Dal 3 giugno 2015 tutti i siti web italiani dovranno adeguarsi alle previsioni in materia di cookie di cui al provvedimento 229/2014 del Garante per la tutela del dati personali.
I cookie sono file di testo contenenti un identificativo univoco che consente di distinguere il dispositivo sul quale è caricato, quindi l'utente che lo utilizza. Non sono programmi, quindi di per sé non sono in grado di fare nulla, ma possono essere letti dai siti web, e in special modo i siti che hanno caricato quel cookie sul dispositivo dell'utente possono associare una serie di informazioni all'identificativo, permettendo di automatizzare alcune procedure (es. il Login) ma al contempo anche di realizzare una profilazione dell'utente.
NORMATIVA
Fin dal 2002 la normativa di regolamentazione dei cookie (direttiva 2002/58/CE) prevede che il titolare del sito web debba raccogliere il consenso dell'utente, e che tale consenso sia informato. Infatti il Garante italiano già nel 2006 (provvedimento del 10 maggio 2006) asseriva che l'uso dei cookie "viola il divieto di utilizzo di una rete di comunicazione elettronica per accedere ad informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente", richiamando l'art. 122 del codice privacy.
La direttiva del 2002 viene modificata tramite la direttiva 2009/136/CE (ePrivacy). L'Italia ha però recepito solo nel 2012 tali modifiche, dopo di ché sono intervenute le istruzioni applicative del Garante. Dal 3 giugno i siti dovranno essere a norma.
L'art. 122 del codice privacy prevede che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3".
Sempre l'art. 122 stabilisce, però, che non è vietata "l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio" (per una classificazione dei cookie si legga Cookie e riforma europea: come mettere in regola il sito web).
Ulteriormente l'art. 122 prevede che il Garante debba determinare le modalità semplificate per informare i visitatori del sito. A tal proposito il Garante ha indetto un'apposita consultazione sull'uso dei cookie, e ha redatto delle FAQ per una corretta gestione dei cookie.
Il gestore del sito potrà avvalersi anche di "specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente".
NUOVE REGOLE
In sintesi deve cessare la pratica del trattamento occulto dei dati degli utenti, che determina gravi ricadute sulla privacy degli stessi.
Per garantire la conformità alla normativa è essenziale adottare modelli di informativa, sia quella breve che quella estesa, che siano chiari e dettagliati al punto da consentire all'utente di esprimere un consenso informato e specifico all'archiviazione sul proprio dispositivo dei cookie.
La normativa, e il relativo provvedimento del Garante, si applicano a tutti i siti, nessuno escluso, gestiti da soggetti stabiliti in Italia (per "stabilimento" deve intendersi il luogo in cui viene effettivamente esercitata, mediante un'organizzazione stabile, l'attività di trattamento dei dati, per cui è irrilevante se si tratti di sede principale, succursale o filiale).
La normativa trova applicazione anche nel caso di navigazione da mobile, quindi anche le versioni mobili del sito dovranno essere adeguate. Inoltre si applica non solo ai cookie ma anche a tutti gli strumenti analoghi, come i web beacon, clear gif o similari, che consentono l'identificazione del dispositivo usato dall'utente.
Clicca per caricare il video. Alcuni dati potrebbero essere inviati a YouTube. Leggi l'informativa Privacy
COOKIE
Regola generale:
- per l'invio dei cookie occorre il consenso.
Esenzioni (cookie tecnici):
a) cookie finalizzati unicamente alla trasmissione di una comunicazione su rete elettronica (devono essere stricly necessary, cioè strettamente necessari e quindi in loro assenza la comunicazione non si realizza).
Esempio: cookie di bilanciamento (bilanciano il carico di informazioni).
b) cookie collegati ad un servizio espressamente richiesto dal visitatore.
Esempi: cookie di sessione (user input cookie); cookie di login (se richiesto dall'utente con l'opzione "ricordami su questo sito"); cookie di login (per controllare tentativi non autorizzati di accesso al sito, o attacchi brute force); cookie multimediali (visualizzazione filmati Flash); cookie di impostazione lingua o preferenze di visualizzazione (se non permanenti); cookie di analytics (analisi statistica degli accessi/visite al sito se raccolgono informazioni in forma aggregata e non recuperano dati personali degli utenti); social cookie (cookie dei social button ma solo se l'utente è già loggato nel social).
Queste due categorie costituiscono i cookie tecnici, per i quali non occorre consenso ma deve essere data l'informativa. L'esenzione vale però solo nel caso in cui i cookie non siano persistenti ma di sessione (cioè scadono alla chiusura del browser oppure all'erogazione del servizio).
Cookie di profilazione e marketing: raccolgono informazioni relative alla navigazione degli utenti, i siti che usano, le pagine che visitano, ecc..., per poter intuire i gusti dell'utente realizzandone una profilazione al fine di inviargli pubblicità personalizzata. Necessitano di consenso preventivo oltre che dell'informativa, e devono scadere al massimo entro 12 mesi.
Ai sensi dell'art. 37 del Codice della privacy, un trattamento di dati trattati con l'ausilio di strumenti elettronici ai fini della profilazione dell'utente comporta l'obbligo della notifica preventiva al Garante (utilizzando l'apposito modulo telematico -le spese di segreteria ammontano a circa 150 euro-). La notifica riguarda i cookie di profilazione di prima parte, ma anche quelli di terze parti se il titolare del sito può accedere (anche in base ad accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, in quanto in tal caso si ravvisa una contitolarità del trattamento.
Esempi: cookie di analytics (nel caso in cui l'analisi dei dati non sia in forma aggregata); social cookie (se l'utente non è loggato nel social); cookie di retargeting (o remarketing).
Cookie di terze parti: un'ulteriore distinzione si deve fare tra cookie di "prime parti", cioè quelli installati direttamente dal sito visitato, e cookie di "terze parti", cioè quelli che provengono da soggetti esterni al sito visitato, e che il sito visitato veicola soltanto, fungendo da intermediario. Poiché il sito visitato non gestisce tali cookie, l'informativa e l'acquisizione del consenso sono a carico del terzo (si veda la FAQ del Garante, punto 14), ma occorre che il sito informi adeguatamente che il sito veicola tale tipo di cookie.
Ovviamente è possibile che, sulla base di accordi con le terze parti, sia lo stesso sito a informare dettagliatamente gli utenti e chiedere il consenso all'installazione dei cookie (per le problematiche relative ai cookie di terze parti si consiglia di leggere l'articolo su ValigiaBlu).
CONSENSO E INFORMATIVA
Per quanto riguarda l'acquisizione del consenso, il Garante ha individuato delle modalità esemplificate, attraverso due livelli.
Al primo livello abbiamo un banner da inserire nella home page, realizzato in modo che presenti una discontinuità rispetto al resto del sito (dimensioni tali da essere facilmente visibile, caratteri più evidenti, colori contrastanti rispetto al sito) e che quindi solleciti l'attenzione dell'utente. Nel banner sarà presente l'informativa semplificata. In essa andrà precisato:
- il sito fa uso di cookie;
- se sono presenti cookie di terze parti;
- se sono presenti cookie di profilazione;
- il link all'informativa estesa;
- l'indicazione che proseguendo nella navigazione del sito (o cliccando sul pulsante predisposto) si acconsente all'uso degli stessi;
- l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso ai cookie.
Esempio:
"Questo sito utilizza cookie, anche di terze parti, per inviare pubblicità e servizi in linea con le tue preferenze. Leggi l'informativa (link) per saperne di più o negare il consenso ai cookie. Chiudendo il banner, scorrendo la pagina o cliccando su un altro elemento della pagina acconsenti all'uso dei cookie". |
Il sito deve bloccare i cookie (tranne quelli tecnici) fino all'ottenimento del consenso da parte dell'utente, per il quale occorre un comportamento attivo, tipo il clic su un pulsante "ok) in collegamento al chiaro avviso dell'uso di cookie sul sito, oppure altro comportamento concludente (clic su altro link presente sul sito o proseguimento della navigazione). Anche in assenza di interazione col modulo del banner la prosecuzione nella navigazione può comportare consenso all'installazione dei cookie, purché tale indicazione sia esplicitata nell'informativa.
Tale preferenza espressa dall'utente potrà essere salvata attraverso un altro cookie che, essendo tecnico, non necessita di consenso.
Al secondo livello abbiamo l'informativa estesa (raggiungibile dal link nel banner e dal link "Informativa" in tutte le pagine del sito) nella quale occorrerà indicare:
- le informazioni di cui all'art. 13 d. lgs 196/2003 (Codice Privacy);
- i cookie che veicola il sito (non è necessaria un'elencazione dettagliata, ma può essere fatta per categorie suddivise per finalità);
- le finalità dei cookie;
- le modalità di disabilitazione dei cookie (es. tramite opzioni del browser);
- nel caso di cookie di terze parti, il link alle pagine dei servizi delle terze parti, pagine nelle quali sono presenti le informazioni sui cookie veicolati attraverso il sito, e le modalità di disabilitazione.
Nel caso in cui risulti difficile individuare tutte le terze parti si può ovviare inserendo il link al servizio YourOnlineChoices che offre indicazioni su una serie di servizi di profilazione pubblicitaria (purtroppo non censisce tutti i servizi per cui non è sempre sufficiente tale link) fornendo gli strumenti per disabilitarli.
SANZIONI
Poiché l'art. 122 del Codice Privacy non è richiamato dall'art. 167, il trattamento di dati personali a mezzo di cookie, che sia in contrasto con la normativa vigente non comporta l'applicazione di sanzioni penali. Ad esso però si applicano specifiche sanzioni amministrative.
In caso di omessa informativa o di informativa inidonea, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
Tipo | Consenso | Banner | Informativa breve | Informativa estesa | Notifica Garante |
Tecnici | NO | NO | NO | SI | NO |
Profilazione | SI | SI | SI | SI | SI |
Terze parti | SI/NO | SI | SI | SI | NO/SI |
Necessitano di preventivo consenso:
- cookie di profilazione;
- cookie di retargeting (remarketing);
- cookie di social network;
- cookie di statistica gestiti completamente dalle terze parti.
Modalità di consenso:
- Click su pulsante (OK, Accetto)
- Click su link nel sito (passaggio ad altra pagina)
- Azione di scorrimento (banner in alto)
Violazioni | euro |
Omessa o inidonea informativa (art. 161) | 6mila a 36mila |
Installazione cookie in assenza di consenso (art. 162, comma 2-bis) | 10mila a 120mila |
Omessa o incompleta notifica al Garante (art. 163) | 20mila a 120mila |
AGGIORNAMENTO:
L'11 giugno il Garante ha finalmente pubblicato uno schema esemplificativo che chiarisce ogni aspetto, confermando quanto detto nell'articolo.