Cookie Law Cheat Sheet
FAQ, dettagli, esempi pratici e spiegazioni sulla nota legge europea in materia di cookie
Spiegazione della legge sui cookie punto per punto
Il noto provvedimento di giorno 8 Maggio 2014, il cui titolo per esteso è Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, regolamenta il comportamento di un sito web al riguardo dell’installazione dei cookie sul browser del visitatore, ai fini di un miglioramento della normativa sulla Privacy.
Soggetti coinvolti
Nella sopra citata normativa, vengono identificate le seguenti parti coinvolte nel processo:
- Editore: il titolare di un sito web, spesso chiamato anche prima parte;
- Utente: il visitatore, colui che naviga il sito dell’editore;
- Terza parte: sito web diverso da quello attualmente navigato dall’utente, il quale, per mezzo di servizi disponibili sul sito dell’editore, riesce ad installare cookie sul terminale dell’utente;
Definizione di cookie e loro catalogazione
I cookie stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per poi ritrasmessi alla successiva visita del medesimo utente.
Ai fini del provvedimento, è possibile individuare due macro-categorie di cookie: cookie tecnici e cookie di profilazione.
1. Cookie tecnici
Fanno parte di questa categoria tutti i cookie utilizzati nella misura strettamente necessaria all’erogazione dei servizi richiesti dall’utente. Molteplici possono essere gli esempi di cookie tecnici, ad esempio quelli di navigazione o di sessione (come quelli necessari per mantenere attivo il sistema di autenticazione o del carrello elettronico per l’acquisto di beni e servizi).
A questa categoria vengono assimiliati anche i cosiddetti cookie analitici, ovvero i cookie utilizzati per la raccolta di informazioni sul visitatore ai fini di analizzarne il comportamento all’interno del sito per poter stilare una statistica e migliorare i servizi.
Non vengono assimilati nella categoria i cookie analitici installati da terze parti, a meno di obblighi che spiegheremo nei paragrafi successivi.
2. Cookie di profilazione
Fanno parte di questa categoria tutti i cookie volti a creare profili relativi all’utente al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate da questo durante la navigazione.
Per questo tipo di cookie il provvedimento prevede che l’utente debba essere informato sull’uso degli stessi ed esprimere il proprio consenso prima che essi vengano installati sul proprio terminale (blocco preventivo dei cookie).
Obblighi dell’editore
Il titolare di un sito web che fa uso di servizi di siti di terze parti è responsabile nei limiti oggettivi delle proprie possibilità, poiché i raggi di azione di editore e terza parte sono completamente differenti.
È quindi impensabile che l’editore possa conoscere tutte le entità esterne che per mezzo del proprio sito installano cookie sul terminale dell’utente e neppure la logica sottesa ai relativi trattamenti, senza considerare che i cookie potrebbero essere modificati nel tempo dai terzi fornitori, sovraccaricando dunque di inutile e stressante lavoro di monitoraggio il proprietario del sito.
Per questi ed altri motivi si ritiene che l’editore non sia obbligato ad inserire sulla home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti (articolo 2, comma 6).
Per quanto riguarda i cookie di profilazione però, gli editori sono considerati come una sorta di intermediari tecnici tra la terza parte e l’utente e sono dunque tenuti al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.
Come deve essere informato l’utente
L’editore è tenuto ad informare l’utente circa l’installazione di cookie e la loro funzionalità. Lo farà secondo le seguenti due modalità:
1. Banner con informativa breve
Quanto di seguito riportato riguarda solo quei siti che fanno uso di cookie di profilazione e/o di terze parti. Sono quindi da escludersi i siti che non fanno uso di cookie o che si limitano all’utilizzo di cookie tecnici e analitici interni.
Nel momento in cui l’utente accede al sito deve immediatamente comparire in primo piano un banner di evidenti dimensioni e con colori tali da attirare l’attenzione del visitatore. Su tale banner deve essere riportato:
- Una prima informativa breve che annuncia che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete e che il sito consente anche l’invio di cookie di terze parti (laddove accada);
- Il link all’informativa estesa, dove vengono fornite informazioni in merito ai cookie tecnici e analitici e le istruzioni per negare il consenso all’installazione dei cookie;
- L’indicazione che la prosecuzione della navigazione (scroll o click su un link o su un’immagine) comporta la prestazione del consenso all’uso dei cookie.
È possibile adottare metodi diversi da quello del banner, purché assicurino le stesse funzionalità. Bisogna inoltre tener traccia del consenso dell’utente, che può avvenire anche per mezzo dell’installazione di un cookie tecnico.
Non è necessario quindi riproporre il banner allo stesso utente una volta ottenuto il consenso all’installazione dei cookie, fermo restando che l’informativa estesa deve essere raggiungibile da ogni pagina del sito (ad esempio mediante link nel footer o nello header del sito), al fine da permettere all’utente la possibilità di negare il consenso in qualsiasi momento.
2. Informativa estesa
L’informativa estesa, oltre a contenere tutti gli elementi previsti dal Codice sulla Privacy, deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
Quest’ultima operazione è quella più complessa da applicare a livello software, per cui basta riportare nell’informativa le istruzioni per eliminare i cookie installati via browser.
All’interno dell’informativa deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti che installano cookie tramite il proprio sito.
Deve inoltre essere presente una procedura che permetta all’utente di manifestare le proprie opzioni in merito all’uso dei cookie attraverso le impostazioni del browser, come, ad esempio, il link ad una guida ufficiale che dimostra come eliminare i singoli cookie dal browser utilizzato.
Notificazione al Garante
I cookie di profilazione direttamente usati dall’editore sono soggetti all’obbligo di notificazione al Garante, sottostando alle spese di segreteria di circa € 150,00.
Tutte le altre tipologie di cookie non sono soggette a notifiche ad eccezione dei cookie analitici di terze parti non completamente anonimizzati, cioè tutti quei cookie generati da strumenti che permettono ad una terza parte di avere una traccia ben definita del visitatore e che possono utilizzarla per fare profilazione. Per questi ultimi bisogna:
- Esporre banner con informativa breve;
- Segnalare i cookie all’interno dell’informativa estesa;
- Bloccare in modo preventivo i cookie fino al consenso dell’utente;
- Inviare una notifica al Garante.
Un esempio di strumento che installa cookie analitici di terza parte non completamente anonimizzato è Google Analytics nella configurazione di default.
Sanzioni amministrative
I trasgressori del rispetto della disciplina in materia di cookie sono soggetti alle seguenti sanzioni amministrative:
- Da € 6.000 a € 36.000 (art. 161 del Codice sulla Privacy): omessa o inidonea informativa, oltre che nelle previsioni di cui all’art. 13 del Codice sulla Privacy;
- Da € 10.000 a € 120.000 (art. 152, comma 2-bis, del Codice sulla Privacy): installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi;
- Da € 20.000 a € 120.000 (art. 163 del Codice sulla Privacy): omessa o incompleta notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d, del Codice sulla Privacy.
Esempi pratici dei servizi più comunemente utilizzati
FAQ – Frequently Asked Questions
Se uso soltanto cookie tecnici, a quali obblighi sono soggetto?
Nel caso di utilizzo di soli cookie tecnici, basta riportarne l’utilizzo nell’apposita informativa estesa (cookie policy all’interno della privacy policy). Non occorre quindi richiedere il consenso dell’utente o informare questo per mezzo di un banner.
Per quali cookie va esposto il banner e raccolto il consenso?
Per tutti i cookie non tecnici.
Per quali cookie va fatta espressa notifica al garante?
Per tutti i cookie di profilazione di prima parte ed i cookie analitici di terza parte se non interamente anonimizzati.
Quali cookie sono soggetti al blocco preventivo?
Tutti quelli di profilazione e per quelli analitici di terza parte non interamente anonimizzati.
I cookie dei Social Network sono da considerarsi di profilazione?
A meno di espresse regole contrattuali, si, in quanto installano cookie che possono essere utilizzati a fini di profilazione.
Quindi se il mio sito dispone dei Social Buttons (like Facebook, ecc..), devo bloccare in modo preventivo i cookie e fino al consenso da parte dell’utente?
Esattamente.
E se linko solamente il Social Network senza quindi fare uso di iframe o script?
Il semplice link non permette al sito di destinazione di installare cookie, quindi non è soggetto alle regole imposte dalla normativa.
I cookie analitici sono cookie tecnici?
Assolutamente no! Ma viene fatta eccezione per i cookie analitici di prima parte, ovvero quelli generati direttamente dal sito e che quindi vengono trattati alla stessa maniera. È possibile trattare i cookie analitici di terza parte come se fossero tecnici solo ed esclusivamente nel caso in cui rispettino entrambe le seguenti due condizioni:
- Vengono adottati strumenti idonei a ridurre il potere identificativo dei cookie, ad esempio mascherando porzioni significative dell’indirizzo IP.
- L’impiego di tali cookie deve essere subordinato a vincoli contrattuali tra il titolare del sito e la terza parte coinvolta, nei quali si faccia espressamente richiamo all’impegno della terza parte a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non incrociarli con altre informazioni di cui essere dispongano.
Per tutti i gli strumenti analitici di terza parte che non rispettano i precedenti due punti, occorre mostrare il banner con il link all’informativa estesa, nella quale vengono riportati, e fare espressa notifica al Garante della Privacy affrontando i costi di segreteria.
Cosa potete dirmi riguardo Google Analytics?
Google Analytics è un servizio di analisi del traffico messo a disposizione da Google, e quindi i cookie da esso rilasciati non sono analitici di prima parte bensì di terza parte.
Se utilizzi la configurazione di default, sei tenuto a riportare l’utilizzo del servizio all’interno dell’informativa estesa, bloccare in modo preventivo i cookie fino al consenso da parte dell’utente e ad informare il Garante della Privacy pagando i costi di segreteria che attualmente ammontano a € 150,00.
È possibile ridurre i passaggi cui sopra alla sola informativa estesa qualora la configurazione standard venga modificata in modo da rendere anonimo l’indirizzo IP del navigatore e disabilitare dal proprio pannello di controllo la condivisione dei dati raccolti con altri servizi.
Il mio sito e/o la mia azienda non ha sede in Italia. Devo essere ugualmente a norma?
Si tratta di una legge europea, per cui se il sito opera o è accessibile anche da utenti europei, occorre rispettare la normativa in tutti i suoi punti.
Quindi se ho hosting in Thailandia ma il mio sito è accessibile dall’Italia, devo attenermi?
Si, in quanto i cookie verrebbero installati su computer di utenti residenti in Europa.
Lo scroll della pagina vale come consenso?
Si, se è riportato come metodo di accettazione all’interno dell’informativa breve scritta nel banner.
Il banner deve avere delle dimensioni precise?
No, basta solo che sia ben visibile e che contenga il link all’informativa estesa.