05 Maggio

Legge sui Cookie, il 2 giugno si avvicina, il tuo sito è a norma?

Scritto da 

 

 

Il parlamento Europeo ha emanato nel maggio 2011 una legge sulla privacy che obbliga i siti internet a richiedere il permesso degli utenti ad utilizzare i cookies relativi ai servizi offerti. La EU Cookie Law (legge europea sui cookies) è stata approvata anche in Italia entrando in vigore un anno dopo, il 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012.

Cos’è un Cookie?

cookie (letteralmente biscottini) sono dei piccoli file di tipo testuale utilizzati per memorizzare preferenzedati e informazioni relative alla navigazione e all’uso del sito internet in oggetto (autenticazioni utente, lingua, preferenze di visualizzazione delle pagine). Ciascuna di queste informazioni utili alla navigazione o a fini di analisi statistiche viene utilizzata ad ogni visita. I cookie scadono e verranno distrutti in funzione di come sono stati impostati dai proprietari del sito.

 Quali sono le disposizioni di questa nuova legge?

La giurisdizione italiana passa da un regolamento “opt-out“, in cui i cookie venivano liberalizzati senza discriminazioni, a una legislazione di tipo “opt-in” in cui è necessario richiedere alla propria utenza un consenso espresso, senza il quale i cookies non possono essere attivati, a meno che i “biscottini” non siano necessari alla prestazione del servizio richiesto (articolo 2-5 della Direttiva).

informativa 

Quali sono i soggetti sottoposti a queste disposizioni?

Tutti i siti internet comunitari in cui la persona/organizzazione cade sotto la giurisdizione europea, indipendentemente da dove risiede fisicamente il server che utilizza i cookies, devono sottostare a questa normativa. E’ tuttavia necessario distinguere due macro-categorie di cookies (fermo restando l’obbligo di legge):

  • First-party Cookie: sono i cookie gestiti direttamente dal sito internet in oggetto. In genere sono i cookie necessari a raccogliere informazioni statistiche sull’esperienza dell’utente (durata della visita, numero di click, etc.) e quelli relativi alla personalizzazione della navigazione (form di login, personalizzazione della grafica, etc)
  • Third-party Cookie: sono salvati sul computer dell’utente da soggetti terzi, come i social network e le agenzia di pubblicità. La remarketing di Google Adwords, ad esempio, salva dei cookies che scadono dopo un numero definito di giorni e servono a costruire segmenti di interessi basati sulle pagine visitate dall’utente.

Non sono esonerati i siti istituzionali e delle pubbliche amministrazioni, quali comuni e regioni.

Andiamo ad analizzare il panorama nel Web a distanza di tre anni della promulgazione di questa legge in Europa e due anni in Italia.

Come mettersi in regola?

Il mondo di internet europeo si sta adeguando lentamente a questa nuova normativa, ma rimane sempre il rischio di incorrere in sanzioni se non ci si mette in regola.

I sistemi per implementare questo controllo e la conferma da parte dell’utenza sono diversi: attreverso pop-upbarre di stato o lightbox in cui i visitatori vengano avvisati dell’uso di cookie da parte del sito e, per non rischiare di perdere utenza a causa di un messaggio poco comprensibile a chi non è del settore, è opportuno inserire un link ad una pagina di approfondimento in cui vi sia una descrizione dei cookies utilizzati.

 

Il garante sulla protezione dei dati personali ha emesso un nuovo provvedimento generale l’8 maggio 2014 di cui si ha avuto aggiornamento sul sito del garante alla privacy e ritrasmesso dai media tradizionali. Ora vi è, anche per i siti italiani istituzionali e non, uno stop all’installazione dei Cookie ai fini di marketing e profilazione dell’utenza da parte dei gestori dei siti senza prima averne informato e ottenuto il consenso da parte degli utenti. Il provvedimento, pubblicato sulla Gazzetta Ufficiale ha emesso delle nuove modalità semplificate per informare l’utenza dei siti internet sull’uso dei cookie e ha fornito delle precise indicazione al fine di acquisire il consenso al loro uso, nei casi richiesti dalla legge.

"Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea. La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole"

Antonello Soro, presidente del Garante privacy”

Il garante ha stabilito che, quando si accede ad una qualunque pagina di un sito web, deve immediatamente comparire un banner o una lightbox ben visibile in cui sia indicato chiaramente:

  1. Se nel sito internet è previsto l’uso di cookie di profilazione ai fini di invio di messaggi pubblicitari mirati
  2. Se il sito utilizza cookie di “terze parti”, i cookie installati da servizi diversi il sito che si sta visitando
  3. Che sia presente un link a informazioni più dettagliate, con le indicazioni dei cookie inviati dal sito dove sia possibile negare l’installazione degli stessi mediante checkbox o mediante link alle pagine di impostazione dei siti che forniscono questi cookie, nel caso di cookie di “terze parti”
  4. L’indicazione che proseguendo nella navigazione del sito si presta il consenso all’uso dei cookie.

 

Esempio di banner per avvertire l’utenza dell’uso
dei cookie proposto dal Garante alla Privacy

 

E’ consentito al sito internet installare un cookie tecnico per tenere traccia del consenso dell’utente e non dover riproporre l’informativa nel caso di nuove visite da parte dello stesso, ma è necessario linkare in tutte le pagine del sito l’informativa estesa in cui dar possibilità all’utenza di modificare anche in seguito le proprie scelte. Come esempio il Garante ha emesso un modello di banner per l’accettazione all’uso dei cookie che ripubblichiamo in questo articolo. I marinai del web potranno decidere in maniera consapevole se far utilizzare o no le informazioni che li riguardano e che i siti internet raccolgono ai fini di far visualizzare pubblicità mirata e annunci sponsorizzati come ad esempio le campagne di remarketing. Una considerazione va fatta a tutti i siti di quotidiani che, pur utilizzando i cookie di terze parti e proprietari, non si sono adeguati a questa notizia, pur ripubblicandola e creando articoli sull’argomento.

La pagina con “L’informativa Estesa”

 

Il nuovo documento presentato l’8 maggio 2014 dal titolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” prevede che si crei (aspetto questo da chiarire e capire come sviluppare), all’interno del sito internet, una pagina in cui l’utenza possa scegliere quali cookie disattivare o attivare e che questa pagina sia raggiungibile mediante un link nel footer da tutte le altre pagine del sito.

In questa pagina è poi necessario inserire tutti gli elementi previsti dall’art 13 del Codice, descrivere le caratteristiche e le finalità dei cookie installati sul sito in maniera specifica e un link aggiornato alle informative e ai relativi moduli di consenso dei cookie di terze parti che il sito emette ai fini di erogazione di annunci sponsorizzati (concessionari di pubblicità) o servizi correlati (ad esempio i social network). E’ poi necessario inserire le informazioni e i link di spiegazione su come abilitare i cookie mediante i vari browser.

Tutti i siti di diritto digitale che abbiamo consultato indicano chiaramente che è poi necessario inserire una zona in cui consentire all’utente del sito la possibilità di selezionare/deselezionare i singoli cookie che vuole siano installati sul proprio dispositivo.

A questo proposito, con BlueFox Studio, abbiamo incominciato a creare una pagina, linkata nel footer di BlueFox Studio come da normativa, in cui abbiamo raccolto le informazioni richieste. Alcune di queste informazioni siamo consci che manchino, in particolare la zona di selezione/deselezione dei singoli cookie, in quanto abbiamo ancora degli interrogativi in merito.

Confidiamo che sia a livello tecnico che giuridico questo punto venga chiarito nel corso dei prossimi mesi.

Tempi di adeguamento dei siti internet alla nuova normativa

Visto l’impatto, economico e tecnico, che richiede l’applicazione di questa normativa ai siti internet italiani, è previsto un periodo transitorio di un anno, a seguito della pubblicazione della normativa sulla gazzetta ufficiale, per mettersi a norma secondo le modalità prescritte. Il termine ultimo rimane quindi il 3 giugno 2015. Nell’arco di questo periodo è altamente probabile che il Garante fornisca ulteriori chiarimenti sulle modalità con cui applicare questo provvedimento.

Come BlueFox Studio si è comportato

Per incominciare a mettere a norma bluefoxstudio.it e a seguire i siti di cui siamo responsabili abbiamo effettuato le seguenti azioni:

  1. Analisi dei cookie che BlueFox Studio rilascia
  2. Creazione di una pagina con linformativa estesa  per i Cookie
  3. Inserimento nel Footer di un link alla pagina con l’informativa estesa
  4. Installazione di un plugin necessario allo sviluppo di un popup
  5. Configurazione del plugin per il popup

Ci teniamo a precisare che ne bluefoxstudio.it né i nostri siti clienti utilizzano cookies di profilazione in quanto la nostra strategia di marketing e quella dei nostri clienti si basa sul servizio e/o prodotto, rendendo non necessario profilare il visitatore. Purtroppo per varie regioni di SEO utilizziamo in alcuni casi plug-in di social network, che rientrano nei cookies di terze parti e vanno quindi segnalati nell’informativa.

Attualmente stiamo ultimando tutte le modifiche sul nostro sito e su quello dei nostri clienti, onde evitare noie, poiché in Italia non sempre si comprende ciò che si deve fare e chi controlla cerca sempre di sanzionare.

Consigliamo quindi, a prescindere, di comportarsi come prescrive il garante e, anche se non si utilizzano cookie di profilazione o di terze parti, redigere un’informativa ad hoc e preparare gli avvisi.

Non si sa mai…

Come capire quali cookie il nostro sito sta installando

Per capire quali cookie vengono installati quando un utente visita le pagine del nostro sito internet abbiamo installato un addons in Firefox, uno dei browser che utilizziamo per navigare su internet.

In particolare tra i vari componenti aggiuntivi di questo browser che abbiamo provato per analizzare i cookie, il più funzionale e dall’analisi più performante e completa ci è sembrato Web Developer, nella versione 1.2.5.

Una volta installato e riavviato il browser abbiamo visitato le varie pagine del nostro sito (non in tutte vengono installati gli stessi cookie) e stilato una lista di tutti i cookie utilizzati mediante la funzione che è possibile trovare sotto: Strumenti >> Web Developer Extension >> Cookies >> View Cookie Information.

Per ognuno dei cookie così trovati abbiamo poi effettuato una ricerca per capire se era di tipo tecnico, di terze parti o di profilazione (ma non avendo campagne attivate ad oggi sul nostro sito quest’ultimo caso era una remota eventualità).

Notifica del trattamento

Ricordiamo che l’uso di cookie di profilazione prevede una notifica del loro uso al Garante, secondo l’articolo 37, comma 1, lettera d) del Codice in quanto siano utilizzati per “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.

Nel caso di cookie tecnici non vi è questo obbligo da parte dei gestori del sito internet.

I nostri interrogativi

Abbiamo ancora alcuni interrogativi in merito a questa vicenda e per cui non ci sentiamo ancora a norma:

  • Abbiamo trovato la pagina da linkare nell’informativa estesa per i servizi di terze parti su quali non abbiamo potere di gestione quali: Facebook, Twitter e Google e ne abbiamo inserito i link nella nostra pagina sull’informativa estesa sull’uso dei cookie. In queste pagine però non viene fornita la possibilità di disabilitare i cookie se non da browser.
  • Nella pagina con l’informativa estesa è necessario inserire la possibilità di far cancellare i singolicookie (che non siano tecnici) indesiderati da parte dell’utenza o questa indicazione è solo rivolta ai cookie di profilazione? Abbiamo riflettuto su questa nostra domanda e siamo giungi alla seguente conclusione: se un cookie non è tecnico è o di profilazione o di terze parti. Se è di terze parti o di profilazione di servizio esterno sarà compito del fornitore di tale cookie dar la possibilità di far disattivare o attivare tale cookie. Nel caso il servizio di profilazione sia di nostra creazione si, dovremo dare modo all’utenza di disattivare tale cookie.
  • Il codice di analytics rilascia un cookie dedicato alla remarketing (profilazione dell’utenza) pur se non viene poi utilizzato dal sito quando si utilizza l’Universal Analytics. E’ necessario avvertire l’utenzaE’ compito del sito che utilizza il servizio di analisi dell’utenza di Google inserire la possibilità, nella pagina con l’informativa estesa, di escludere l’installazione di tale cookie all’utente? E’ possibile, nel caso sia necessaria quest’ultima ipotesi, effettuare tecnicamente questa azione senza invalidare il codice di google analytics? Ora è possibile inviare l’utente ad un componente aggiunto fornito dal colosso di Mountain View per disabilitare Google Analytics.

Sanzioni

Ma cosa rischio se non adeguo il mio sito internet?

Le sanzioni sono tutte di tipo amministrativo e variano in funzione di cosa non viene rispettato

  • Da € 6.000 a € 36.0000 per omessa informativa o informativa non idonea.
  • Da € 10.000 a € 120.0000 per installazione di cookie senza il consenso degli utenti (mancanza del popup).
  • Da € 20.000 a € 120.0000 per omessa o incompleta notificazione al Garante (nel caso si utilizzino cookie di profilazione è necessario effettuare una notifica al Garante secondo l’ex articolo 37, comma 1, lettera d).

 

Linee guida del Garante

 

Qualcosa non ti è chiaro? Vuoi esprimere un parere? Parliamone nei commenti!

Vuoi sapere se il tuo sito è a norma o vuoi metterti in regola? CONTATTAMI

 

 

Letto 4990 volte Ultima modifica il Martedì, 05 Maggio 2015 16:39
Vota questo articolo
(0 Voti)

Lascia un commento

Assicurati di aver digitato tutte le informazioni richieste, evidenziate da un asterisco (*). Non è consentito codice HTML.