al pari del tasto “acconsento”.

cookie-law-banner

2. Predisporre e mostrare una cookie policy
La cookie policy, spesso porzione di una più ampia privacy policy, va redatta con cura e possibilmente con l’assistenza di un consulente. È necessario infatti avere un quadro degli strumenti (anche di terze parti) installati sul proprio sito ed allo stesso tempo è necessario redigere la cookie policy in maniera tale da rispettare la legge. Non è necessario dar conto di ogni singolo cookie che viene installato sul dispostivo dell’utente, ma sicuramente si deve informare con completezza e chiarezza sulle finalità dei cookie (anche di terze parti) che il sito potrebbe installare. Se poi il cookie è di prima parte l’utente deve poter esercitare il proprio consenso direttamente nei confronti del titolare del sito.

3. Consenso
La prosecuzione della navigazione, lo scrolling, la chiusura del banner e l’attribuzione del consenso sono per il legislatore equivalenti. Se invece l’utente abbandona la navigazione senza proseguire, il consenso non si considera attribuito. Per esercitare il consenso l’utente deve cliccare sui link contenuti dalla cookie policy (in caso di cookie di terze parti, o confrontarsi direttamente con il titolare del trattamento dei dati in caso di cookie di prime parti).
Attenzione: nessun cookie di profilazione (né di prima, né di terza parte) dovrebbe essere installato prima che l’utente abbia scelto se dare o meno il proprio consenso, ed il lavoro per bloccare preventivamente i cookie e condizionarne il caricamento in base alla scelta dell’utente è piuttosto complesso: significa operare importanti modifiche al codice del sito.

Esistono poche eccezioni e quasi tutte inutili a chi utilizza i propri siti per sviluppare business.
Costituiscono eccezione:

  • cookie tecnici, quelli strettamente necessari all’erogazione del servizio (es. cookie di preferenza, sessione, etc…)
  • cookie statistici gestiti direttamente dal titolare tramite software (es. Piwik)
  • cookie statistici di terze parti (es. Google Analytics), qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo.

E voi vi siete adeguati?

Articolo scritto da Francesco Porzio per il numero 29 di “Fare Futuro” rivista di Unindustria Bologna.

Facebook
LinkedIn
Google+
https://magillaguerrilla.it/cookie-law-normativa-europea/
RSS
YouTube