Come adeguarsi alla nuova normativa sui Cookie emessa dal Garante per la Privacy?

Negli ultimi anni l’attività più nascosta ma critica che è state eseguita in internet è stato quella di comprendere come la politica avrebbe legiferato sui cookie e come il Garante della privacy avrebbe potuto prendere decisioni che tenessero in considerazione tutti gli aspetti, compreso quello transazionale tipico della Rete.

Questo perché Internet è globale e se solo l’Italia dovesse decidere politiche di limitazione per le aziende e i siti italiani il risultato potrebbe essere un progressivo migrare verso l’estero di tutte le attività web (che se lo possono permettere = quelle che muovono più denaro e anche posti di lavoro). La diatriba sull’adozione della direttiva Europea sui cookie (sì, l’Europa ha già indicato una direzione attraverso una direttiva che i diversi stati devono recepire come meglio credono) era uno di questi casi. Cerchiamo di fare chiarezza.

Guardiamo insieme cosa cambia, cosa fare… e proviamo anche a sfatare qualche mito per riportare sul concreto l’oggetto del contendere.

La normativa è orientata alla protezione della privacy degli utenti… tuttavia costituisce un buon compromesso per il mercato dell’advertising online (che riguarda anche gli investitori pubblicitari).

Il problema non è una semplice contrapposizione fra pubblicitari e utenti. I cookie sono anche usati dalle piattaforme di Web Analytics senza i quali non si potrebbero registrare correttamente le visite di un sito, men che meno sapere che cosa è funzionato e cosa no nelle nostre pianificazioni pubblicitarie. La soluzione individuata va nella direzione di consentire la privacy degli utenti ma senza pregiudicare la navigazione dei siti.

Quanti tipi di Cookie esistono?

Il Garante presenta due tipi di classificazione:

  • cookie “tecnici” vs cookie “di profilazione
  • cookie installati dal titolare o gestore del sito” vs cookie cosiddetti “di terze parti

I cookie tecnici.
Sono quelli che vengono usati per fornire il servizio in modo migliore a chi ne usufruisce. Sono ad esempio usati dalle piattaforme di Analytics ma sono anche quelli che il sito usa per migliorare l’esperienza di navigazione. Ad esempio i cookie che si ricordano che cosa hai nel carrello o la lingua che preferisci sono autorizzati e basta inserire una informativa su quali usi e perché. In altre parole, non è necessario un preventivo consenso degli utenti per il loro utilizzo. Questo è un punto molto importante che semplifica davvero tanto.

I cookie di profilazione.
Usando le parole del Garante, sono “volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”. Per questi è necessaria una adeguata informativa e una richiesta di consenso perché sia il Garante che l’Europa li considerano invasivi rispetto alla sfera privata degli utenti.

I cookie installati dal titolare del sito.
Sono una sorta di first-party cookie, sono definiti anche “editoriali” perché la normativa fa quasi sempre riferimento solo alla dicotomia fra editori/concessionarie e advertiser.

I cookie di terze parti sono utilizzabili ma l’editore deve creare una descrizione di quali sta usando e perché in una pagina di informativa (la c.d. “informativa estesa” di cui vi parlo più avanti). La differenza con i cookie di profilazione è che il Garante accetta che un editore non sia necessariamente informato su tutti i cookie di terze parti che vengono installati e sul loro funzionamento. In questo caso si accetta che l’editore linki il detentore di queste informazioni – cioè la terza parte – per garantire le informativa necessarie.

Cosa è quindi necessario presentare all’utente la prima volta che entra nel sito?

All’utente viene presentato un banner/pop-up/messaggio on-top la prima volta che entra nel sito nel quale viene spiegato che c’è una informativa e che il sito sta tracciando qualche aspetto della sua navigazione, ovviamente in modo del tutto anonimo. Dalla seconda volta in poi, non sarà più necessario presentare questo banner.
Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page perché l’utente potrebbe avere come entry page qualsiasi contenuto del sito (i motori di ricerca funzionano così, no?).

Chiunque ha la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti. Le modalità le spiego meglio sotto. La buona notizia (non dal mero punto di vista del marketing ma proprio per buon senso) è che non è richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma basta continuare la navigazione per accettare implicitamente i contenuti dell’informativa.

Inoltre, i cookie tecnici non hanno bisogno di alcuna autorizzazione!

E’ un sistema più naturale, meno invasivo e che tiene l’Italia al livello delle altre country europee e mondiali. In questo modo si evita che un sito italiano non sia “più ostile” di un qualsiasi concorrente posizionato in Austria o in Francia.

Il tema privacy non è solo per chi lavora o vive di pubblicità: se ne devono occupare le aziende che vogliono usare Internet per promuovere o vendere i propri prodotti.

La normativa parla di editori ma ogni sito web è in qualche modo editoriale e i contenuti che vengono pubblicati sono soggetti alla stessa responsabilità del “proprietario” del sito. Questo rende tutte le aziende italiane con un sito – non solo gli editori che si occupano di informazione – soggetti passivi di questa normativa. Non è quindi un tema solo per editori, concessionarie, centri media, agenzie SEM o performance. E’ un tema di interesse per tutte le aziende che oggi hanno un sito. Mettersi in regola è tutto sommato facile ma ce ne dobbiamo occupare tutti. Vediamo come.

Cosa dobbiamo fare nei nostri siti?

C’è tempo ma il mio consiglio è di partire quanto prima per redigere un documento (cioè una pagina) in cui presentare i cookie che si usano, sia tecnici (in primis quelli della piattaforma di Web Analytics) che di terze parti. Questa pagina è la cosiddetta “informativa estesa“. Dopo di che va predisposto un layer (meglio di un pop-up) – la cosiddetta “informativa breve” – da presentare a tutti i nuovi visitatori del sito in cui mettere il link alla privacy policy e una spiegazione del fatto che continuando la navigazione (leggi: seguendo qualche link o cliccando ovunque) si sta implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di navigazione. Nell’informativa breve va anche indicato se il sito utilizza o meno cookies di terze parti.

Come costruire l’informativa estesa

Per il momento (cioè fino a quando non usciranno precisazioni ulteriori) nella pagina di informativa più dettagliata, deve esserci:

  1. L’informazione che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari in linea con le preferenze dell’utente manifestate nella sua navigazione in Rete (più per editori con adv sul sito)
  2. Che il sito consente l’invio di cookie di terze parti (se presenti)
  3. Un link alla pagina di informativa estesa che dovrà contenere:
    • L’elenco dei cookie utilizzati e una indicazione della loro finalità (cioè perché li sto usando, a cosa mi servono)
    • La possibilità di deselezionare i cookie di profilazione (anche singolarmente)
    • Nel caso di cookie di terze parti, un link alle pagine di informativa di questi soggetti dove si descrive come funziona il cookie (in questo caso siamo una sorta di intermediario fra il nostro utente e il detentore del cookie e delle motivazioni per le quali viene usato)
    • L’indicazione che continuando la navigazione si accettano implicitamente i cookie che il sistema andrà a installare
    • Le istruzioni su come configurare il proprio browser per gestire (non accettare) i cookie del sito

Dobbiamo quindi tenere traccia dell’accettazione o meno della privacy policy e dei cookie di terze parti. Il bello è che il Garante stesso suggerisce di farlo… con un cookie tecnico. E’ molto importante segnalarlo: l’informativa estesa deve essere linkata da tutte le pagine del sito, anche solo nel footer.

Obbligo di notifica?

L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti. Quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo” vanno notificati. Traducendo tutto in termini pratici: il Garante chiede una notifica solo dei cookie persistenti che riguardano informazioni personali. Tutti i cookie tecnicicompresi quelli di Web Analytics espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.

Abbiamo un anno di tempo per adeguarci.

Niente panico, la normativa ci dà un anno intero – la c.d. “fase transitoria” – per adeguare i nostri siti, per inserire le informative e la possibilità di fare un opt-out al tracciamento dei cookie di profilazione. La pubblicazione sulla Gazzetta Ufficiale è del 3 Giugno quindi fino al 2 Giugno 2015 possiamo metterci in regola.

P.S. Le sanzioni sono piuttosto sparametrate ma, si sa, siamo in Italia. Da 6.000 a 36.000 € per informativa non idonea o mancante ai quali si aggiungono da 10.000 a 120.000 € per l’inserimento di un cookie non autorizzato!

Serve un avvocato?

Il consiglio è di far leggere tutto anche a un avvocato ma la normativa è abbastanza chiara e se sei arrivato fin qui potresti avere già tutti gli elementi utili. Comunque, puoi passare al tuo legale questo link dove è spiegato tutto con i riferimenti alle normative pregresse e richiamate: provvedimento del Garante per la Privacy dell’8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 dello scorso 3 giugno

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

[estratto dal sito webranking.it]

www.pdf24.org    Invia l'articolo in formato PDF   

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *