Come mi adeguo alla nuova normativa sui Cookie? Ecco qualche chiarimento

Tenete bene in mente la data del 2 giugno 2015.

A partire da quel giorno, infatti, il Garante della Privacy impone ai gestori di siti web l’obbligo di acquisire il preventivo consenso degli utenti all’installazione di alcuni tipi di cookie.

Innanzi tutto cos’è un cookie?

I Cookie sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server di un determinato sito Internet, come ad esempio siti web preferiti o, in caso di acquisti via Internet, il contenuto dei loro carrelli della spesa. Si differenziano in cookie tecnici, di profilazione e di terze parti.

Cos’è un cookie tecnico?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili. Fra questi rientrano i cookie analitici utilizzati per raccogliere informazioni statistiche di vario genere.

Cos’è un cookie di profilazione?

Sono i cookie che sono utilizzati per raccogliere i dati relativi agli utenti, allo scopo per esempio di inviar loro pubblicità mirata e personalizzata.

Cosa sono i cookie di terze parti?

Sono quei cookie installati da un sito web diverso da quello che l’utente sta visitando. Sul sito web visitato possono essere presenti elementi come, ad esempio, immagini, mappe, suoni, specifici link a pagine web di altri domini  che risiedono su server diversi da quello sul quale si trova la pagina richiesta.

Per i cookie di “terze parti”, l’informativa ed il consenso sono, di norma, a carico del terzo.
Tuttavia è comunque necessario che il visitatore del sito sia adeguatamente informato che quel sito utilizza cookie di terze parti e ciò deve avvenire nel momento in cui il visitatore accede al sito web che consente la memorizzazione dei cookie di terze parti o quando accede ai contenuti forniti dalle terze parti ed, in ogni caso, prima che i cookie vengano scaricati sul terminale del visitatore.
E’ pero’ necessario che il titolare del sito web inserisca nell’informativa cookie estesa i collegamenti (link) alle pagine web di terzi contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti al fine di mantenere distinta la responsabilità dei titolari o gestori del sito web da quella delle terze parti,.

Se il tuo sito web ha collegamenti ai social in generale, sarà necessario inserire nella cookie policy la precisazione che il sito utilizza questi servizi, i quali servizi sono di terze parti e che ogni ulteriore chiarimento in merito all’utilizzo di questi cookie sono disponibili sul sito del terzo inserendo il link di collegamento al sito Facebook, Twitter, Google in cui viene spiegato, da parte di questi siti terzi, l’utilizzo di questi cookie e le modalità per disattivarli

Per l’utilizzo di qualsiasi cookie sarà necessario acquisire il consenso informato?

No. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy).

A titolo esemplificativo sono cookie per i quali non è necessario acquisire il consenso preventivo e informato dell’utente:

• i cookie impiantati nel terminale dell’utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per “riempire il carrello” negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.;
• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti “analytics“) se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata;
• i cookie analytics gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.

Per tutti occorre però che l’informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).

I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con le modalità che spiegheremo più avanti.

Tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni quali ad esempio AdSense, Google+, Facebook, Twitter, Youtube devono necessariamente essere autorizzati dal visitatore del sito web. Questi servizi non possono infatti considerarsi cookie tecnici, in quanto non sono strettamente necessari al corretto funzionamento del sito web visitato né tanto meno rappresentano un servizio richiesto dall’utente/visitatore, bensì sono da considerarsi, in base alle loro finalità, cookie di profilazione per campagne di advertising con conseguente operatività dell’obbligo di informativa e di consenso.

Come capire quali cookie sono presenti sul nostro sito?

Per capire quali cookie vengono installati quando un utente visita le pagine del nostro sito internet è possibile installare un addons in Firefox, uno dei browser che utilizziamo per navigare su internet.

Una volta installato e riavviato il browser dobbiamo visitare le varie pagine del nostro sito giacchè non in tutte vengono installati gli stessi cookie. E’ possibile così stilare una lista di tutti i cookie utilizzati e per ognuno dei cookie così trovati andrà poi effettuata una ricerca per capire se è di tipo tecnico, di terze parti o di profilazione.

Cosa fare per mettersi in regola?

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.
Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page perché l’utente potrebbe avere come entry page qualsiasi contenuto del sito tramite i motori di ricerca.

Non è richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma può esservi un’accettazione tacita continuando la navigazione.

E’ necessario poi qualora il sito utilizzi cookie di profilazione redigere un documento in cui presentare i cookie che si usano, sia tecnici che di terze parti. Questa pagina è la cosiddetta “informativa estesa“ o cookie policy.

L’informativa deve contenere:

– gli elementi di cui all’art. 13 d.lgs. 196/2003 (“Codice Privacy”);

– una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le impostazioni dei browser;

– la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link);

– la descrizione delle categorie di cookie tecnici suddivisi per finalità;

– la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;

– la descrizione delle finalità dei cookie di terza parte. Per ogni terza parte che installa cookie (identificabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle finalità del cookie e iI link all’informativa;

All’interno dell’informativa estesa devono essere presenti anche i link alle modalità per eliminare i cookie dai vari browser. Chiunque ha infatti la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti.

Molti titolari dei siti web tendono a fare copia/incolla di privacy policy e cookie policy da siti esistenti senza tuttavia considerare che le finalità di trattamento dei dati ed i cookie possono essere assolutamente differenti. Così facendo si rischia di prevedere nella propria informativa l’utilizzo di cookie (profilazione, terze parti) anche laddove invero non ne viene fatto oppure per finalità del tutto diverse.
Considerato le elevatissime sanzioni previste in caso di controlli da parte del Garante è consigliabile rivolgersi a un buon avvocato per farvi seguire e consigliare.

In che sanzioni posso incorrere?

Le sanzioni previste possono essere davvero pesanti. Oscillano infatti da 6000 a 36000 euro per omessa informativa o informativa non idonea, da 10000 a 120000 euro in caso di installazione di cookie in assenza di preventivo consenso e da 20000 a 120000 euro per omessa o incompleta notificazione al Garante.

Obbligo di notifica al Garante?

L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti.

Il Garante chiede infatti una notifica solo dei cookie persistenti che riguardano informazioni personali. Pertanto quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o per analizzare abitudini o scelte di consumo” vanno notificati.

Tutti i cookie tecnici – compresi quelli di Web Analytics espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.

Ne consegue pertanto che qualora un sito web non facesse uso di cookie di profilazione non sarà tenuto ad alcuna notificazione al Garante privacy.

Nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti.
La notificazione deve essere effettuata prima che inizi il trattamento dei dati personali e deve essere trasmessa telematicamente attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt con pagamento delle relative spese di segreteria che ammontano a circa 150,00€.
Ricordiamo che la normativa in materia di protezione dei dati personali prevede sanzioni amministrative in caso di mancata notificazione consistente nel pagamento di una somma da 20.000€ a 120.000€.