Vi ricordate l'articolo di una settimana fa in cui vi raccontavo che cos'era la Eu Cookies Law e di come veniva applicata in Italia? Beh, il garante sulla protezione dei dati personali ha emesso un nuovo provvedimento generale l'8 maggio 2014, denominato Normativa sui Cookie, di cui si ha avuto aggiornamento sul sito del garante alla privacy ieri e ritrasmesso dai media tradizionali. Ora vi è, anche per i siti italiani istituzionali e non, uno stop all'installazione dei Cookie ai fini di marketing e profilazione dell'utenza da parte dei gestori dei siti senza prima averne informato e ottenuto il consenso da parte degli utenti. Il provvedimento, pubblicato sulla Gazzetta Ufficiale ha emesso delle nuove modalità semplificate per informare l'utenza dei siti internet sull'uso dei cookie e ha fornito delle precise indicazione al fine di acquisire il consenso al loro uso, nei casi richiesti dalla legge.

"Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea. La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole"
Antonello Soro, presidente del Garante privacy
Il garante ha stabilito che, quando si accede ad una qualunque pagina di un sito web che utilizzi cookie NON tecnici, deve immediatamente comparire un banner o una lightbox ben visibile in cui sia indicato chiaramente:
- Se nel sito internet è previsto l'uso di cookie di profilazione ai fini di invio di messaggi pubblicitari mirati
- Se il sito utilizza cookie di "terze parti", i cookie installati da servizi diversi il sito che si sta visitando
- Che sia presente un link a informazioni più dettagliate, con le indicazioni dei cookie inviati dal sito dove sia possibile negare l'installazione degli stessi mediante checkbox o mediante link alle pagine di impostazione dei siti che forniscono questi cookie, nel caso di cookie di "terze parti"
- L'indicazione che proseguendo nella navigazione del sito si presta il consenso all'uso dei cookie.
E' consentito al sito internet installare un cookie tecnico per tenere traccia del consenso dell'utente e non dover riproporre l'informativa nel caso di nuove visite da parte dello stesso, ma è necessario linkare in tutte le pagine del sito l'informativa estesa in cui dar possibilità all'utenza di modificare anche in seguito le proprie scelte. Come esempio il Garante ha emesso un modello di banner per l'accettazione all'uso dei cookie che ripubblichiamo in questo articolo. I marinai del web potranno decidere in maniera consapevole se far utilizzare o no le informazioni che li riguardano e che i siti internet raccolgono ai fini di far visualizzare pubblicità mirata e annunci sponsorizzati come ad esempio le campagne di remarketing. Una considerazione va fatta a tutti i siti di quotidiani che, pur utilizzando i cookie di terze parti e proprietari, non si sono adeguati a questa notizia, pur ripubblicandola e creando articoli sull'argomento.
La pagina con "L'informativa Estesa"
Il nuovo documento presentato l'8 maggio 2014 dal titolo "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" prevede che si crei (aspetto questo da chiarire e capire come sviluppare), all'interno del sito internet, una pagina in cui l'utenza possa scegliere quali cookie disattivare o attivare e che questa pagina sia raggiungibile mediante un link nel footer da tutte le altre pagine del sito.
In questa pagina è poi necessario inserire tutti gli elementi previsti dall'art 13 del Codice, descrivere le caratteristiche e le finalità dei cookie installati sul sito in maniera specifica e un link aggiornato alle informative e ai relativi moduli di consenso dei cookie di terze parti che il sito emette ai fini di erogazione di annunci sponsorizzati (concessionari di pubblicità) o servizi correlati (ad esempio i social network). E' poi necessario inserire le informazioni e i link di spiegazione su come abilitare i cookie mediante i vari browser.
In principio, analizzando le informazioni raccolte da diversi siti di diritto digitale sembrava fosse obbligatorio inserire una zona necessaria a far consentire all'utente del sito la possibilità di selezionare/deselezionare i singoli cookie da far installare sul proprio dispositivo. Questo sviluppo software è necessario nel caso il tuo sito emetta cookie proprietari diversi da quelli tecnici, altrimenti non ti devi preoccupare di questo aspetto.
A questo proposito, con posizionamento-seo.com, abbiamo incominciato a creare una pagina, linkata nel footer di posizionamento-seo.com come da normativa, in cui abbiamo raccolto le informazioni richieste. Alcune di queste informazioni siamo consci che manchino, in particolare la zona di selezione/deselezione dei singoli cookie, in quanto abbiamo ancora degli interrogativi in merito.
Confidiamo che sia a livello tecnico che giuridico questo punto venga chiarito nel corso dei prossimi mesi.
Tempi di adeguamento dei siti internet alla nuova normativa
Visto l'impatto, economico e tecnico, che richiede l'applicazione di questa normativa ai siti internet italiani, è previsto un periodo transitorio di un anno, a seguito della pubblicazione della normativa sulla gazzetta ufficiale, per mettersi a norma secondo le modalità prescritte. Il termine ultimo rimane quindi il 3 giugno 2015. Nell'arco di questo periodo è altamente probabile che il Garante fornisca ulteriori chiarimenti sulle modalità con cui applicare questo provvedimento.
Come posizionamento-seo.com si è comportato
Per incominciare a mettere a norma posizionamento-seo.com e a seguire i siti di cui siamo responsabili abbiamo effettuato le seguenti azioni:
- Analisi dei cookie che posizionamento-seo.com rilascia
- Creazione di una pagina con l'informativa estesa per i Cookie
- Inserimento nel Footer di posizionamento-seo.com di un link alla pagina con l'informativa estesa
- Installazione di una plugin necessaria allo sviluppo di un popup e al blocco preventivo dei cookie di terze parti prima del consenso
- Configurazione della plugin per il banner con l'informativa breve
Come creare una popup con Wordpress?
Nel caso il tuo sito sia stato costruito in Wordpress, una plugin che permette di creare con semplicità una popup è Simple Popup Manager, di cui esiste la versione commerciale e quella gratuita. Questo software però crea semplicemente un banner in sovraimpressione che non ha le caratteristiche necessarie a soddisfare le caratteristiche richieste dalla nuova normativa sui cookie.
Da maggio è uscito però una splendida plugin, gratuita e di semplice configurazione, utile allo scopo di normare il tuo sito ai fini della legge sui cookie: Italy Cookie Choices.
Cosa possiamo fare con questa plugin per Wordpress:
- Creare un popup o un banner, con diversi aspetti preimpostati e personalizzabile nel colore del testo e dei link, che si apra in tutte le pagine del sito internet su cui è stata installata.
- Inserire del testo con un link a cui riferirsi per la pagina "Informativa Estesa".
- Far si che scompaia al click su icona di chiusura (nella parte in alto a destra del popup). mediante semplice click al di fuori della finestra o a seguito di scroll della pagina.
- Installazione di cookie tecnico (della durata nel tempo personalizzabile) nel dispositivo dell'utente per evitare nuove aperture del popup nelle successive visualizzazioni delle pagine del sito.
- Blocco preventivo, dell'installazione dei cookie di terze parti e di profilazione, prima del consenso al loro uso da parte dell'utenza.
Come capire quali cookie il nostro sito sta installando
Per capire quali cookie vengono installati quando un utente visita le pagine del nostro sito internet abbiamo installato un addons in Firefox, uno dei browser che utilizziamo per navigare su internet.
In particolare tra i vari componenti aggiuntivi di questo browser che abbiamo provato per analizzare i cookie, il più funzionale e dall'analisi più performante e completa ci è sembrato Web Developer, nella versione 1.2.5.
Una volta installato e riavviato il browser abbiamo visitato le varie pagine del nostro sito (non in tutte vengono installati gli stessi cookie) e stilato una lista di tutti i cookie utilizzati mediante la funzione che è possibile trovare sotto: Strumenti >> Web Developer Extension >> Cookies >> View Cookie Information.
Per ognuno dei cookie così trovati abbiamo poi effettuato una ricerca per capire se era di tipo tecnico, di terze parti o di profilazione (ma non avendo campagne attivate ad oggi sul nostro sito quest'ultimo caso era una remota eventualità).
Per i più interessati a capire come analizzare i cookie installati da un sito abbiamo scritto una guida per l'analisi mediante browser Firefox o Chrome.
Notifica del trattamento
Ricordiamo che l'installazione di cookie di profilazione proprietari (ossia non emessi da servizio terzo) prevede una notifica del loro uso al Garante, secondo l'articolo 37, comma 1, lettera d) del Codice in quanto siano utilizzati per "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".
Nel caso di cookie tecnici o di terze parti non vi è questo obbligo da parte dei gestori del sito internet.
I nostri interrogativi
Abbiamo ancora alcuni interrogativi in merito a questa vicenda e per cui non ci sentiamo ancora a norma:
- Abbiamo trovato la pagina da linkare nell'informativa estesa per i servizi di terze parti su quali non abbiamo potere di gestione quali: Facebook, Twitter e Google e ne abbiamo inserito i link nella nostra pagina sull'informativa estesa sull'uso dei cookie. In queste pagine però non viene fornita la possibilità di disabilitare i cookie se non da browser.
Nella pagina con l'informativa estesa è necessario inserire la possibilità di far cancellare i singoli cookie (che non siano tecnici) indesiderati da parte dell'utenza o questa indicazione è solo rivolta ai cookie di profilazione?Abbiamo riflettuto su questa nostra domanda e siamo giungi alla seguente conclusione: se un cookie non è tecnico è o di profilazione o di terze parti. Se è di terze parti o di profilazione di servizio esterno sarà compito del fornitore di tale cookie dar la possibilità di far disattivare o attivare tale cookie. Nel caso il servizio di profilazione sia di nostra creazione si, dovremo dare modo all'utenza di disattivare tale cookie.- Il codice di analytics rilascia un cookie dedicato alla remarketing (profilazione dell'utenza) pur se non viene poi utilizzato dal sito quando si utilizza l'Universal Analytics. E' necessario avvertire l'utenza? E' compito del sito che utilizza il servizio di analisi dell'utenza di Google inserire la possibilità, nella pagina con l'informativa estesa, di escludere l'installazione di tale cookie all'utente? E' possibile, nel caso sia necessaria quest'ultima ipotesi, effettuare tecnicamente questa azione senza invalidare il codice di google analytics? La risposta è si, ed anzi è necessario anonimizzare Google Analytics mediante l'inserimento di una striscia di codice (leggi come fare nel paragrafo dedicato ai cookie Tecnici e analitici di terze parti anonimizzati in un articolo di approfondimento che abbiamo scritto al rigurardo).
Sanzioni
Ma cosa rischio se non adeguo il mio sito internet?
Le sanzioni sono tutte di tipo amministrativo e variano in funzione di cosa non viene rispettato
- Da € 6.000 a € 36.0000 per omessa informativa o informativa non idonea.
- Da € 10.000 a € 120.0000 per installazione di cookie senza il consenso degli utenti (mancanza del popup).
- Da € 20.000 a € 120.0000 per omessa o incompleta notificazione al Garante (nel caso si utilizzino cookie di profilazione è necessario effettuare una notifica al Garante secondo l'ex articolo 37, comma 1, lettera d).
Per maggiori informazioni vi rimando ad un post su Google + dove si sta portando avanti una discussione da qualche giorno.
Riferimenti legali
A seguire una lista di link di legali e associazioni relative, dedicati alla normativa che regola i cookie sui siti internet, per maggiori delucidazioni sull'argomento:
- Diritto 24 - La pagina dedicata al diritto del Sole 24 ore - articolo del 6 giugno 2014
- Federazione Italiana Privacy - FederPrivacy - associazione nazionale di categoria che raggruppa tutti i consulenti della privacy in Italia - fonte comunicato stampa del 4 giugno 2014
- diritto.it - Diritto & Diritti dal 1996 - articolo del 10 giugno 2014
Articoli di riferimento
- Come mi adeguo alla nuova normativa sulla privacy emessa dal Garante della Privacy? - Sito di Webmarketing con articolo dedicato nel suo blog interno Pausa Pranzo
- L'articolo a cura del Garante della Privacy - La normativa sui cookie, nuove modalità per acquisizione e consenso per l'uso dei cookies a seguito della legge dell'8 maggio 2014
pino
Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.