È dello scorso giugno l’entrata in vigore in Italia della Cookie law conformemente a quanto stabilito nel provvedimento del Garante per la protezione dei dati personali dell’8 maggio 2014, recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. Un atto dovuto di adeguamento della normativa Italiana a quanto disposto in sede europea: la cookie law, infatti, è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l’intento di arginare la diffusione dei cosiddetti cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.

Ma è davvero necessaria l’attivazione del banner informativo?
Sh Servizi chiarisce i punti fondamentali della Cookie law.

 

Le diverse tipologie di cookie

 

 

 

 

 

 

 

 

 

 

Cookie di prime e terze parti

 

 

 

 

 

 

 

L’informativa breve

 

 

 

 

 

 

 

 

 

 

 

 

L’informativa estesa

 È lo stesso Garante della Privacy ad identificare due macro categorie di cookie:

Cookie tecnici ovvero cookie normalmente trasmessi in prima persona dal gestore del sito per finalità strettamente connesse al buon e corretto funzionamento del sito stesso. Questa famiglia di cookie comprende:

  • Cookie di navigazione (o di sessione) necessari per garantire la normale fruizione del sito web e dei suoi servizi permettendo, ad esempio, di autenticarsi ad aree riservate o di effettuare un acquisto.
  • Cookie funzionali, pur non essendo essenziali, migliorano la funzionalità del sito in quanto consentono all’utente di esprimere delle preferenze persistenti circa alcuni aspetti della navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all’interno di un e-commerce).
  • Cookie di Analytics (o statistici) considerati “cookie tecnici” laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.

Cookie di profilazione “sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.

Mentre per i cookie tecnici NON è richiesto alcun consenso preventivo da parte dell’utente (il sito web, cioè, può gestirli tranquillamente senza dover adempiere ad alcuna formalità), per i cookie di profilazione la normativa europea e italiana prevede che “l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso”.

Un’altra importante distinzione riguarda il soggetto attivo, cioè colui il quale procede alla materiale trasmissione del cookie sul computer dell’utente. In questo senso si distingue tra i cosiddetti cookie di prime parti e di terze parti:

  • Cookie di “prime parti” sono quelli trasmessi direttamene dal gestore del sito web visitato;
  • Cookie di “terze parti” sono quelli trasmessi da società terze presenti all’interno del sito visitato mediante appositi codici, i quali sono stati inclusi al fine di integrare nel sito funzionalità ulteriori.

I cookie di terze parti sono quelli che suscitano le maggiori preoccupazioni in quanto, oltre ad essere incredibilmente diffusi, sono totalmente estranei alla gestione ed al controllo del titolare del sito che, spesso e volentieri, ne ignora le finalità se non addirittura l’esistenza. Si pensi che qualunque sito abbia integrato un sistema di statistiche come quello di Google Analytics o un plugin sociale come quello di Facebook (si pensi al classico pulsante “Mi piace”) trasmette, spesso senza nemmeno saperlo, dei cookie di terze parti ai propri utenti fungendo da tramite mediante le proprie pagine web. La distinzione descritta tra cookie di prime e terze parti assume particolare rilievo anche all’interno della cookie law.

Il garante ha stabilito che nel momento in cui un utente accede al sito web (non è importante che ciò accada in home page o in una pagina interna), gli venga subito mostrato un breve avviso circa il fatto che il sito utilizza cookie. L’avviso deve essere implementato all’interno di tutte le pagine pubblicamente accessibili del sito. Tale avviso può essere mostrato utilizzando un “banner di idonee dimensioni” in modo tale da rendere una “percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando”. Il banner deve essere visibile e non confondersi con gli altri contenuti del sito.

Tale banner deve contenere obbligatoriamente:

  • un avviso circa l’utilizzo dei cookie di profilazione, precisando, qualora ciò accada, che tali cookie possono essere trasmessi anche da “terze parti”;
  • un link alla pagina contenente l’informativa estesa (la cosiddetta cookie policy);
  • l’indicazione circa la facoltatività del cosenso;
  • l’indicazione che la prosecuzione della navigazione o l’interazione con la pagina (come l’esecuzione di un attività di scrolling dei contenuti o il click su un elemento) comporta la prestazione del consenso all’uso dei cookie.

Tale banner può essere nascosto all’utente solo dopo che questi abbia espressamente manifestato il proprio consenso all’utilizzo dei cookie.

E’ consentito registrare tale consenso all’interno di un cookie tecnico in modo tale da non mostrare nuovamente l’informativa agli utenti che hanno già espresso la loro intenzione di acconsentire all’utilizzo dei cookie. Il consenso dell’utente può essere considerato valido anche se prestato mediante un comportamento concludente come, ad esempio, la prosecuzione della navigazione su altre pagine del sito oppure mediante l’interazione con la stessa pagina.

In merito all’informativa estesa, il Garante della Privacy sottolinea come questa debba contenere tutti gli elementi previsti dall’art. 13 del Codice. Tale informativa, quindi, deve esplicitare:

  • le finalità e le modalità del trattamento cui sono destinati i dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
  • i diritti dell’interessato;
  • gli estremi identificativi del titolare del trattamento.

Oltre a queste informazioni, l’informativa estesa deve provvedere a fornire all’utente una descrizione dettagliata ed analitica delle caratteristiche e delle finalità dei cookie trasmessi dal sito. Qualora il sito trasmetta cookie di “terze parti” è necessario altresì che l’editore provveda ad integrare l’informativa aggiungendo i link alle informative delle società terze che materialmente trasmettono il cookie. Sempre all’interno dell’informativa estesa deve essere indicata la possibilità per l’utente di esprimere le proprie preferenze in merito ai cookie ed alla loro disattivazione: ciò può essere fatto anche mediante la semplice indicazione delle procedure necessarie al blocco totale e/o selettivo dei cookie mediante le impostazioni del browser di navigazione. In tal senso può ritenersi sufficiente anche l’inserimento dei link alle relative pagine d’istruzioni fornite dai produttori dei software. E’ molto importante ricordare, infine, che questa informativa sia raggiungibile facilmente da parte degli utenti: 1) mediante un link all’interno dell’informativa breve; 2) mediante un link presente in calce ad ogni pagina del sito web.