Menu
+
Chiudi
cookies-circalingua

Le 5 cose da sapere sulla “cookie law” (obbligatoria dal 3 giugno)

Avvocato e geek. Grazie alla felice intuizione di uno dei miei Maestri, sono riuscito a fare delle mie due passioni una professione: mi occupo di diritto delle nuove tecnologie e di innovazione nella Pubblica Amministrazione, in particolare dei profili giuridici dell’e-gov e dell’open-gov. Ne parlo nelle aule delle Università e dei Tribunali e ne scrivo sulla carta e, soprattutto, sul Web. Anche qui.

Ormai ci siamo, tra poche ore diventa obbligatorio adeguarsi alla c.d. “cookie law”, ovvero le prescrizioni dettate in materia di cookie dal Garante per la protezione dei dati personali con un provvedimento dell’8 maggio 2014.

I cookie (letteralmente “biscottini”) sono informazioni immesse sul browser quando un utente visita un sito web o utilizza un social network con il suo pc, smartphone o tablet.

Ogni cookie contiene diversi dati (come, ad esempio, il nome del server da cui proviene) e possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser) o per periodi più lunghi. I cookie servono a rendere più veloce e rapida la navigazione (come quelli che usiamo per evitare di doverci autenticare alla nostra casella mail ogni volta che spegniamo e riaccendiamo il PC), a raccogliere informazioni statistiche sugli accessi al sito oppure a monitorare il comportamento degli utenti anche allo scopo di inviare loro pubblicità e servizi mirati e personalizzati.

Credits: creativemotions.it

Credits: creativemotions.it

L’iniziativa del Garante della Privacy – che si inquadra nell’ambito dell’attuazione della direttiva europea 2009/136 – ha l’obiettivo dichiarato di arginare la diffusione dei cosiddetti cookie di profilazione e dei relativi rischi per la privacy degli utenti. Nonostante ci sia stato un anno per l’adeguamento al Provvedimento, come spesso accade nel nostro Paese, solo negli ultimi giorni aziende, amministrazioni e blogger hanno iniziato a mettersi in regola.

Può tornare utile quindi un breve riepilogo.

1) Chi è tenuto a mettersi in regola?
Tutti i titolari dei siti web che installano cookies: pubbliche amministrazioni, imprese, professionisti, freelance, associazioni, blogger, ecc.

Se hanno un sito e utilizzano dei cookies (ad esempio perché embeddano un video di Youtube in un post) sono tenuti a rispettare il provvedimento del Garante; ciò sia che abbiano una piattaforma su proprio hosting, sia che ricorrano a piattaforme erogate da soggetti terzi (servizi come WordPress.com e Blogger.com stanno fornendo ai propri utenti informazioni su come procedere per i cookie memorizzati dalle loro piattaforme).

2) Quali sono le scadenze?
Il Provvedimento del Garante Privacy, in considerazione della complessità dell’adeguamento, ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione in Gazzetta Ufficiale (3 giugno 2014) per consentire ai soggetti interessati di adeguarsi.

Il termine per mettersi in regola, pertanto, scade il 2 giugno 2015.

3) Quali sono le diverse tipologie di cookie?
Il provvedimento distingue gli adempimenti da porre in essere in relazione tipo di cookie memorizzati dal sito, vale a dire se si tratti di cookie “tecnici” o cookie di“profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).

Sono tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata (senza cioè raccogliere gli indirizzi IP), sul numero di utenti e su come questi visitano il sito.

Per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.

Al contrario, oltre all’informativa, sarà necessario acquisire uno specifico consenso per l’utilizzo di cookie di profilazione, quei “biscottini” che consentono di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.

Credits: icecreates.com

Credits: icecreates.com

4) Come deve essere fornita l’informativa per i cookie?
Nel caso in cui il sito usi cookie di profilazione, il Garante ha previsto modalità semplificate per rendere l’informativa e acquisire il consenso dall’interessato.

L’informativa sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli:

  • la c.d. “informativa breve”, contenuta in un banner presentato all’utente al momento del primo accesso al sito;
  • la c. d. “informativa “estesa”, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio.

L’informativa breve dovrà indicare:

– se il sito utilizza cookie di profilazione;

– se il sito consente l’invio di cookie di terze parti;

– il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie;

– che, proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie.

Il gestore del sito dovrà registrare il consenso, eventualmente attraverso un apposito cookie tecnico, in modo da non proporre nuovamente il banner con l’ informativa breve alle successive visite dell’utente.

Il Garante ha chiarito che, qualora il sito installi cookie “di terze parti” (come – ad esempio – Google Analytics oppure quelli per la condivisione su Facebook e Twitter), incombe sul gestore del sito rendere l’informativa e acquisire il consenso.

Per questo motivo, l’informativa estesa dovrà contenere i link alle informative delle terze parti.

5) Cosa bisogna fare oltre all’informativa?
Il meccanismo definito dal provvedimento del Garante Privacy è un sistema di opt-in, per cui il gestore del sito deve garantire che nessun cookie di profilazione e di terze parti debba essere memorizzato sul terminale dell’utente prima che questi abbia prestato il proprio consenso.

Si tratta, probabilmente, della parte più complessa per l’adeguamento: se scrivere le informative può essere relativamente semplice, sicuramente più complesso è garantire che nessun cookie non tecnico sia installato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza.

Tanto più se si tiene conto delle sanzioni previste:

  • per i casi di omessa o incompleta informativa la sanzione prevista è da 6 mila a 36 mila euro
  • l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da diecimila a centoventimila euro.

Insomma, i biscottini possono costare molto cari.

ERNESTO BELISARIO
Roma, 1 giugno 2015

15 risposte a “Le 5 cose da sapere sulla “cookie law” (obbligatoria dal 3 giugno)”

  1. kOoLiNuS scrive:

    Like alla chiarezza dell’esposizione.
    Se solo chi legifera avesse questa chiarezza nel cervello.

    Adesso PRETENDO che quando esco di casa il comune mi avvisi che posso essere ripreso dalle telecamere, e se nego il consenso mi cancellino da ogni loro fotogramma

    #fail

  2. july scrive:

    vorrei segnale una soluzione gratuita nibirumail.com/cookie/script che permette di adeguare il proprio sito alla normativa. grazie 🙂

  3. Luca Vogna scrive:

    Con il dovuto rispetto, mi sento di dover fare (almeno) una precisazione: esistono vari tipi di blog. Alcuni sono vetrine, altri invece richiedono un’interazione che comporta l’uso dei cookie elencati qui: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf .

    Pare doveroso aggiungere che il blog della persona che si iscrive a wordpress e scrive qualche post è una vetrina e, normalmente, la struttura del blog, per la sua interfaccia, rende particolarmente complesso l’inserimento di un cookie aggiuntivo oltre a quello/quelli già esistente/i forniti dalla piattaforma, nel caso vi siano.

    In questo caso, non solo la normativa prevede l’applicazione dell’informativa, ma io stesso sarei personalmente d’accordo su questo punto perché sarebbe oltremodo scorretto forzare artificiosamente il comportamento di base della piattaforma per inserire ulteriori cookie.

    Ma se l’autore del blog “vetrina” non sa neanche di cosa si stia parlando nella sezione “summary and guidelines”, è chiaro che a lui non è imputabile la creazione o la gestione di cookie, che invece sarebbero responsabilità del gestore della piattaforma.

    Insomma, se l’autore di un blog sa a stento cos’è l’HTML, è veramente improbabile che si debba preoccupare di questa normativa.

  4. mvenier scrive:

    Una domanda: io ho un blog in italiano, letto soprattutto in Italia ma… vivo in Germania e il blog è basato in Germania.
    A me quindi si applica la legge tedesca e posso tranquillamente ignorare leggi valide solo in Italia, giusto?

  5. dinojedi scrive:

    solite idiozie burocratiche…inoltre i big-siti ora usano https, per dare sicurezza, ma che ti profila ancora meglio e senza noie burocratiche…

  6. Umberto Sgobba scrive:

    In molti siti questo già avviene da tempo. Comunque non ho capito la battuta finale e cioè se si decide di non installare i cookies la navigazione non proseguirà più sul quel sito? E poi una volta accettati i cookies, questi per quanto tempo posono essere memorizzati nei server dei siti promotori? grazie in anticipo!

  7. nicola scrive:

    Non mi è chiaro chi deve adeguarsi. I titolari di siti web italiani, immagino. I titolari dei siti web che risiedono negli USA penso si facciano quattro risate, delle nostre paturnie leguleie.

    Chi invece è ospitato da una piattaforma come wordpress.com o twitter.com o facebook.com come viene visto? Titolare o meno? Tenendo conto che nella configurazione di base l’utente non ha nessun controllo sui cookie di queste piattaforme come ci si comporta?

  8. Sandra Di Carlo scrive:

    Bloccare tutti i cookie prima del consenso è davvero un operazione difficile ma ci stiamo impegnando tutti per riuscirci, vista la normativa. Cio’ che faccio fatica a capire è come Iubenda e simili che vendono servizi e plugin per la Cookielaw possano scaricare appena approdati in pagina (senza che muovi ciglio) ieri 29 cookie, oggi un po’ meglio solo 6 (rilevato da Ghostery, in allegato) e tutte le agenzie che hanno acquistato questi servigi? si ritrovano oltre ai cookie che avevano prima anche quello di Iubenda. Non me ne voglia Iubenda, in qualità di leader del settore mi pare normale verificare lì. L’impressione che ho è che noi “piccoli” stiamo cercando di tutelare al massimo i nostri clienti bloccando e se non riusciamo addirittura rimuovendo dei cookie finchè non troviamo la quadra, i “grandi” non hanno nemmeno informato i clienti e per loro stessi si affidano a plugin citati prima che non bloccano nulla. E’ vero che multare tutti la vedo dura (questo è il tormentone del momento) ma non mi capacito della leggerezza manifestata da tanti di ignorare quanto richiesto. Tutti o quasi hanno messo il banner informativo ma intanto i cookie li scaricano immediatamente… mah

  9. Ho provato a seguire alla lettera le informazioni trovate sul vostro sito e in alcuni forum. Ho inoltre chiesto una consulenza legale online su Dequo.it per avere la conferma da parte di un avvocato se l’informativa del mio sito andava bene oppure no. Sembra tutto ok. In ogni caso se avessi commesso un errore vengo prima informato delle modifiche da apportare oppure vengo subito sanzionato?

  10. Marco scrive:

    Un dubbio per complicarmi la vita: poniamo il caso che sul mio sito sia presente una registrazione in cui vengono chiesti i classici consensi per finalità di marketing (e quindi anche profilazione); in questo caso come gestisco i due differenti consensi? In altre parole: se un utente in fase di registrazione mi dice che vuole essere profilato ma poi successivamente rifiuta i cookie di profilazione…come debbo comportarmi?

  11. Filippo Ronco scrive:

    Questo pezzo del tuo articolo: “Il Garante ha chiarito che, qualora il sito installi cookie “di terze parti” (come – ad esempio – Google Analytics oppure quelli per la condivisione su Facebook e Twitter), incombe sul gestore del sito rendere l’informativa e acquisire il consenso”

    è in netto contrasto con le faq del Garante (punto 14), mettetevi d’accordo 🙂

    “Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.”

    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

    Ciao, Fil.

  12. Luca Vercellio scrive:

    Se può essere d’aiuto, ho scritto una guida su come mettersi a norma ‪Cookie ‬su un sito in ‪‎joomla‬ utilizzando (con le dovute modifiche) il plugin EU e-privacy.
    http://www.reset-lab.it/blog/joomla-eu-e-privacy-guida-definitiva-cookie-law

  13. Mauro Lattuada scrive:

    Forse è meglio che vi informiate un po’ meglio, prima di spararle così grosse…

  14. Mario scrive:

    L’uovo di Colombo.

    Risolvere la questione della cookie law è semplicissimo, dirottando l’attenzione del legislatore dai milioni di siti su cui si sta accanendo ora (con costi inimmaginabili di adeguamento) ai pochissimi browser esistenti (Firefox, Chrome, Explorer ecc…) obbligandoli a mettere un pulsante ben visibile con il quale il navigatore possa dare o togliere il consenso ai cookie di profilazione quando vuole, con un click, oltre che ad informarsi su cosa sono e scoprire quelli che ha installato nel suo device.

    C’è una petizione su Change.org che chiede proprio questa ovvietà:

    https://goo.gl/7hXvtq

    Con questa souzione si risolverebbe tutto e fine della discussione.

    A meno che lo scopo di tutta questa pantomima NON SIA tutelare l’utente nel migliore dei modi, ma bensì rendere il 90% dei siti fuorilegge, e quindi chiudibili con una notifica, e scoraggiare la nascita di nuovi blog informativi (visti i costi e i rischi).

  15. Traveler scrive:

    Avrei bisogno di una precisazione riguardo a chi deve adeguarsi alla normativa. Solo i proprietari di siti che risiedono nella comunita’ europea o anche quelli che risiedono fuori dall’europa e magari hanno un sito in cui scrivono ad esempio in italiano?
    Grazie

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Altri articoli di: Ernesto Belisario

Ernesto Belisario
Tutto su Ernesto

Potrebbero interessarti anche

in by Ernesto
+
+
Impostazioni Articolo
Dimensione dei caratteri
aA
aA
aA
Sfondo:
Giorno
Notte
Testo:
Moderno
Classico
Alta leggibilità
ok