Siti Web Avvocati

Normativa cookie e privacy 2015

Chi si deve adeguare e come secondo il Garante per la Privacy

Pubblicato da Pier Andrea Perini il 25/05/2015 2:59pm

Tags: ,

Come noto, a partire dal 2 giugno 2015, tutti i siti web devono adeguarsi al Provvedimento del Garante per la Privacy n. 229 dell’8 maggio 2014  in materia di cookie (Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 | pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014 e consultabile sul sito del Garante per la protezione dei dati personali).

Chi non lo facesse potrebbe incorrere in sanzioni fino a € 120.000,00.

 

Di cosa si tratta?

In termini molto semplici, i cookie sono delle piccole informazioni archiviate nel computer (tablet e smartphone) da un sito web visitato. Ogni volta che l’utente ritorna sul quel sito web, i cookie impostati in precedenza vengono nuovamente inviati al sito con informazioni relative alla precedente attività dell’utente. In questo modo il sito presenterà le informazioni personalizzate in base alle esigenze del visitatore.

Il più delle volte i cookie hanno funzioni utili che rendono più semplice e veloce la navigazione per l’utente. Si pensi ad esempio ai cookie utilizzati per memorizzare il contenuto del carrello della spesa durante gli acquisti on line, agli accessi con autenticazione ai siti web, all’impostazione della lingua di un sito e via dicendo.

Questi vengono anche chiamati cookie tecnici ed hanno l’unico compito di reperire informazioni strettamente necessarie all’erogazione del servizio offerto dal sito web visitato. La loro funzione è quella di migliorare l’esperienza del singolo utente, tenendo traccia di alcuni dati relativi alle proprie preferenze, la durata delle proprie sessioni, ecc.

Di altro tipo sono i cookie di profilazione che hanno lo scopo di monitorare gli utenti durante gli acquisti on line e più in generale durante la navigazione al fine di crearne un profilo che, in base ai suoi gusti ed interessi, possa permettere di individuare beni o servizi che egli potrebbe acquistare.

Facendo un esempio pratico, sarà sicuramente successo di aver notato che, dopo aver effettuato una ricerca su Google o di aver visitato un determinato sito, siano stati mostrati banner pubblicitari con immagini inerenti alla ricerca fatta o al sito visitato.

Si parla anche di “pubblicità comportamentale online”: si immagini di dover organizzare una vacanza a Venezia. Si visiteranno dei siti web dedicati a Venezia e si leggeranno degli articoli sui luoghi più interessanti da visitare. Accedendo in seguito ad internet, leggendo un articolo di cronaca sarà probabile visualizzare la pubblicità di un ristorante di Venezia che offre una cena per due persone al prezzo di una oppure un’offerta di acquisto di un lampadario di Murano a prezzo scontato. Questa forma di pubblicità mirata si basa sull’attività di navigazione passata dell’utente.

 

Chi deve adeguarsi?

Chiunque abbia un sito Internet che installa cookie nel browser dell’utente che lo visita deve adeguarsi alla normativa entro il 2 giugno 2015.

 

Cosa bisogna fare?

Considerata la particolare invasività che i cookie potrebbero avere nella sfera privata degli utenti, la normativa europea e l’italiana che la attua prevedono che l'utente debba essere adeguatamente informato sull'uso degli stessi. 

Con il provvedimento "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" dell’8 maggio 2014, il Garante per la protezione dei dati personali ha stabilito le modalità per l’informativa e l’eventuale acquisizione del consenso per l’uso dei cookie.


Distinguendo due macro-categorie di cookie, quelli tecnici e di profilazione, ha stabilito infatti che

  • nel caso di cookie tecnici sarà sufficiente fornire all’utente un’adeguata informativa, mentre
  • nel caso di cookie di profilazione sarà altresì necessario l’acquisizione del preventivo consenso informato dell’utente all’installazione del cookie e la preventiva notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice della Privacy.

In base al provvedimento del Garante per la privacy, per distinguere i cookie tecnici e di profilazione è necessario fare riferimento alle loro finalità. I cookie di profilazione, più invasivi, sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete.

I cookie tecnici, invece, sono quelli finalizzati al corretto e regolare funzionamento del sito web e/o a fornire un servizio richiesto dall’utente e, normalmente, sono installati direttamente dal titolare o gestore del sito web e possono essere suddivisi in

  • cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web;
  • cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
  • cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.

 

Come ci si adegua?

Come anticipato, il Garante per la privacy specifica proprio le modalità per adeguarsi alla normativa.

Nel caso di cookie di profilazione, sarà quindi necessario:

1. inviare una dichiarazione ai sensi dell'art. 37, comma 1, lett. d), del Codice della Privacy con la quale si rende nota al Garante l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. La notificazione avviene esclusivamente per via telematica a quest’indirizzo.

2. inserire un banner contenente un’informativa breve e la richiesta di consenso all’installazione dei cookie su qualsiasi pagina del sito.

Il banner dovrà essere ben visibile rispetto al contenuto della pagina web grazie alle sue dimensioni, all’evidenziazione dei suoi caratteri o al colore del suo sfondo e dovrà contenere le seguenti indicazioni:

  • che il sito utilizza cookie di profilazione propri e/o di terze parti, qualora dei cookie vengano installati da un sito diverso tramite il sito che si sta visitando, al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
  • il link all'informativa estesa e l’indicazione che a tale link sarà possibile negare il consenso all’installazione di tutti od alcuni cookie;
  • l’indicazione che la prosecuzione della navigazione (che potrà avvenire tramite lo “scroll” del mouse, cliccando su link della pagina o sulla “x” per la chiusura del banner) comporta la prestazione del consenso all'uso dei cookie.


Un esempio di informativa breve potrebbe essere la seguente:


swa cookie informativa breve

3. inserire un’informativa estesa, raggiungibile mediante il link inserito nell'informativa breve e mediante un link posto in calce ad ogni pagina del sito. Essa dovrà:

  • contenere tutti gli elementi previsti dall'art. 13 del Codice della Privacy (D.Lgs. 196/03);
  • descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito;
  • consentire all'utente di selezionare/deselezionare i singoli cookie;
  • qualora il sito installi cookie di terze parti, l’inserimento del link aggiornato alle informative e ai moduli di consenso delle terze parti o degli intermediari -tra il proprietario del sito e le terze parti- qualora il proprietario non abbia contatti diretti con le terze parti;
  • indicare la possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie anche attraverso le impostazioni del browser, indicando almeno una procedura da eseguire per configurare tali impostazioni, e i link alle modalità per eliminare i cookie dai browser.

Nel caso in cui il sito web utilizzi solo cookie tecnici, come anticipato, non sarà necessaria l’acquisizione preventiva del consenso dell’utente ma il sito dovrà comunque prevedere una un’informativa estesa raggiungibile tramite il link posto in calce ad ogni pagina web.

 

Per l’utilizzo dei servizi statistici di Google Analytics è necessario il previo consenso dell’utente?

La maggior parte dei siti web utilizzano servizi statistici per monitorare alcune caratteristiche degli utenti che lo visitano (browser utilizzato, tempo trascorso sulle pagine, pagine più visitate, etc.).

Questi servizi utilizzano dei cookie che il Garante ha assimilato a quelli tecnici, e che pertanto sono esenti dall’obbligo del consenso dell’utente, qualora:

  1. i cookie vengano archiviati nel browser dell’utente tramite un sistema installato direttamente sul server che ospita il sito senza l’intervento di terze parti e la raccolta di informazioni avvenga in forma aggregata;
  2. nel caso di servizi analytics offerti da terze parti, i dati raccolti non siano disaggregabili dal concessionario del servizio che potrebbe risalire all’utente tramite l’IP (l’indirizzo IP è una stringa numerica che identifica univocamente un dispositivo connesso ad internet).

Sebbene il servizio di Google Analytics fornisca ai gestori dei siti web dati statistici in forma aggregata, la società di Mountain View potrebbe tuttavia risalire alle informazioni del singolo utente grazie all’indirizzo IP.

Pertanto, qualora un sito web utilizzi i servizi di Google Analytics dovrà necessariamente acquisire il consenso preventivo dell’utente all’installazione dei cookie come per i quelli di profilazione.


Tuttavia, è possibile procedere alla anonimizzazione degli indirizzi IP in Google Analytics nella libreria JavaScript di analytics.js attraverso la funzione

ga('set', 'anonymizeIp', true)

Per maggiori informazioni sul funzionamento dell’anonimizzazione IP di Google Analytics si può consultare la guida di Google.

Una volta attivata l’anonimizzazione, l’installazione dei cookie tramite il servizio di Google Analytics parrebbe venir assimilata dal Garante a quella dei cookie tecnici e quindi esentata dall’obbligo del consenso preventivo dell’utente.

Esempio di informativa estesa nel caso il sito web installi solo cookie Analytics