Cookie Law La Guida Base versione 1.0 Premessa: cosa sono i Cookies e come funziona il Web Per capire il senso e il fine della Cookie Law è necessario conoscere il contesto in cui nasce questa legge, e cioè proteggere la Privacy degli utenti che navigano sul web. Detto in maniera molto semplice, il web funziona così: Per visitare un sito web, devi utilizzare un programma che si chiama BROWSER (ad esempio Internet Explorer, Google Chrome, Firefox, Safari, Opera, sono tutti Browser). Se stai utilizzando Windows, Macintosh, uno Smartphone ios o Android, quando visiti un sito web stai sempre utilizzando un Browser. Ogni volta che visiti un sito web, questo sito può memorizzare delle informazioni all'interno del tuo browser. Queste piccole informazioni salvate nel browser di ogni utente si chiamano COOKIES. L'utilizzo del Cookies è una tecnica perfettamente lecita e legale e totalmente inoffensiva, che viene utilizzata da quando esistono i siti web. Lo scopo dei cookies è quello di migliorare il funzionamento dei siti web (ad esempio ricordando le preferenze di un utente, l'ultima pagina visitata, accedere automaticamente ad un'area riservata, compilare dei campi, eccetera). ATTENZIONE: nessun altro può accedere ai vostri cookies. Se stai navigando su un sito web e questo sito web lascia dei cookies nel tuo computer, solo questo sito web potrà leggerli e nessun altro. Quindi i cookies sono inoffensivi e di per sé non violano la tua privacy. Questo almeno in teoria.
Cookies Tecnici e Cookies di Profilazione E allora che bisogno c'è di una legge che regolamenta l'utilizzo dei Cookies? Fondamentalmente esistono due tipi di Cookies, con due finalità ben distinte: Cookies Tecnici e Cookies di Profilazione. I Cookies Tecnici sono necessari al funzionamento del sito web che stai visitando. Per ricordare le tue scelte da una pagina all'altra, ad esempio per ricordare i prodotti che hai messo in carrello mentre stai facendo acquisti su un sito web, o per garantirti l'accesso ad una area riservata o al tuo Home Banking per fare bonifici online, è necessario un Cookie. Gli utilizzi sono infiniti, ma sempre con finalità strettamente tecnica. I Cookies di Profilazione invece sono Cookies che salvano sul tuo computer delle informazioni non strettamente necessarie al funzionamento del sito web che stai visitando. Le informazioni salvate sono finalizzate a creare un tuo profilo come CONSUMATORE, per poterti fare delle offerte mirate. Il profilo che viene creato è tanto più preciso quante più informazioni vengono raccolte su di te, attraverso i siti che visiti, gli annunci che clicchi, le cose che cerchi o che compri. E' vero che solo il sito web che ha salvato il cookie nel tuo computer può leggerlo. Ma è anche vero che esistono NETWORK di siti web che utilizzano gli stessi cookies e si scambiano le informazioni per avere su di te un profilo sempre più completo. I Cookies (sia quelli tecnici che di profilazione) vengono ulteriormente divisi in due categorie: Cookies di Prima Parte. Sono i Cookies creati dal proprietario o autore del sito web (o dal software che crea il sito web, come Wordpress) e i dati vengono gestiti direttamente da lui. Il titolare dei Cookies è il titolare del sito web e ha pieno controllo su questi cookies. Cookies di Terza Parte. Sono i Cookies creati da servizi esterni al sito web, i cui dati vengono gestiti da soggetti terzi (ad esempio Google, Facebook, eccetera). Il titolare del sito ha poco o nessun controllo su questi cookies.
I siti web salvano nel tuo computer dei Cookies sia di Prima Parte che di Terza Parte. Ad esempio le mappe di Google nella pagina dei contatti aziendali, oppure il pulsante "Mi Piace" di Facebook in un blog, le pubblicità di Google AdSense, un video di Youtube inserito nella pagina, eccetera... tutti questi servizi esterni incorporati nella pagina di un sito generano dei Cookies di Terza Parte. Ovviamente abbiamo pochissimo o nessun controllo sui Cookies di Terza Parte, perché il sistema non lo abbiamo creato noi e lo dobbiamo utilizzare così com'è (oppure possiamo scegliere di non utilizzarlo, a costo di penalizzare fortemente il nostro sito web). Profilare un utente è una cosa brutta o sbagliata? Dal mio punto di vista, assolutamente no. Se hai una azienda o una attività, sai quanto è importante riuscire a contattare il tuo potenziale cliente per offrirgli il prodotto o il servizio che sta cercando. Se sei un consumatore (lo siamo tutti) ti faccio una domanda: preferisci essere tempestato di pubblicità di cui non ti può fregare di meno, come in televisione e in radio, oppure preferisci ricevere solo annunci legati ai tuoi interessi personali? Pubblicità più mirata significa due cose: Meno costi per le aziende, che quindi possono fare prezzi più competitivi Meno pubblicità indesiderata per il consumatore finale Ci tengo inoltre a precisare che i Cookies sono solo uno dei tanti modi con cui il consumatore viene profilato, sia sul web che nella vita di tutti i giorni. Pensate ad esempio alle tessere fedeltà dei supermercati o agli acquisti con carta di credito. Tutte queste informazioni vengono utilizzate per profilarvi come consumatori. Eppure a molte persone questa profilazione dà fastidio. Giustamente. E così il Garante della Privacy italiano, seguendo le direttive dell'unione Europea, ha varato la sua legge sui Cookies, detta appunto Cookie Law.
Che cosa è la Cookie Law La Cookie Law è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l'intento di arginare la diffusione dei cosiddetti cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet. Il Garante della Privacy italiano ha recepito la normativa nel 2014, ma la legge è entrata invigore solo il 2 Giugno 2015. La legge italiana è sostanzialmente uniforme con la direttiva Europea, ma con alcune sostanziali differenze che la rendono più complessa da applicare e anche più costosa (vedremo poi perché). Il mancato rispetto della normativa prevede multe molto salate, che vanno possono arrivare fino a 120'000 Euro. Cosa prevede la normativa italiana Il Codice in materia di protezione dei dati personali (anche detto Codice della Privacy) prevede, all'articolo 122 comma 1, che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato (...)". In altre parole, la legge dice che ogni utente deve essere preventivamente informato che il sito utilizza i Cookies e per quali finalità li utilizza. Ma non solo: secondo la legge italiana (e qui sta la prima grande differenza rispetto alla normativa europea) il sito web deve DISATTIVARE i Cookies finché l'utente non dichiara di volerli ricevere sul suo computer. Questo è un problema che richiede l'intervento di un tecnico esperto e spesso non è possibile disattivare i cookies senza modificare il funzionamento del sito web. A complicare le cose c'è il fatto che molti strumenti di terze parti utilizzano Cookies che sono contemporaneamente SIA TECNICI che DI PROFILAZIONE. Quindi in questi casi occorre disattivare lo strumento prima che l'utente abbia dato il suo consenso.
Come richiedere il consenso nel modo corretto Per metterti in regola bisogna innanzitutto distinguere il tipo di cookies che il tuo sito salva nel computer dei visitatori. Nessun tipo di Cookies: non devi fare nulla, sei a posto così. Solo Cookies Tecnici (di Prima Parte o di Terza Parte): devi creare una "informativa estesa" (vedi oltre) Cookies di Profilazione (di Prima Parte o di Terza Parte): oltre alla "informativa estesa" devi creare anche una "informativa breve" che l'utente deve approvare in modo consensuale. Informativa Breve Come dicevo prima, l'informativa Breve è necessaria solo se il sito web utilizza Cookies di Profilazione (di Prima Parte o Terza Parte). L'Informativa Breve, secondo il Garante della Privacy italiano, può essere mostrata utilizzando un "banner di idonee dimensioni" in modo tale da rendere una "percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando". In altre parole il banner deve essere un messaggio ben visibile e non confondersi con gli altri contenuti o elementi grafici del sito. L'Informativa Breve deve essere mostrata appena un utente entra nel sito web e deve accompagnare l'utente per tutte le sessioni di navigazione presenti e future (quindi in tutte le pagine del sito web), fino a quando l'utente non darà il consenso a ricevere i Cookies di Profilazione. Ripeto che secondo la legge italiana, il sito web non può utilizzare i Cookies di Profilazione fino a quando l'utente non ha dato il consenso a riceverli. L'Informativa Breve deve contenere obbligatoriamente: l'avviso che il sito web utilizza Cookies di Profilazione
l'indicazione che il sito web utilizza Cookies di Profilazione di Prima Parte, Terza Parte o entrambi il link alla pagina che contiene l'informativa Estesa l'indicazione che il consenso è obbligatorio oppure facoltativo per continuare a navigare sul sito web le modalità per dare il consenso a ricevere i Cookies di Profilazione (ad esempio cliccare sul pulsante OK, cliccare su un elemento della pagina esterno al banner, scorrere la pagina verso il basso) Quando un utente dà il suo consenso a ricevere i Cookies di Profilazione, il banner scompare e i Cookies di Profilazione vengono salvati sul computer dell'utente. Il Garante definisce come "Comportamento Concludente" (e cioè ogni azione dell'utente che rappresenta il suo consenso a ricevere i Cookies): Click su pulsante tipo OK Click su elementi della pagina esterni al banner (ad esempio un link) Scrolling della pagina (e cioè scorrimento verso il basso) In realtà non tutti concordano sugli ultimi due punti (click esterno al banner e scrolling della pagina) e questo complica le cose... ma per ora ci atteniamo alle (ambigue) dichiarazioni del Garante, in attesa di chiarimenti. Informativa Estesa Secondo il Garante della Privacy, la "Informativa Estesa" deve contenere tutti gli elementi previsti dagli art. 7 e 13 del Testo Unico della Privacy. Tale informativa, quindi, deve dichiarare in modo chiaro: il responsabile del trattamento dei dati; le finalità e le modalità del trattamento dei dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; i diritti dell'interessato (art. 7 e 13 del Testo Unico della Privacy);
Oltre a queste informazioni, l'informativa estesa deve provvedere a fornire all'utente una descrizione dettagliata ed analitica delle caratteristiche e delle finalità dei cookie trasmessi dal sito. Se il sito trasmette Cookies di "Terza Parte", l'informativa estesa deve contenere i link alle informative estese dei siti di Terza Parte che hanno generato il Cookie (di solito si trovano sui siti web di Terza Parte). Sempre all'interno dell'informativa estesa deve essere indicata la possibilità per l'utente di esprimere le proprie preferenze in merito ai cookie ed alla loro disattivazione: ciò può essere fatto anche mediante la semplice indicazione delle procedure necessarie al blocco totale e/o selettivo dei cookie mediante le impostazioni del browser di navigazione. In tal senso può ritenersi sufficiente anche l'inserimento dei link alle relative pagine d'istruzioni fornite dai produttori dei software. Per essere a norma di legge, l'informativa estesa deve essere raggiungibile facilmente da parte degli utenti: 1. tramite un link all'interno dell'informativa breve; 2. tramite un link presente in fondo ad ogni pagina del sito web. La Notificazione al Garante della Privacy Questo è il secondo punto in cui la normativa italiana diverge dalla direttiva europea. Ed è un aspetto che potrebbe non piacerti (a me non piace!!!) Leggi con attenzione perché stai rischiando multe fino a 120'000 euro. Se stai facendo Profilazione degli utenti che visitano il tuo sito web e dei tuoi potenziali clienti, anche (ma non solo) attraverso Cookies di Prima Parte, devi fare una "Notificazione" al Garante della Privacy italiano (il Garante la chiama così, comunque è italiano corretto). Devi andare sul sito web del Garante della Privacy, seguire le istruzioni per compilare la notificazione, dotarti di Firma Elettronica e prepararti a pagare 150 per "Diritti di Segreteria" (siamo in Italia).
La notificazione va fatta 30 giorni prima di iniziare, cambiare o cessare il trattamento dei dati ai fini della profilazione. Ma in quali casi stai facendo "Profilazione"? Anche in questo caso la normativa è ambigua e si presta a diverse interpretazioni. Hai un sito web che analizza i dati comportamentali e le preferenze di un grosso numero di visitatori al fine di fare pubblicità e offerte mirate? Stai facendo Profilazione. Hai una banca dati con i nomi e le email dei tuoi clienti, suddivisa per età, sesso, interessi, passioni, preferenze di acquisto, ecc? Stai facendo Profilazione. Stai facendo campagne pubblicitarie su Facebook con messaggi pubblicitari rivolti a un gruppo di persone molto "profilato" per sesso, età, interessi, passioni, fascia di reddito, ecc? Stai facendo Profilazione. Diciamo che, a grandi linee, se fai attività o iniziative di marketing occasionali, una o due volte all'anno, non hai banche dati di utenti profilati, non hai Cookies di Profilazione di Prima Parte sul tuo sito web, allora NON STAI FACENDO PROFILAZIONE. In tutti gli altri casi e se fai attività sistematiche, stai facendo Profilazione. L'ultima parola, comunque, spetta sempre al Garante per la Privacy. Nel dubbio chiedi a loro. Per concludere, ecco cosa devi fare Se il tuo sito web non utilizza i Cookies, non devi fare nulla, sei a posto così. Se il tuo sito utilizza Cookies Tecnici, devi pubblicare sul tuo sito web l'informativa Estesa. Se il tuo sito utilizza Cookies di Profilazione, devi pubblicare sul tuo sito ANCHE l'informativa Breve. Infine, se tu stesso fai Profilazione e/o il tuo sito web utilizza Cookies di Profilazione di Prima Parte, devi fare la Notificazione al Garante della Privacy.
In ogni caso, te lo ricordo, l'informativa sulla Privacy nel tuo sito web è obbligatoria comunque! Non confondere l'informativa sulla Privacy con la Cookie Law, sono due cose diverse. L'Informativa sulla Privacy e sulle modalità e finalità del trattamento dei dati dell'utente è obbligatoria. Infine mi tocca ricordarti che per chi non si adegua alla legge si rischiano multe fino a 120'000... A questo punto hai tre possibilità 1. Non fai niente. A tuo rischio e pericolo. Io te lo sconsiglio, visti i tempi che corrono... 2. Ti adegui da solo (oppure lo fai fare all'amico di tuo nipote che è bravo col computer... e tanti auguri). Di nuovo, te lo sconsiglio. Rischi di fare il lavoro per niente e di non essere comunque a norma. Nel caso tu voglia adeguarti da solo, voglio comunque darti una mano. L'esperto NUMERO UNO di Cookie Law (quello con cui ho studiato in questi giorni) ha preparato la guida in assoluto più completa e approfondita sull'argomento. Puoi utilizzarla per metterti in regola senza correre rischi (ma ti avverto... sono oltre 60 pagine di contenuti... non è una passeggiata :-) 3. Ti aiuto io. Ho fatto il corso di formazione (a pagamento), ho studiato la materia, ho comprato io stesso la Guida sulla Cookie Law e posso contare sul consiglio e la supervisione di persone competenti. Qualsiasi cosa tu intenda fare, il mio consiglio è AGISCI ORA. Non aspettare, perché ogni giorno che passa è un rischio in più di prendere una multa salata. Se vuoi la "Guida fai-da-te" o se preferisci avere il mio aiuto per metterti in regola, scrivimi a maximilian@almerito.it o chiamami al 335 60 70 733. Buon adeguamento! :-)