Il prossimo 2 giugno 2015 diventerà obbligatorio per tutti i siti internet che utilizzano cookies, anche di terze parti, per profilare gli utenti con finalità di marketing, avvisare i navigatori con appositi banner a comparsa che rimandino ad una pagina di dettaglio con la descrizione dei cookies utilizzati.
I servizi che utilizzano cookies di profilazione sono:
• Tutti i plugin social (facebook like, pinterest, linkedin, twitter, g+, ecc …)
• Tutti i sistemi di registrazione dei dati di accesso (google analytics, shinystat, ecc …)
• Tutti i sistemi di iscrizione a newletter (mail up, aweber, ecc…)
• Tutti i sistemi di advertising che utilizzano funzioni di remarketing (google adwords, facebook remarketing, ecc..)
• Tutti i sistemi che utilizzano la georeferenziazione degli utenti .
• Tutti i sistemi di pagamento online.
• Tutti i sistemi di classificazione del sito web come ad esempio alexa.
• Tutti i sistemi di erogazione automatica di banner pubblicitari (adsense google, tradedoubler, ecc …)
Se un sito poi utilizza un sistema di newsletter autonomo, o richiede la registrazione degli utenti, dovrà descrivere ed indicare ogni particolare relativo alle operazioni effettivamente svolte ed agli scopi per i quali verranno, o potranno, essere utilizzati i dati raccolti. In questo ultimo caso era già obbligatorio che il sito internet, ovvero il suo gestore, fosse iscritto all’apposito registro tenuto dall’autorità garante della privacy.
Poiché il legislatore ha scelto di non distinguere tra cookies al servizio di sistemi che realmente e gravemente violano la privacy degli utenti e cookie al servizio di siti che si limitano ad utilizzare i dati in modo anonimo senza generare reali violazioni della sfera personale delle persone, il dispositivo del garante della privacy sarà obbligatorio praticamente per tutti i siti web, facendo perdere di significato all’obbligatorio banner di allert.
Attenzione che sono previste pene pecuniarie realmente feroci, che variano da 6 a 120 mila euro!
Riferimenti normativi
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno 2003, al n. 196 e noto comunemente anche come «Testo unico sulla privacy».
Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003.
• Per una infarinatura generale sulle normative vigenti in materia di privacy vi rimandiamo alla pagina di wikipedia
http://it.wikipedia.org/wiki/Legge_sulla_privacy
Il nuovo regolamento.
L’autorità garante per la protezione dei dati personali l’8 maggio 2014 ha emanato un provvedimento con il quale viene regolamentato in modo severo l’uso dei “cookies per finalità di profilazione e marketing” da parte dei siti web.
Le aziende hanno avuto 12 mesi dalla pubblicazione del provvedimento sulla gazzetta ufficiale, per adeguare i propri siti internet alla nuova normativa.
L’obbligatorietà dell’adempimento scatterà il prossimo 2 giugno 2015.
Per una puntuale descrizione del regolamento sui cookies vi rimandiamo al sito dell’autorità garante della privacy , ed in particolare:
• Modalità di acquisizione del consenso all’utilizzo dei cookie:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
• Informativa e consenso all’uso dei cookies
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
• Cookie e privacy: istruzioni per l’uso [video]
http://www.garanteprivacy.it/cookie
Cosa sono i cookies.
I cookies sono files di testo salvati in automatico sul computer di chi visita il sito web. Servono ad innescare un dialogo con il sito internet che può perdurare anche oltre la singola visita, ovvero il sistema può utilizzarli per conoscere il comportamento dell’utente anche durante le precedenti visite e comportarsi di conseguenza.
I cookie vengono utilizzati con due scopi principali:
• il primo di natura tecnica, come ad esempio per verificare l’avvenuta autenticazione e di conseguenza mostrare alcune cose piuttosto che altre, ovvero per facilitare e velocizzare la navigazione del sito web.
• Il secondo di natura commerciale, ovvero per “profilare” gli utenti del sito web con finalità di marketing. Ciò avviene raccogliendo dati sulle abitudini, sui gusti, sulle scelte personali degli utenti concepiti come consumatori, per inviare loro messaggi commerciali mirati o per canalizzare la loro visita al solo scopo di indurli a comprare.
Se i cookie di natura tecnica sono sostanzialmente tollerati dal legislatore, quelli di natura commerciale ed in particolare quelli che consentono profilazione con finalità di marketing sono stati individuati come potenzialmente invasivi della sfera personale del singolo, e quindi pericolosi. Il Garante ha pertanto disposto che solamente una scelta libera e consapevole da parte del singolo, possa consentire ad un sito web di far uso dei dati di profilazione raccolti durante le sue visite.
Informativa breve a popup
Il garante della privacy ha stabilito che, quando un utente accede ad una pagina di un sito web che utilizza cookie di profilazione a lui debba essere mostrata una informativa breve e ben visibile, contenuta in un apposito banner a comparsa che evidenzi chiaramente il fatto che il sito utilizza cookies di profilazione. In particolare il banner di informativa breve deve specificare:
• che il sito utilizza cookie finalizzati all’invio di messaggi mirati
• che il sito contiene cookies di terze parti, ovvero di altri siti web
deve inoltre contenere:
• un link ad una informativa dettagliata ed estesa che spieghi in una apposita pagina di dettaglio il modo con il quale verranno utilizzati i cookie.
• L’indicazione che proseguendo nella navigazione l’utente accetta implicitamente di essere profilato.
Informativa dettagliata on page
L’informativa dettagliata od estesa dovrà essere raggiungibile in ogni momento da apposito link inserito nel footer o comunque nel template di ogni pagina del sito e dovrà evidenziare:
- evidenziare tutti gli elementi elencati dall’art. 13 del D. Lgs. 196/2003;
- descrivere in maniera specifica ed analitica le caratteristiche e le finalità dei cookies utilizzati;
- consentire all’utente di manifestare le proprie opzioni in merito all’uso dei cookies da parte del sito, fornendogli anche la possibilità di revocare il consenso fornito in precedenza.
Questo ultimo punto pare essere in aperta contraddizione con il concetto di accettazione implicita connessa alla prosecuzione della navigazione, si attendono quindi delucidazioni in merito a come tecnicamente operare sulla revoca della autorizzazione.
Il consenso dell’utente.
Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito sarà consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente.
Le sanzioni.
Il mancato rispetto di quanto previsto dal Provvedimento del garante, comporta le severe sanzioni già previste dal D. Lgs. 196/2003, quali:
- per mancato rilascio dell’informativa (da 6.000 a 36.000 euro);
- per mancata raccolta del consenso (da 10.000 a 120.000 euro);
Per i siti stranieri che non si adeguano?
Il garante non ha previsto alcuna sanzione, anche se, a termini stretti di legge, non potendo ad essi essere comminata alcuna multa poiché non sottoposti al dominio della autorità italiana, dovrebbero essere sistematicamente oscurati dall’autorità governativa preposta al controllo sulla criminalità informatica, dato che non adeguandosi alla normativa italiana essi commettono un crimine informatico. Ma tutto ciò sarebbe in contrasto con accordi internazionali precedentemente sottoscritti dall’Italia. Un bel guazzabuglio!
Tutto ciò per dire che le multe verranno comminate, come al solito in Italia, solamente a pochi malcapitati, che data l’entità delle multe previste rischieranno il fallimento , lasciando tutti gli altri con una spada di Damocle pendente.
Come fare per mettere a norma il proprio sito web
Gli interventi da mettere in atto sono due:
• il primo di natura esclusivamente legale consiste nel preparare i testi da inserire nelle pagine di informativa breve ed informativa dettagliata.
• Il secondo di natura tecnica consiste nell’installare il banner a pop up di allert.
L’informativa
Per i siti che non fanno uso dei cookie per agire commercialmente nei confronti dei propri navigatori e si limitano alla pubblicazione di banner pubblicitari tipo adsense , o alla raccolta dei dati di accesso con shynistat o google analitics, ovvero utilizzano pulsanti di sharing con i social network, è a parer mio possibile utilizzare una informativa “generica” che spieghi dettagliatamente cosa sono i cookie e a che scopo vengono utilizzati. In essa dovrà essere descritta anche la modalità di cancellazione dei cookie da parte dell’utente.
Per chi invece realmente utilizza i cookie di profilazione per aggredire i propri navigatori con informative commerciali o per canalizzare e personalizzare la navigazione degli utenti, consiglio vivamente di utilizzare un service professionale per produrre le pagine informative.
• In particolare consiglio l’utilizzo di Jubenda
https://www.iubenda.com/it
Jubenda offre un elenco di servizi di terze parti che utilizzano cookie molto ampio tra il quale è possibile scegliere quelli usati nel nostro sito ed ottenere un testo con una dettagliate descrizione e con tutti i riferimenti alle policy sulla privacy adottate dal servizio specifico e la indicazione del paese nel quale il servizio viene erogato.
Il servizio di jubenda è a pagamento e viene offerto ad un costo di 19 euro/anno.
L’installazione
A meno di non conoscere i linguaggi di programmazione e di saper trattare i cookie di natura tecnica con la dovuta perizia, occorrerà rivolgersi ad un professionista per installare correttamente il sistema.
Inserire sui siti web il codice che farà comparire le informative può essere un lavoro complesso ed in ceri casi lungo. Infatti il codice dovrà essere inserito IN TUTTE le pagine del sito e non limitarsi alla home page.
Infonet offre l’installazione del codice per visualizzare l’informativa sui cookie a 50 €.
Forniamo anche un testo generico di informativa sui cookie adatto alla maggior parte dei siti internet non commerciali.
Nel caso in cui il vostro sito richiedesse un intervento complesso, ci riserviamo di proporvi un preventivo realizzato ad hoc.
Stefano Torre
(Infonet ceo)