Dal 3 giugno 2015 tutti i siti web italiani dovranno essere in regola con le nuove norme dettate dal Garante della Privacy in materia di informativa semplificata e di acquisizione del consenso per l’uso dei cookie.
Manca poco all’entrata in vigore del Provvedimento del Garante della Privacy n. 229/2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” – 8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014.
Dal 3 giugno 2015, tutti i siti web italiani dovranno essere in regola con le nuove norme dettate dal Garante della Privacy e dovranno obbligatoriamente informare gli utenti nel modo più semplice possibile.
Cosa sono i cookie?
Ecco come li definisce il Garante della Privacy:
«I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.
Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.»
Il Garante ha suddiviso in due macro-categorie i cookie rilasciati da un sito: Cookie Tecnici e Cookie di Profilazione.
COOKIE TECNICI
«I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.
Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.»
In sintesi, i Cookie Tecnici sono quelli:
- relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;
- relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);
- relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.
COOKIE DI PROFILAZIONE
«I Cookie di Profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.
Ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).»
I cookie di profilazione permettono, dunque, di creare un profilo dell’utente e sono impiegati per inviare messaggi pubblicitari che rispecchiano le preferenze che lo stesso ha manifestato nella navigazione e sono:
- di profilazione pubblicitaria;
- di retargeting;
- dei social network;
- di statistica gestiti da terze parti.
IMPORTANTE: i Cookie di profilazione non possono restare sul dispositivo del visitatore per un periodo superiore a 12 mesi.
Eccezioni
Due eccezioni per i Cookie di Profilazione relativi a servizi di statistica. Tali deroghe permettono di non chiedere obbligatoriamente il consenso preventivo nei seguenti casi:
- Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito (es. Piwik, Sawmill ecc.), quelli non forniti da servizi esterni di terze parti;
- Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa accedere né utilizzare i dati in forma disaggregata a livello IP.
INFORMATIVE
Sono due le tipologie di informativa da considerare, in base ai cookie che si utilizzino, da inserire nel proprio sito.
1. Informativa breve
L’informativa breve è un testo contenuto in un banner da inserire nel sito web che informi l’utente sui cookie utilizzati sul sito e su come disattivarli. Ecco un esempio:
«Questo sito utilizza/non utilizza cookie per inviarti pubblicità e servizi in linea con le tue preferenze e cookie di terze parti. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.»
2. Informativa Estesa
L’informativa estesa può essere una pagina dedicata a tale scopo oppure una sezione all’interno della Privacy Policy del sito in cui riportare:
- gli elementi di cui all’art. 13 d.lgs 196/2003
- spiegazione completa su cosa sono i cookie e su come gestirli tramite il browser
- spiegazione di come viene prestato il consenso (scroll, tasto OK oppure X + link)
- descrizione completa dei cookie tecnici suddivisi per finalità
- descrizione dei cookie di profilazione proprietari e/o di terze parti con la loro finalità
- link ai siti delle eventuali terze parti, alla loro informativa e al modulo di consenso dato dagli stessi al gestore del sito per l’installazione dei cookie profilanti.
IL KIT DI IMPLEMENTAZIONE
A seguito del Provvedimento del Garante è stato presentato il kit di implementazione della cookie law Italy, dalle principali associazioni di categoria. Una semplice ed utile guida dedicata ai gestori dei siti, con preziose indicazioni e soluzioni da implementare entro il 2 giugno per non incorrere in onerose sanzioni.
OBBLIGHI E SANZIONI
I titolari dei siti che utilizzano Cookie di Profilazione sono obbligati a notificarlo preventivamente al Garante (cfr. art. 37, comma 1, lett. d, del Codice della Privacy) mediante la compilazione e l’invio dell’apposito modulo, disponibile al seguente link: https://web.garanteprivacy.it/rgt
Dall’obbligo sono esclusi i titolari di siti che inviano Cookie di profilazione solo tramite servizi di terze parti in quanto non rientrano nel controllo degli stessi. Tuttavia, se il titolare del sito può accedere in forma disaggregata a questi dati (es. Google Analytics senza Mascheratura dell’indirizzo IP) si ritorna sull’obbligo in quanto ipoteticamente interpretabile come co-titolare e va quindi notificato.
Le sanzioni possono essere onerose per:
- omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
- installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
- omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.