La legge sui cookie non è ad oggi chiara a tutti. Certamente è un tema caldo proprio in questo periodo ma, soprattutto, bisogna adeguarsi velocemente a quanto il legislatore chiede.

DA MAGGIO 2011 A MAGGIO 2014 LE REGOLE ERANO QUESTE

Da maggio 2011 una nuova legge sulla privacy è stata deliberata dal parlamento Europeo in merito all’obbligo per i siti web di richiedere il permesso agli utenti di utilizzare cookies.

La legge, denominata ormai EU Cookie Law (legge europea sui cookie), è un ammenda ad alcune precedenti direttive (precisamente del 2002) sui diritti utenti nelle comunicazioni e servizi web, sui dati personali e la protezione della privacy.

La EU Cookie Law è stata approvata anche in Italia, entrando in vigore un anno dopo, il 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012.

Un passo indietro.

Cos’è un cookie?

I cookie sono dei piccoli file di tipo testuale utilizzati per memorizzare preferenze, dati e informazioni relative alla navigazione e all’uso del sito internet in oggetto (autenticazioni utente, lingua, preferenze di visualizzazione delle pagine). Ciascuna di queste informazioni utili alla navigazione o a fini di analisi statistiche viene utilizzata ad ogni visita.

I cookie scadono e verranno distrutti in funzione di come sono stati impostati dai proprietari del sito.

Quali sono le disposizioni della legge sui cookie?

La giurisdizione italiana passa da un regolamento “opt-out“, in cui i cookie venivano liberalizzati senza discriminazioni, a una legislazione di tipo “opt-in” in cui è necessario richiedere alla propria utenza un consenso espresso, senza il quale i cookie non possono essere attivati, a meno che non siano necessari alla prestazione del servizio richiesto (articolo 2-5 della Direttiva).

Quali sono i soggetti sottoposti a queste disposizioni?

Tutti i siti internet comunitari in cui la persona/organizzazione cade sotto la giurisdizione europea, indipendentemente da dove risiede fisicamente il server che utilizza i cookie, devono sottostare a questa normativa.

E’ tuttavia necessario distinguere due macro-categorie di cookie (fermo restando l’obbligo di legge):

• First-party Cookie: sono i cookie gestiti direttamente dal sito internet in oggetto. In genere sono i cookie necessari a raccogliere informazioni statistiche sull’esperienza dell’utente (durata della visita, numero di click, etc.) e quelli relativi alla personalizzazione della navigazione (form di login, personalizzazione della grafica, etc)

• Third-party Cookie: sono salvati sul computer dell’utente da soggetti terzi, come i social network e le agenzia di pubblicità. La remarketing di Google Adwords, ad esempio, salva dei cookie che scadono dopo un numero definito di giorni e servono a costruire segmenti di interessi basati sulle pagine visitate dall’utente.

Non sono esonerati i siti istituzionali e delle pubbliche amministrazioni, quali comuni e regioni.

Come si sono comportati i siti e i servizi italiani?

Il panorama in Italia è nettamente diverso da quello europeo. In particolare grazie all’interpretazione diversa che l’Italia ha fatto della legge.

In particolare nel nuovo comma 2 dell’art. 122 del Codice della Privacy si prevede che l’utente, per esprimere consenso all’uso dei cookie, possa utilizzare “specifiche configurazioni di programmi informatici o di dispositivi“, un diretto riferimento quindi alle impostazioni dei browser o dei client di posta elettronica che permettono o non permettono di memorizzare i cookie.

Si lascia quindi all’utenza (che si presuppone sia così tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza) la possibilità di scegliere se accetterà o no l’uso dei cookie.

Come ci si poteva mettere in regola fino ad ora?

I sistemi per implementare questo controllo e la conferma da parte dell’utenza sono diversi: attraverso pop-up, barre di stato o lightbox in cui i visitatori vengano avvisati dell’uso di cookie da parte del sito e, per non rischiare di perdere utenza a causa di un messaggio poco comprensibile a chi non è del settore, è opportuno inserire un link ad una pagina di approfondimento in cui vi sia una descrizione dei cookie utilizzati.

Si può poi scegliere di utilizzare la soluzione all’italiana e inserire quindi notizia della legge e di quali cookie si fa uso nella pagina dei termini d’uso del sito.

DA MAGGIO 2014 UN NUOVO PROVVEDIMENTO CHE CI RIGUARDA ANCOR PIU’ DA VICINO: DOBBIAMO METTERCI IN REGOLA ENTRO IL 3 GIUGNO 2015!

Il garante sulla protezione dei dati personali ha emesso un nuovo provvedimento generale l’8 maggio 2014 di cui si ha avuto aggiornamento sul sito del garante alla privacy.

Ora vi è, anche per i siti italiani istituzionali e non, uno stop all’installazione dei Cookie ai fini di marketing e profilazione dell’utenza da parte dei gestori dei siti senza prima averne informato e ottenuto il consenso da parte degli utenti.

Il provvedimento, pubblicato sulla Gazzetta Ufficiale ha emesso delle nuove modalità semplificate per informare l’utenza dei siti internet sull’uso dei cookie e ha fornito delle precise indicazione al fine di acquisire il consenso al loro uso, nei casi richiesti dalla legge.

“Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea. La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole”. Antonello Soro, presidente del Garante privacy

Il garante ha stabilito che, quando si accede ad una qualunque pagina di un sito web, deve immediatamente comparire un banner o una lightbox ben visibile in cui sia indicato chiaramente:

1. Se nel sito internet è previsto l’uso di cookie di profilazione ai fini di invio di messaggi pubblicitari mirati

2. Se il sito utilizza cookie di “terze parti”, i cookie installati da servizi diversi il sito che si sta visitando

3. Che sia presente un link a informazioni più dettagliate, con le indicazioni dei cookie inviati dal sito dove sia possibile negare l’installazione degli stessi mediante checkbox o mediante link alle pagine di impostazione dei siti che forniscono questi cookie, nel caso di cookie di “terze parti”

4. L’indicazione che proseguendo nella navigazione del sito si presta il consenso all’uso dei cookie.

E’ consentito al sito internet installare un cookie tecnico per tenere traccia del consenso dell’utente e non dover riproporre l’informativa nel caso di nuove visite da parte dello stesso, ma è necessario linkare in tutte le pagine del sito l’informativa estesa in cui dar possibilità all’utenza di modificare anche in seguito le proprie scelte.

INOLTRE

Il nuovo documento presentato l’8 maggio 2014 dal titolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” prevede che si crei (aspetto questo da chiarire e capire come sviluppare), all’interno del sito internet, una pagina in cui l’utenza possa scegliere quali cookie disattivare o attivare e che questa pagina sia raggiungibile mediante un link nel footer da tutte le altre pagine del sito. In questa pagina è poi necessario inserire tutti gli elementi previsti dall’art 13 del Codice, descrivere le caratteristiche e le finalità dei cookie installati sul sito in maniera specifica e un link aggiornato alle informative e ai relativi moduli di consenso dei cookie di terze parti che il sito emette ai fini di erogazione di annunci sponsorizzati (concessionari di pubblicità) o servizi correlati (ad esempio i social network). E’ poi necessario inserire le informazioni e i link di spiegazione su come abilitare i cookie mediante i vari browser.

E’ quindi necessario inserire una zona in cui consentire all’utente del sito la possibilità di selezionare/deselezionare i singoli cookie che vuole siano installati sul proprio dispositivo.

Tempi di adeguamento dei siti internet alla nuova normativa

Visto l’impatto, economico e tecnico, che richiede l’applicazione di questa normativa ai siti internet italiani, è previsto un periodo transitorio di un anno, a seguito della pubblicazione della normativa sulla gazzetta ufficiale, per mettersi a norma secondo le modalità prescritte.

Il termine ultimo rimane quindi il 3 giugno 2015.

Nell’arco di questo periodo è altamente probabile che il Garante fornisca ulteriori chiarimenti sulle modalità con cui applicare questo provvedimento.

Sanzioni

Ma cosa rischio se non adeguo il mio sito internet?

Le sanzioni sono tutte di tipo amministrativo e variano in funzione di cosa non viene rispettato:

• Da € 6.000 a € 36.000 per omessa informativa o informativa non idonea.

• Da € 10.000 a € 120.000 per installazione di cookie senza il consenso degli utenti (mancanza del popup).

• Da € 20.000 a € 120.000 per omessa o incompleta notificazione al Garante (nel caso si utilizzino cookie di profilazione è necessario effettuare una notifica al Garante secondo l’ex articolo 37, comma 1, lettera d).

Macro Web Media ha aggiornato il proprio sito e tutti i siti del gruppo. Stiamo avvisando i nostri clienti di questa necessità e siamo a disposizione per qualsiasi chiarimento sia necessario o necessità. Contattaci qui.

Potrebbe interessarti anche il nuovo articolo di aggiornamento sui cookie che parla del nuovo approfondimento del Garante. Clicca qui.

Macro Web Media, web agency e software house dal 1999 al vostro fianco.