Linee guida su Privacy e Cookie Law

Il 2 giugno 2015 anche in Italia entrano in vigore i nuovi adempimenti previsti dalla linee guida su Privacy e Cookie Law. 

COSA SONO I COOKIE?

Ogni volta che ci colleghiamo con un sito Internet, il browser preleva automaticamente tutti gli elementi che compongono le pagine visualizzate e li salva in una cartella, sul disco fisso, che forma la cosiddetta cache.
Oltre alla cache, il browser Internet memorizza sul disco fisso anche i cookie (in inglese, “biscotto“): semplici file di testo compatti contenenti delle informazioni sull’utente che naviga. La generazione del cookie, che avviene sempre fornendo tutte le necessarie istruzioni al browser web dell’utente, qualunque sia prodotto che egli stia impiegando, ha luogo sul sistema client ed il contenuto del cookie viene reinviato all’applicazione web ogni qualvolta l’utente si connetta al medesimo server remoto. Servono per esempio a far “ricordare” al browser alcune password che non abbiamo voglia di riscrivere ma spesso sono strumenti usati comunemente per creare profili relativi all’utente che naviga per visualizzare messaggi in linea con le preferenze e le abitudini manifestate durante la sua attività online.

 

linee-guida-su-privacy-cookie-law-cache

 

CHI CI PROTEGGE?

«La vera sfida di oggi è quella di rendere concreti i principi di protezione dei dati – è quanto afferma il Garante per la Privacy Antonello Soro – effettiva la trasparenza dei trattamenti e agevole l’esercizio dei diritti degli utenti». E con il provvedimento n.229/2014 per l’ “individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” che entrerà in vigore il 2 giugno prossimo ha voluto sferrare il primo colpo. Dopo il provvedimento del Garante, le principali associazioni di categoria hanno presentato il kit di implementazione della Cookie Law Italy, ovvero una semplice guida su tutto quanto occorre sapere circa gli obblighi dei proprietari o amministratori di siti web e circa i cookies, suddivisi in “tecnici” e “non tecnici”, ovvero quelli di profilazione pubblicitaria, di statistica o relativi alle interazioni con i social networkscaricabile qui

Vediamo nel dettaglio cosa è cambiato con queste nuove linee guida sulla normativa europea su privacy e cookie approvate dal Garante, le conseguenze della cookie law, e come adeguarsi alle nuove disposizioni che andranno in vigore dal 2 giugno 2015. 

Le norme qui indicate sono obbligatorie per ogni sito indipendentemente dal device attraverso il quale viene fruito e utilizzato. Insomma vale anche per siti mobile, siti responsivi e app.

Nel leggere tenete sempre in considerazione che quanto segue può contenere delle semplificazioni, ed è sempre consigliabile consultare il testo giuridico originale o un consulente legale.

 

LA COOKIE LAW IN BREVE

In breve, con l’entrata in vigore della cookie law, dal 2 giugno 2015 non sarà più possibile installare cookie prima di:

  1. Aver predisposto e mostrato all’utente un banner informativo
  2. Aver predisposto e mostrato all’utente una cookie policy
  3. Aver richiesto il consenso agli utenti

LA COOKIE LAW VALE PER COOKIE DI PROFILAZIONE ovvero:

di profilazione pubblicitaria; di retargeting; dei social network; di statistica gestiti da terze parti.

ATTENZIONE: i Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi, avvisate i vostri sviluppatori affinché adeguino la vita dei cookie di questo tipo.

 

 LE ECCEZIONI RIGUARDANO I COOKIE TECNICI ovvero:

a) relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;

b) relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);

c) relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.

 

1) BANNER INFORMATIVO

– E’ necessario che i siti che installano cookie – anche tramite strumenti terzi – mostrino un banner con un’informativa breve alla prima visita dell’utente.

– Questo testo breve deve fornire le finalità di installazione dei cookie di cui si fanno uso. Il banner deve essere ben visibile dall’utente, quindi sufficientemente discontinuo rispetto al sito  che si sta navigando.

-E’ possibile inserire questa informativa con una striscia in alto al sito (header) o al centro.

– Un esempio: “Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all’uso dei cookie.

linee-guida-su-privacy-cookie-law-esempio-banner

 

1a) INFORMATIVA ESTESA

L’informativa estesa è una pagina del tuo sito web dove riportare per filo e per segno:

  • gli elementi di cui all’art. 13 d.lgs 196/2003
  • spiegazione completa su cosa sono i cookie e su come gestirli tramite il browser
  • spiegazione di come viene prestato il consenso (scroll, tasto OK oppure X + link)
  • descrizione completa dei cookie tecnici suddivisi per finalità
  • descrizione dei cookie di profilazione proprietari e/o di terze parti con la loro finalità
  • link ai siti delle eventuali terze parti, alla loro informativa e al modulo di consenso dato dagli stessi al gestore del sito per l’installazione dei cookie profilanti.

 

2) COOKIE POLICY

– Non serve fare la lista di tutti i cookie installati, devono essere chiarite le finalità di tale installazione.

– Qualora i cookie di profilazione- non tecnici vengano gestiti dal titolare del sito, è necessario che all’interno della cookie policy sia possibile esercitare il consenso da parte dell’utente. Senza avere il consenso da parte dell’utente è obbligatorio bloccare i cookie.

– Se nel sito ci sono cookie di profilazione di terze parti che ne installano o che potrebbero installarne, bisogna inserire un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.

– Chi usa cookie profilanti proprietari deve obbligatoriamente notificarlo al Garante per la Privacy (a pagamento, 150 euro per sito quali diritti di segreteria). La notifica deve esser fatta online, dal titolare del cookie.

3) RICHIESTA CONSENSO

– Il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento/scrolling della pagina.

– Il consenso è in sospeso solo quando: l’utente abbandoni il sito senza proseguire la navigazione o visualizzi la cookie policy.

– All’interno della cookie policy l’utente può negare il consenso all’installazione dei cookie. Come? Deve visitare i siti dei singoli servizi utilizzati dal sito e fare riferimento alle policy degli stessi ed alle istruzioni da questi fornite per prevenire il tracciamento.

Ecco un testo di esempio tratto dal documento fonte del post e un sito che lo usa attivamente:

 

ALCUNE PERPLESSITÀ COMUNI

  • se si usa Google Analytics per ottenere informazioni sui tuoi utenti e il loro comportamento, dovresti scrivere sul banner informativo che usi cookie di profilazione di terze parti, e indicarlo in maniera approfondita nell’informativa completa. Non c’è bisogno di fare la notifica al Garante, come per TUTTI i cookie delle terze parti
  • usando Adsense, remarketing o altre iniziative pubblicitarie bisogna inserire il banner in home (informativa breve) e, nella descrizione lunga, il link alla policy del servizio specifico che si fornisce (informativa completa)
  • se si utlizzano i cosiddetti social plugin (quindi i pulsanti social di Facebook, Twitter, Google+ e via dicendo) che comportano l’installazione di cookie, deve indicarlo nel banner informativo
  • Tutti i siti che contengono cookie di terze parti devono avere le policy a prescindere dal sistema di analytics usato. Il motivo? Si stanno comunque raccogliendo informazioni sugli utenti
  • il titolare del sito non è chi lo gestisce ma la società che svolge l’attività sul sito stesso e che dunque tratta i dati degli utenti.

linee-guida-su-privacy-cookie-law-home

 

4) COME CAMBIERA’ IL PROCESSO DI NAVIGAZIONE DI UN SITO

Secondo la normativa, l’interazione col visitatore del sito dovrebbe essere eseguita così:

  1. mostrare l’informativa per esempio tramite banner/overlayer;
  2. inviare i Cookie tecnici;
  3. verificare se l’utente abbia già espresso preferenze, analizzando se alla prima visita o meno. In caso di seconda visita e mancanza di esplicito consenso fare in modo di eliminare i Cookie e considerare l’utente come fosse alla prima visita;
  4. in caso di negazione esplicita del consenso: blocco dei Cookie di terze parti che rilasciano Cookie di profilazione, poi rilascio dei Cookie che non profilano l’utente. In caso positivo invece: rilascio dei Cookie di profilazione;
  5. salvataggio delle preferenze utente di consenso in un Cookie (così da non mostrare più il banner/informativa);
  6. gestione e aggiornamento della Cookie Policy.

In sostanza al primo accesso sul sito si possono rilasciare sempre i Cookie tecnici, ma non quelli di profilazione nel caso in cui l’utente non abbia ancora esplicitato il consenso.

ATTENZIONE: il Garante richiede che si tenga traccia del consenso da parte dell’utente utilizzando un Cookie tecnico.

5) COSA FARE IN CONCRETO

Questo adattamento sarà purtroppo impegnativo per molti siti e richiede modifiche al codice del sito stesso. Il Garante è stato su questo punto molto chiaro ed è necessario adeguarsi se si vuole rispettare la legge en on incorre a multe, anche molto salate.

Bisognerebbe già predisporre i propri siti secondo le nuove normative in maniera che tutti gli utenti che avranno visitato il sito prima del 2 Giugno 2015  avranno già lasciaro la preferenza impostata sul sì e potranno ricevere l’installazione di cookie senza limitazioni. Raccogliere quanti più consensi possibile da oggi fino al 2 Giugno 2015 è quindi la chiave per ridurre drasticamente l’impatto della cookie law sul nostro business online.

In breve, il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy, tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

  1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
  2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
  3. catalogare i Cookie per finalità di trattamento;
  4. aggiornare, integrando, la Privacy Policy del sito;
  5. modificare il comportamento automatico del sito in merito ai Cookie.

6) PER GLI ADDETTI AI LAVORI

Per adeguare il vostro sito o e-commerce al Cookie Law dovrete chiedere ai web master di mettere mano al codice del sito per fare in modo che risponda automaticamente alle scelte (esplicite o non) dei visitatori.

Nello specifico chi sviluppa le modifiche al sito dovrà:

  1. isolare i blocchi di codice che potrebbero inviare Cookie di terze parti (es. Javascript di tracciamento);
  2. inserire in tutte le pagine la visualizzazione dell’Informativa con possibilità di interazione e scelta;
  3. fare in modo che il punto 1 lavori in base alle scelte del punto 2.

Esiste poi un interessante escamotage. In pratica, se il visitatore non dà il consenso esplicito, il sito può inviare i Cookie, ma non li deve usare fino a comunicazione contraria e, se questa non arriva durante la visita stessa, alla visita di ritorno vanno eliminati. Tutto ciò garantisce l’assenza di lettura/aggiornamento dei Cookie durante la visita successiva e quindi l’assenza di profilazione dell’utente. Infatti, se non c’è un consenso o un diniego esplicito, occorre prevedere un Cookie tecnico che identifichi l’utente come alla prima visita, chiedendo nuovamente il consenso.

OBBLIGHI E SANZIONI

Le multe possono essere onerose, alcuni esempi:

  1. omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
  2. installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
  3. omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.

Tutto questo è applicabile a i soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).

 

 

 

 

.

Categorie: e-commerce, Internet, Internet marketing, Siti web, Social marketing e Web marketing.