Cos'è e come funziona la Cookie Law

Tutto ciò che dovete sapere sui "cookie" e su quel messaggio di avviso che vi compare navigando i siti italiani

08/06/2015

Navigando su qualsiasi sito internet italiano negli ultimi giorni, sicuramente vi sarete imbattuti in un avviso che vi informava riguardo la nuova normativa sui cookie. Ma quanti di voi l’hanno letta con attenzione? E quanti sanno di cosa parliamo quando parliamo di cookie, e in cosa consiste la nuova normativa?

 

Con il termine cookie, letteralmente “biscotti”, si intende dei piccoli file che servono per tenere traccia delle proprie attività su un sito in modo da rendere più semplice il suo utilizzo, o per rilevare le attività svolte durante una visita online. Sono utilizzati, dunque, sia per migliorare l’esperienza di navigazione (in questo caso si chiamano “cookie tecnici”, e possono essere uno strumento positivo per noi utenti); sia per creare delle statistiche sulle nostre modalità di navigazione, come statistiche sugli accessi al sito, oppure monitoraggio del comportamento degli utenti anche allo scopo di inviare loro pubblicità e servizi mirati e personalizzati (in questo caso si parla di “cookie di profilazione”).

 

Ed è proprio per limitare l’abuso dei cookie di profilazione, e per tutelare gli utenti dal conseguente rischio per la privacy, che il Garante della Privacy ha introdotto una norma, in vigore dal 3 giugno 2015, che obbliga tutti i titolari di siti web che utilizzano cookies a informare i propri utenti (ed ecco il motivo dei messaggi che visualizziamo).

Ma chi è tenuto a mettersi in regola? In che modo? A quali sanzioni si va incontro?

Ernesto Belisario, avvocato ed esperto di diritto delle nuove tecnologie, spiega in maniera molto chiara cosa prevede la cookie law:

 

 

1) Chi è tenuto a mettersi in regola?

 

Tutti i titolari dei siti web che installano cookies: pubbliche amministrazioni, imprese, professionisti, freelance, associazioni, blogger, ecc.

Se hanno un sito e utilizzano dei cookies (ad esempio perché embeddano un video di Youtube in un post) sono tenuti a rispettare il provvedimento del Garante; ciò sia che abbiano una piattaforma su proprio hosting, sia che ricorrano a piattaforme erogate da soggetti terzi (servizi come WordPress.com e Blogger.com stanno fornendo ai propri utenti informazioni su come procedere per i cookie memorizzati dalle loro piattaforme).

 

 

2) Quali sono le scadenze?

 

Il Provvedimento del Garante Privacy, in considerazione della complessità dell’adeguamento, ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione in Gazzetta Ufficiale (3 giugno 2014) per consentire ai soggetti interessati di adeguarsi.

Il termine per mettersi in regola, pertanto, scade il 2 giugno 2015.

 

 

3) Quali sono le diverse tipologie di cookie?

 

Il provvedimento distingue gli adempimenti da porre in essere in relazione tipo di cookie memorizzati dal sito, vale a dire se si tratti di cookie “tecnici” o cookie di“profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).

Sono tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata (senza cioè raccogliere gli indirizzi IP), sul numero di utenti e su come questi visitano il sito.

Per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.

Al contrario, oltre all’informativa, sarà necessario acquisire uno specifico consenso per l’utilizzo di cookie di profilazione, quei “biscottini” che consentono di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.

 

 

4) Come deve essere fornita l’informativa per i cookie?

 

Nel caso in cui il sito usi cookie di profilazione, il Garante ha previsto modalità semplificate per rendere l’informativa e acquisire il consenso dall’interessato.

L’informativa sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli:

  • - la c.d. “informativa breve”, contenuta in un banner presentato all’utente al momento del primo accesso al sito;
  • - la c. d. “informativa “estesa”, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio.

 

L’informativa breve dovrà indicare:

– se il sito utilizza cookie di profilazione;

– se il sito consente l’invio di cookie di terze parti;

– il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie;

– che, proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie.

Il gestore del sito dovrà registrare il consenso, eventualmente attraverso un apposito cookie tecnico, in modo da non proporre nuovamente il banner con l’ informativa breve alle successive visite dell’utente.

Il Garante ha chiarito che, qualora il sito installi cookie “di terze parti” (come – ad esempio – Google Analytics oppure quelli per la condivisione su Facebook e Twitter), incombe sul gestore del sito rendere l’informativa e acquisire il consenso.

Per questo motivo, l’informativa estesa dovrà contenere i link alle informative delle terze parti.

 

 

5) Cosa bisogna fare oltre all’informativa?

 

Il meccanismo definito dal provvedimento del Garante Privacy è un sistema di opt-in, per cui il gestore del sito deve garantire che nessun cookie di profilazione e di terze parti debba essere memorizzato sul terminale dell’utente prima che questi abbia prestato il proprio consenso.

Si tratta, probabilmente, della parte più complessa per l’adeguamento: se scrivere le informative può essere relativamente semplice, sicuramente più complesso è garantire che nessun cookie non tecnico sia installato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza.

Tanto più se si tiene conto delle sanzioni previste:

  • per i casi di omessa o incompleta informativa la sanzione prevista è da 6 mila a 36 mila euro l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da diecimila a centoventimila euro”.

 

 

Insomma, i biscottini possono costare molto cari.