Cookie Law: la cookie policy non è tutto

Maggio 20, 2015

Se siete gestori di un sito web (che sia un blog, una pagina istituzionale, un e-commerce o un forum), saprete sicuramente che il 2 giugno 2015, salvo proroga, scadono i termini per adeguarsi alla Cookie Law (provvedimento del Garante n. 229/2014).

Facciamo il punto di quanto appreso finora sull’argomento, riepilogando le disposizioni dettate dalla legge e soprattutto cosa fare per mettersi in regola ed evitare le sanzioni (che si annunciano salatissime, come ormai siamo abituati a vedere).

Cercherò di essere il più sintetico e il meno tecnico possibile, ma se la lettura vi annoia potete saltare subito alle conclusioni

Incominciamo con un video introduttivo, prodotto dal Garante, che spiega cosa sono i Cookies, come funzionano e a quali tipologie possono appartenere; quattro minuti semplici e molto utili soprattutto per chi si approccia solo ora all’argomento.

Gli intenti della Cookie Law

La legge, come logica implementazione della normativa sulla privacy, vuole fornire all’utente gli strumenti per avere consapevolezza e maggiore controllo dei dati conferiti durante la navigazione su un sito web.
Sappiamo tutti quante tracce lasciamo durante la nostra navigazione: il garante ha deciso, applicando una direttiva europea avviata già nel 2002 (v. 2002/58/CE punto 25), di farci rendere conto di quali esse siano nel concreto, e cosa possiamo fare come utenti per controllarle.

La legge in breve

In estrema sintesi: un sito web non può installare cookies (oltre a quelli definiti tecnici) sul device dell’utente prima di aver mostrato un banner informativo, collegato ad una informativa (cookie policy), ed aver ottenuto il consenso dall’utente.

Si delineano due macro categorie di cookies: i cookies tecnici e i cookies di profilazione.
I tecnici “servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente” e non necessitano di autorizzazione preventiva; quelli di profilazione sono “utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online” ed è su questi che si concentra la norma.

A questo proposito c’è da fare attenzione ai cookie “analytics”, che sono considerati tecnici solo se “utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso“; il che significa, ad esempio, che se il nostro sito utilizza Google Analytics, o altri sistemi terzi di statistica, che utilizzino dati non aggregati (cioè se tracciano il singolo IP) questi cookies sono considerati alla stregua di cookies di profilazione. Per quanto riguarda Google Analytics, la soluzione più concorde è l’anonimizzazione, che vedremo più avanti nell’articolo.

Viene giustamente, anche se in modo al momento ancora non chiarissimo, affrontato il tema dei diversi soggetti coinvolti: editori e terze parti (il comunissimo caso di AdSense all’interno di un blog, ad esempio). Vengono così identificati cookies di prima parte e cookies di terza parte. Come gestori del sito si è senz’altro editori, e quindi interessati all’applicazione della legge, vanno però affrontati con attenzione anche i cookies di terze parti (devono avere il consenso ed essere presenti nell’informativa).

(definizioni tratte dalle FAQ del Garante).

Un aspetto da tenere in considerazione sono le sanzioni, che risultano veramente pesantissime:
– omessa o inidonea informativa: da 6.000 a 36.000 euro
– attivazione cookies di profilazione senza consenso: da 10.000 a 120.000 euro
– omessa o incompleta notificazione al Garante: da 20.000 a 120.000 euro

Chi deve adeguarsi

Tutti i siti (tutti) gestiti da soggetti stabiliti in Italia, indipendentemente che il server sia italiano o estero. Con stabiliti si intende il luogo in cui viene effettivamente esercitata l’attività di trattamento del dato. In buona sostanza, tutte le imprese italiane, o soggetti privati italiani, che abbiano una presenza web.

Si può fare da soli?

Purtroppo la risposta, come spesso accade, è dipende.
Ogni sito è differente, e ogni gestore ha competenze diverse. In alcuni casi (sito in html puro, nessuna pubblicità, nessuna affiliazione, nessun social network collegato) è semplice e veloce fare da soli, in altri è un po’ più complesso. Vediamo gli step principali, e capiremo strada facendo se possiamo farcela da soli o rivolgerci ad una risorsa esterna.

Gli step necessari

Identificare i cookies presenti sul sito
Per fare questo ci sono diversi strumenti:
il mio preferito è firebug, un’estensione gratuita per Firefox che vi elencherà, tra le altre cose, tutti i cookies che trova sul sito (con indicazione del dominio di appartenenza e della scadenza).
Se usate Chrome potete aprire gli Strumenti per Sviluppatori con CTRL+MAIUSC+I
Se usate Internet Explorer… smettete di usarlo 🙂
Anche online potete trovare alcuni tool, sia gratis che a pagamento: questi hanno il vantaggio di dare una spiegazione un po’ più umanamente leggibile ai cookies trovati, rendendo più agevole l’identificazione (webcookies.org, cookies.coffee, gachecker.com , ecc).
Determinare se i cookies rilevati sono tecnici, di analytics o di profilazione e determinare se sono di prima parte (vostri) o di terza parte
Qui la faccenda si complica: alcuni dei servizi sopra citati danno alcune indicazioni sulle funzionalità dei cookies, ma al momento non c’è un “censimento” completo e affidabile di tutti i cookies possibili, per cui bisogna leggere attentamente l’elenco e capire cosa fa ognuno dei cookie rintracciati. Una valutazione (tagliata con l’accetta, ma in linea di massima verosimile) è che i cookies che vengono dal vostro dominio sono tecnici, quelli che vengono da altri domini (facebook, adsense, google+, pinterest, twitter, ecc) sono di profilazione.
- cookies tecnici
  se abbiamo solo quelli siamo fortunati e dobbiamo solo predisporre e rendere fruibile l’informativa, senza banner e senza consenso dell’utente (v. 12)
- cookies analytics
  Se sono gestiti da terze parti e non sono aggregati (IP completo memorizzato), sono considerati di profilazione, occorre informativa, banner e consenso, in mancanza del quale devono essere bloccati.
  Nel caso di Google Analytics anonimizzato, invece, vengono considerati cookies tecnici, e come tali vanno trattati: solo informativa.
- cookies di profilazione
  Qui cominciano i dolori.
  Se sono di prima parte (vostri) c’è l’obbligo di comunicazione al Garante, attraverso questa pagina.
  Se sono di terza parte (es. AdSense, o altri circuiti pubblicitari, inclusi i “Bottoni Social” che permettono di condividere e mettere Like) non c’è l’obbligo di notifica al garante, ma dobbiamo indicarli nell’informativa, assieme al link alla pagina cookie policy dei rispettivi responsabili, predisporre il banner, ottenere il consenso, ma soprattutto bloccare questi cookies in caso di mancato consenso. Quest’ultima, a oggi, è la parte più complessa, anche per la molteplicità delle piattaforme.
Predisporre l’informativa breve (se esistono cookies di profilazione)
Una breve informativa del tipo “Questo sito utilizza cookie per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni
cookie clicca qui. Chiudendo questo banner o proseguendo la navigazione acconsenti all’uso dei cookie“
Predisporre il banner (se esistono cookies di profilazione)
Il banner deve apparire su qualsiasi pagina l’utente effettui il primo accesso, deve avere dimensioni adeguate a contenere l’informativa breve ed essere visibile, in termini di colori e font. Deve contenere il link alla informativa estesa e una indicazione chiara di cosa succede se l’utente clicca (v. 9)
Predisporre l’informativa estesa
L’informativa estesa deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie, includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Deve richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato. (v. 13)
In caso (ed è frequentissimo) in cui non si riesca a dare la possibilità all’utente di selezionare/deselezionare singoli cookie, è molto importante la parte finale: spiegare all’utente che può autonomamente, ed in modo semplice, agire sul proprio browser per limitare l’utilizzo dei cookies, anche con l’ausilio della pagina YourOnlineChoices, che è utile linkare direttamente dall’informativa.

Conclusioni

Come abbiamo visto, ci possono essere molti casi in cui adempiere agli obblighi di legge è relativamente semplice: analisi dei cookies e informativa, niente banner e niente consenso. In altri casi (se sono presenti pubblicità, bottoni social, programmi di statistica) diventa tutto più complicato: banner, informativa breve ed estesa, consenso, blocco dei cookies di profilazione.
Nei primi casi con un paio d’ore si può fare da soli, senza particolari problemi.
Se avete bisogno di un intervento da parte nostra, contattateci per una stima dei tempi e dei costi.

(nb aggiornamento del 28 maggio 2015: abbiamo già ricevuto un numero elevato di richieste, e non sarà possibile evadere tutte le procedure di adeguamento entro il 2 giugno: studieremo assieme una strategia per affrontare il periodo di “non adeguamento”) .

Disclaimer

Questo articolo è stato scritto con la massima cura, riportando quanto appreso alla data di stesura; tuttavia non si da alcuna garanzia riguardo al contenuto, che non costituisce consulenza legale nè tecnica. Man mano che le problematiche verranno affrontate e risolte, si potranno chiarire alcuni punti ancora poco chiari delle procedure da mettere in atto.