A poco più di una settimana dall'entrata in vigore del Provvedimento del Garante per la protezione dei dati personali n. 229/2014 sono stupito non solo nel sentirne parlare pochissimo, ma anche nel vedere che moltissimi siti italiani (ed europei), e-commerce e non solo, non sono ancora corsi ai ripari, ed il 2 giugno 2015 è alle porte!
Come intuibile dal nome del provvedimento, l'obbligo di mettersi in regola è riferito alla questione privacy e più specificatamente a tutti quei siti che utilizzano i cookie.
Per chi fosse a digiuno, i cookie (letteralmente tradotto dall'inglese, per rimanere in tema, biscotti) sono dei file di testo di poche righe che vengono assegnati al browser con il quale stiamo navigando e che raccolgono informazioni relative alla navigazione.
Non tutti i cookie vengono per "nuocere", anzi, senza di essi la navigazione risulterebbe talvolta difficile se non ingestibile, basti pensare all'autenticazione su un sito, alla scelta della lingua o del paese, ... questi si definiscono Cookie Tecnici, ma alcuni vivono con noi in una sorta di simbiosi con un equilibrio spostato verso il parassitismo raccogliendo dati in forma aggregata sugli utenti e sui loro comportamenti per sfruttarli poi a fini di marketing, tra essi troviamo cookie di retargeting, di social network, ... questi si definiscono Cookie di Profilazione. Per i primi non è necessario il consenso dell'utente (ma deve pur sempre essere fornita all'utente un'informativa), per i secondi è invece necessario il conseso ad eccezione dei casi in cui i cookie siano installati sul server che ospita il sito web senza interazioni da parte di terzi oppure cookie gestiti da terzi purchè aggregati altrimenti dovranno essere anonimizzati.
Questo non vuol necessariamente dire che con i cookie di profilazione siamo perseguitati per scopi illeciti ma se il mio comportamento in un dato luogo, in questo caso un sito web, e per un determinato periodo, è controllato, preferirei esserne a conoscenza, soprattutto per il fatto che in base a tali informazioni mi possono essere presentati dei contenuti al posto di altri per strategie commerciali di chi li gestisce.
Abbiamo visto che a seconda della categorie di cookie utilizzata è necessario intervenire in diversi modi per informare l'utente su come sarà gestita la sua navigazione evitando di incappare in sanzioni salate dai "controllori" della cookie law. Esistono due tipi di informativa, vediamo quali sono e quali utilizzare a seconda dei casi:
- Informativa breve: un testo contenuto in un overlayer necessario a informare il visitatore su quali aspetti del suo comportamento online vengono registrati e utilizzati e che informi pertanto l'utente sui cookie utilizzati sul sito e su come disattivarli, di seguito un esempio estratto dal kit guida "Cookie, istruzioni per l'uso" che potete visualizzare liberamente scaricandone il pdf.
"Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all'uso dei cookie."
- Informativa estesa: l'informativa completa sull'utilizzo dei Cookie che dovrà prevedere, oltre al contenuto classico (solitamente già presente in molti siti) dell'articolo 13 del d.lgs 196/2003 "Codice privacy", anche una spiegazione su cosa sono i cookie e come gestirli/eliminarli dal browser, come viene prestato il consenso e la tipologia e descrizione dei cookie tecnici, di profilazione e di terze parti.
In breve, per i cookie tecnici basta l'informativa estesa mentre per quelli di profilazione è necessaria sia l'informativa estesa che quella breve (inoltre se i cookie profilanti sono proprietari serve anche una notifica al Garante, previo pagamento).
A scopo indicativo, quello che dovrà succedere accedendo al sito, e per il quale avrete bisogno del supporto di uno sviluppatore, è riassunto di seguito:
1) verificare se è la prima visita dell'utente e/o se abbia già espresso preferenze: - in caso di prima visita passare al punto 2; - in caso di accettazione del consenso già effettuata rilasciare i cookie di profilazione e passare al punto 3, in caso negativo rimuovere tutti i cookie eventualmente assegnati ma pur sempre non attivati, bloccare i cookie di terze parti relativi alla profilazione e passare al punto 2;
2) mostrare l'overlayer con l'informativa e la possibilità di accettare o rifiutare: - se non accettato svuota eventuali cookie assegnati ma pur sempre non attivati facendo in modo che risulti come prima visita alla successiva pagina del sito visitata (che ripartirà dal punto 1);
3) inviare i cookie tecnici utili per consentire la navigazione compreso il cookie che evita il ripresentarsi della richiesta di consenso;
4) controllare la scadenza dei cookie di profilazione che non possono protrarsi oltre i 12 mesi.
Ci possono essere tutta una serie di eccezioni per le quali rimando alla consultazione della guida "Cookie, istruzioni per l'uso" citata precedentemente, tuttavia in linea generale, e qui lo dico e qui lo nego avvalendomi del disclaimer che trovate anch'esso nel pdf, la legge se pur dettagliata lascia, come spesso accade, spiragli di interpretazione e pertanto chi si affida all'uso di un banner centrale con tutte le informazioni, chi ad un overlayer nell'header o nel footer con link che rimandano alle informazioni da dare all'utente e ancora chi considera accettato il consenso con l'esplicito clic sul relativo bottone e chi lo considera se non si esprime la volontà di non accettare eseguendo operazioni che non siano il clic sul relativo pulsante. Per questi motivi presumo che come regola non scritta prenda parte anche il buonsenso e quindi consiglio come prima fase, potenzialmente riadattabile nel tempo, intervenire sui propri siti in base alle linee guida generali fornite dal Garante ed entro i termini definiti non necessariamente in modo invasivo (come se la priorità del sito fosse la privacy) ma senza eccedere nell'uno e nell'altro verso dimostrando la buona fede di adeguarsi in maniera chiara alle regole richieste.
Se avete bisogno di assistenza tecnica, per qualsiasi tipo di integrazione, nel rispetto della normativa inviantemi un messaggio attraverso il form che trovate nella pagina dei contatti e sarete ricontattati il prima possibile. Ricordate che il termine massimo di scadenza prefissato dal garante è il giorno 1 giugno 2015 23:59:59.
Dato che se ne parla nell'articolo senza specificare troppo aggiungerei che le sanzioni oscillano dai 6.000 euro ai 120.000 euro a seconda del tipo di infrazione commessa che può essere l'omissione dell'informativa così come anche l'installazione di cookie ignorando la normativa stessa fino alla mancata notifica al garante nel caso di cookie di profilazione proprietari.
Direi che non ne vale proprio la pena rischiare nonostante la cosa sia gestita, come si suol dire, all'italiana.
Credo che la normativa abbia affrontanto il tema dei cookie di Google Analytics e di AdSense in modo non troppo chiaro considerando soprattutto che il primo è il sistema di statistica più diffuso ad oggi sul web.
Chi dice che debbano essere trattati come i cookie proprietari, chi addirittura che debba essere versato l'importo di 150 euro al Garante.
Da quel che ho inteso è sicuramente necessario:
"Identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l'invio dei cookie dal medesimo sito"
E rimandare pertanto al sito (o ai siti) in questione per la gestione di tali cookie, anche perchè "io" non posso intervenire sui cookie stessi se non evitando direttamente che il codice per la loro attivazione venga eseguito, con tutte le conseguenze del caso, prima tra tutti la mancanza di dati di bounce rate.
E l'estratto seguente ne avvalora la tesi:
"Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l'uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti. Nel caso in cui, tuttavia, il titolare/gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione."
Diverso è invece il caso in cui il codice di tracciamento sia proprietario allora in quel caso ha senso inserire un link/bottone di "Non Accetto" ed attivare l'iter per il blocco dei cookie di profilazione.
Può interessarvi questo articolo sui cookie: a tre anni dalle ultime modifiche apportate al Codice privacy sulla materia dei cookie, non c'è ancora chiarezza e c'è bisogno di parlarne in modo più approfondito.
Cookie: la disciplina applicabile e le criticità del provvedimento del Garante @lamiaprivacy \#cookielaw \#privacy
https://lamiap****cy.word****s.com/2015/05/24/cookie-la-disciplina-applicabile-e-le-criticita-del-provvedimento-del-garante/