Cookie Law

Entro il 2 giugno molti siti dovranno adeguarsi alla normativa sui cookie. Il principio è chiaro: chiunque faccia uso di cookie sul proprio sito è tenuto ad informare i navigatori della possibilità di essere tracciati. La questione è però complessa e sono previste ingenti sanzioni per chi non si adegua. Banner in home page, informativa estesa, distinzioni tra cookie tecnici e profilanti: tutto quello che occorre sapere sulla normativa, sugli espedienti tecnici per mettersi in regola e sui rischi che si corrono ignorando le prescrizioni del Garante.

Entro il 2 giugno molti siti dovranno adeguarsi alla normativa sui cookie. Il principio è chiaro: chiunque faccia uso di cookie sul proprio sito è tenuto ad informare i navigatori della possibilità di essere tracciati. La questione è però complessa e sono previste ingenti sanzioni per chi non si adegua. Banner in home page, informativa estesa, distinzioni tra cookie tecnici e profilanti: tutto quello che occorre sapere sulla normativa, sugli espedienti tecnici per mettersi in regola e sui rischi che si corrono ignorando le prescrizioni del Garante.

Dal 2 giugno 2015 tutti devono iniziare a rispettare le prescrizioni del Garante della Privacy sui cookie, i mattoncini di informazioni che mettono in rapporto un sito Internet con il browser di navigazione che l’utente usa per visitarlo. Questi piccoli elementi di codice nati per ottimizzare l’esperienza e in taluni casi profilare l’utente così da riconoscerlo la volta successiva che tornerà a farvi visita, pongono da sempre molti interrogativi sul rispetto della privacy. Una legge europea ha imposto agli stati membri di regolare questi confini e l’Italia l’ha tradotto un anno fa con un provvedimento. Si parte da un concetto semplice, l’obbligo di informare le persone circa i cookie utilizzati (sono più di uno) ed eventualmente rifiutarne l’installazione, ma il passaggio dalla teoria alla pratica è come sempre tutta un’altra storia.

La Cookie Law italiana ha il compito di assicurare piena informazione agli internauti sui dati che la navigazione concede ai sistemi. Nel recente kit di implementazione (pdf) promosso dal Garante insieme ad alcune associazioni, vengono specificati meglio per quali cookie e in quali termini l’amministratore di un sito web deve fornire una informativa sulla privacy e in aggiunta un banner a comparsa immediata sulla home page con una versione più breve. A prima vista sembra volerci una certa ironia a definirla, come fa il garante, “modalità semplificata”, ma il doppio livello nasce da una precisa distinzione tecnica tra due grandi generi di cookie: tecnici e profilanti.

In caso si usino soltanto cookie di tipo tecnico, che hanno come scopo l’ottimizzazione della navigazione (suddivisi a loro volta in tre tipi: di navigazione, analitici e di funzionamento) non sarà necessario l’avviso a comparsa sulla home page con il rimando all’informativa. La questione privacy si concentra sui cookie di profilazione, il cui compito è costruire un profilo dell’utente tenendo conto di comportamenti e abitudini così da potergli mandare o fare apparire pubblicità cucita su misura. Sono loro a motivare la cookie law.

I cookie sono una breve stringa di codice inviata da un sito al visitatore (in termini tecnici, da un server a un client) e che fanno il percorso inverso carichi di informazioni sull’utente: le sue preferenze, il modo in cui apre le pagine, la sua lingua, la sua posizione geografica, le password che usa e molto altro a seconda del tipo di cookie. L’utilità, anzi, necessità del cookie è legata all’autenticazione automatica, alla memorizzazione e al tracciamento. La sua natura prevede che oltre una certa data scada e sia necessario un altro dialogo tra server e client; se così non fosse verrebbe meno una della sue funzioni, quella di generare statistiche aggiornate. In ogni caso i cookie di profilazione non possono rimanere archiviati sul dispositivo dell’utente per un periodo superiore a 12 mesi.

Anche se tutti i browser ormai consentono di bloccarne alcuni tipi e ci sono ancora oggi antispyware che li elencano e bloccano – perché potenzialmente in grado di individuare l’utente – la via migliore è l’uso consapevole. Ad esempio nei siti di ecommerce, il blocco totale dei cookie non consentirebbe l’uso del carrello o il pagamento e se si bloccassero sempre le sessioni all’uscita del sito di fatto ogni volta ci si dovrebbe loggare ai siti visitati più volte al giorno, come Facebook o GMail. Questione di scelta. Ecco perché si è stabilito che prima di attivare i cookie il sito chiede il consenso all’utente, senza il quale i cookie non dovranno essere attivati, tranne quelli che servono al funzionamento del sito e non tracciano il visitatore.

Esistono diversi generi di cookie con diversi livelli di informazione:

  • Cookie di sessione: Si eliminano automaticamente quando si esce dal sito. Non necessitano di essere citati nell’informativa breve.
  • Cookie permanenti: Hanno una scadenza, durante la quale consentono di memorizzare dati e generare statistiche. Sono i cookie che si devono citare nell’informativa estesa, anche se non sono sempre da considerare profilanti.
  • Cookie di prima parte: Sono tutti i cookie leggibili soltanto dal dominio del sito perché creati dal gestore. In caso siano solo tecnici non sottostanno alla cookie law.
  • Cookie di terze parti. I cookie di terze parti sono quelli creati e utilizzati da altri siti tramite quello visitato. I due generi principali sono quelli dei banner pubblicitari e i social button. Sono gli obiettivi principali della cookie law e obbligano a due informative.

Come rispettare la legge e vivere felici

Innanzitutto l’obbligo, chiaro, della Cookie Law italiana: dal 2 giugno tutti i siti dovranno adeguarsi e le multe sono parecchio salate. Non pubblicare le informative provoca una sanzione pecuniaria da diecimila a centoventimila euro e la multa vale anche per l’omessa notificazione al Garante. Per rispettare la legge ecco un esempio interno, l’informativa di Webnews appena realizzata. Questo testo è molto lungo e il Garante non entra nello specifico di cosa deve contenere e soprattutto come. Più rigida invece l’applicazione del banner in home page in cui si devono riportare i cookie utilizzati e il link alla pagina dell’informativa estesa.

Il banner a comparsa in home page su Webnews.it. Come si vede, rispetta il principio della brevità e della funzionalità prevista dal garante della privacy: rimanda a una informativa più estesa, e consente, chiudendolo, scrollando o cliccando "ok", di proseguire la navigazione accettando l'installazione di cookie, compresi quelli profilanti. Se invece si va all'informativa, l'utente viene a conoscenza di tutti i tipi di cookie presenti sul sito, il loro scopo, e come eventualmente cancellarli, bloccarli o consentirli sapendo per quanto tempo verranno memorizzati.

Il banner a comparsa in home page su Webnews.it. Come si vede, rispetta il principio della brevità e della funzionalità prevista dal garante della privacy: rimanda a una informativa più estesa, e consente, chiudendolo, scrollando o cliccando “ok”, di proseguire la navigazione accettando l’installazione di cookie, compresi quelli profilanti. Se invece si va all’informativa, l’utente viene a conoscenza di tutti i tipi di cookie presenti sul sito, il loro scopo, e come eventualmente cancellarli, bloccarli o consentirli sapendo per quanto tempo verranno memorizzati.

Errore da evitare: pensare che gli unici cookie di cui dover rispondere siano quelli proprietari. Sebbene il titolare di un sito sia responsabile dei propri, viene anche considerato un “intermediario tecnico” di quelli di terze parti. Perciò, non esistendo quasi sito al mondo senza social button o altri cookie non tecnici, tutti saranno obbligati a pubblicare un banner in home page e adeguata informativa dove si spiega all’utente, pazientemente, come navigare in forma anonima, cancellare periodicamente i propri cookie, segnalare al sito di non voler essere tracciato, bloccare i cookie di terze parti. Insomma, a usare al meglio il proprio browser di navigazione. Tanto che, concretamente, la Cookie Law potrebbe essere definita come un tutoring degli strumenti del browser che molti utenti hanno sempre ignorato.

FAQ

La legge vale anche per i siti mobile?

Assolutamente sì. Il provvedimento del Garante deve essere applicato anche nei confronti della navigazione da sistemi mobili. Quindi, attenzione alla versione responsive e ai siti mobile.

I pulsanti social sono tutti uguali?

No, sono da considerare profilanti in particolare quelli che esprimono un like, mentre i bottoni di condivisione in genere non danno questi problemi. Meglio però non rischiare. Attenzione anche ai social button widget, generalmente inseriti nel sito per la condivisione facile dei contenuti, ma che contengono codice di profilazione.

Cosa si deve scrivere nell’informativa?

Il Garante ha precisato i concetti che non si possono esimere (il resto è a discrezione). Sono i seguenti:

  • Che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari targhettizzati;
  • Che il sito invia anche cookie “terze parti” (quando li ha);
  • Nell’informativa estesa si deve spiegare cosa fanno i cookie tecnici e analitici e permettere di autorizzare i diversi tipi di cookie;
  • Nel banner deve esserci un link a una informativa estesa dove sarà possibile negare il consenso a qualunque cookie;
  • L’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito dopo aver cliccato ok o chiuso il banner è da considerare come assenso all’installazione nel browser dei cookie. Questa scelta è a sua volta memorizzata da un cookie tecnico, che quindi non obbliga a un altro consenso.

Quando l’utente entra nel sito i cookie possono essere già archiviati?

No, il consenso serve proprio a iniziare l’archiviazione. Gli unici cookie installanti sono quelli tecnici, di funzionamento, ma nessuno di quelli con capacità analitica o di profilazione con una sessione di scadenza prolungata può essere attivato prima dell’ok dell’utente.

La cookie law impone oneri in denaro oltre all’implementazione della finestra di assenso alla profilazione?

Si, il Garante per la protezione dei dati personali prevede un costo di notifica dei cookie pari a 150 euro. Vedi chi deve pagare.

Link copiato negli appunti