Il 2 giugno 2015 è entrata in vigore anche in Italia la normativa europea relativa all’uso dei cookie, sotto l’egida dell’Autorità Garante per la protezione dei dati personali.
Si tratta del recepimento in sede nazionale di una serie di direttive emanate dal Consiglio e Parlamento Europeo, tese a tutelare i dati personali degli utenti, ma che in breve si è trasformata in un incubo per i gestori di siti, spaventati da sanzioni pecuniarie salatissime (che possono arrivare, in casi estremi, fino a €120.000).
Vediamo di fare chiarezza.
I cookie sono stringhe righe di testo che il vostro browser e un sito da voi visitato si scambiano per permettere l’esecuzione di semplici operazioni automatiche, solitamente la memorizzazione di informazioni circa le abitudini dell’utente relative al singolo sito, per esempio la scelta della lingua di consultazione, o il contenuto di un carrello. Comparsi per la prima volta nel 1994 sono uno strumento molto diffuso, per semplicità d’impiego e il bassissimo impatto in termini di performance. Sono altresì strumenti potenzialmente pericolosi poiché permettono di tenere traccia delle abitudini di un utente anche su più siti, permettendo di creare un profilo delle sue preferenze, delle sue scelte e delle sue decisioni.
E’ grazie ad utilizzo un po’ spregiudicato dei cookies che le grandi agenzie di pubblicità web possono inviare banner mirati, individuati sulla base della vostra (non sempre) recente cronologia di navigazione. Sarà capitato a tutti di notare che i banner pubblicitari che vi vengono proposti su Facebook, su un giornale online o anche un normale un sito di meteorologia sono particolarmente affini ai vostri gusti, se siete patiti di moto la frequenza con cui vi verranno proposti beni e servizi legati alla vostra passione sono particolarmente frequenti.
Allo scopo di tutelare l’utente/consumatore sono state emanate regole estremamente complesse e complicate. In pratica è fatto obbligo a chiunque gestisca un sito web che utilizza tali strumenti di rispettare adempimenti ben precisi.
Tuttavia, a complicare le cose, occorre sapere che non tutti i cookie sono trattati in modo uguale, è necessario distinguere tra i cosiddetti cookie tecnici (ovvero quelli che non hanno tradito lo spirito iniziale per cui furono introdotti), i cookie analytics “a basso potenziale di identificazione” (classico esempio quelli utilizzati da Google Analytics, a patto che siano specificamente depotenziati, scegliendo l’anomizzazione degli indirizzi IP degli utenti) e i cookie di profilazione (le armi di distruzione di massa del web-marketing).
Cookie tecnici
Il caso più semplice, il gestore che abbia un sito internet – di qualsiasi natura – e non essendo interessato a profilare i suoi utenti si sia limitato ad installare dei c.d. cookie tecnici sui browser di chi transita per le sue pagine web.
In questo caso non si deve far altro che specificare nell’informativa privacy del sito – se già se ne ha una – un’indicazione che chiarisca che nel corso della navigazione attraverso le pagine del sito potranno installarsi sul browser dell’utente dei cookie c.d. tecnici e, come tali, privi di qualsiasi finalità promozionale.
Se sul sito non c’è già un’informativa sarà necessario (ma lo era da prima) creare una pagina che comprenda analoga indicazione e renderla raggiungibile attraverso un link che il gestore del sito è libero di posizionare dove ritiene purché, naturalmente, visibile.
Nessun obbligo di implementare alcun banner, nessuna esigenza di richiedere un consenso implicito o esplicito né di notificare alcunché al Garante.
Cookie tecnici e analytics “a basso potenziale identificativo”
Se il gestore, oltre a utilizzare cookie tecnici, utilizza anche uno o più servizi analitycs allo scopo di sapere quanti visitatori sfogliano le pagine del proprio sito, magari da quali aree geografiche si collegano e a quali contenuti sono più interessati e tali servizi utilizzano, esclusivamente a tal fine, dei cookie che il Garante definisce “a basso potenziale identificativo”? In questo caso l’Autorità ha ritenuto di poter equiparare tali cookie a quelli tecnici con la conseguenza che anche per il loro utilizzo è sufficiente la semplice informativa.
Anche in questo caso non serve nessun banner, nessun consenso, né notifica al garante e questo indistintamente se i cookie in questione siano gestiti direttamente dal titolare del sito o da una terza parte.
Cookie di profilazione
Se invece il gestore di un sito utilizza cookie di profilazione (o cookie analytics non correttamente settati), si cade nell’ipotesi in cui rispettare le nuove regole è più faticoso.
Sotto il profilo della disciplina della privacy, il gestore del sito è titolare a tutti gli effetti di un trattamento di dati personali a tutti gli effetti e, quindi, è tenuto a presentare agli interessati – ovvero ai visitatori del suo sito – idonea informativa ed a raccogliere il loro consenso preventivo.
In questo caso, pertanto, il gestore del sito dovrà adoperarsi per:
- impedire alle terze parti di iniziare qualsiasi trattamento di dati personali dei loro visitatori prima che questi ultimi siano stati posti in condizione di scegliere se prestare o meno il consenso;
- fornire ai visitatori del sito un’informativa sintetica, all’interno di un banner, che deve essere pubblicato su tutte le pagine del sito e sufficientemente riconoscibile, attraverso la quale informarli dei cookie utilizzati (i propri e quelli di delle terze parti) e che essi possono prestare il consenso a tutti i trattamenti di dati personali connessi all’installazione di tali cookie o accedere ad un’ulteriore informativa estesa, per saperne di più ed, eventualmente, per personalizzare le proprie opzioni in tema di cookie.
Nel tentativo – sarà il tempo e le statistiche a dire se e quanto riuscito – di contemperare gli interessi delle diverse parti coinvolte, nelle regole del Garante è previsto che l’utente, letta l’informativa breve contenuta nel banner, possa prestare il consenso in molti modi diversi che il gestore del sito è libero di scegliere, all’unica necessaria condizione che si tratti di una forma sufficientemente riconoscibile e che cioè il consenso non possa essere fornito in modo inconsapevole o senza volerlo. - pubblicare un’informativa estesa nella quale fornire agli interessati tutte le informazioni sull’installazione dei cookie – propri [anche se solo tecnici] e delle terze parti – e consentire a questi ultimi di fornire o meno a sé ed alle terze parti il consenso al trattamento dei propri dati personali, indirizzandoli sulle sezioni “privacy” dei siti delle terze parti medesime attraverso appositi link. Tali adempimenti sono necessari solo la prima volta che il visitatore approda ad un sito internet. In seguito sarà sufficiente che siano posti in condizione di accedere alla pagina dell’informativa estesa e rivedere, eventualmente, le proprie scelte in fatto di cookie.
- il gestore del sito, infine, essendo, in questo caso, titolare di un trattamento di dati personali connesso all’installazione dei propri cookie di profilazione e/o semplicemente dei cookie di analytics non “a basso potenziale identificativo”, dovrà inoltre notificare al Garante tale trattamento come già previsto nel Codice Privacy o modificare la notificazione eventualmente già effettuata dando atto che si effettua anche un’attività di profilazione “a mezzo cookie”.
In buona sostanza, se il vostro sito non raccoglie o fornisce a terze parti informazioni di profilazione, se non ospitate banner pubblicitari, se non fate uso di campagne pubblicitarie via web, e se non utilizzate Google Analytics per profilare gli utenti, ma solo per contarli, ricadete nei primi due casi, e sarà quindi sufficiente verificare l’esistenza sul vostro sito dell’informativa privacy cosiddetta leggera: non sono necessari banner, popup o altre implementazioni.
In caso di dubbio, consigliamo di rivolgervi a un consulente informatico o legale, per verificare puntualmente la vostra situazione e l’esposizione a eventuali sanzioni.