x

x

Cookie Policy: si avvicina la scadenza del 2 giugno

Cookie Policy: si avvicina la scadenza del 2 giugno
Cookie Policy: si avvicina la scadenza del 2 giugno

In vista del 2 giugno prossimo, data in cui ogni titolare di un sito web che utilizza cookies avrà l’obbligo conformarsi al provvedimento del Garante Privacy n. 229 del 4 maggio 2014, cerchiamo di evidenziare gli elementi essenziali richiesti dalla normativa per una corretta predisposizione della Cookie policy.

Occorre premettere che, nonostante il Garante per il trattamento dei dati e il Gruppo di Lavoro ex articolo 29 e le associazioni di categoria interessate abbiano tentato di dare interpretazioni e indicazioni utili ai fini della corretta applicazione della normativa, la materia è caratterizzata da una forte complessità tecnico-giuridica che sta suscitando fermenti e perplessità tra coloro che operano on line e soprattutto tra coloro che forniscono servizi nel panorama del web, dal momento che alcuni aspetti risultano ancora ad oggi poco chiari e di difficile declinazione in ambito pratico.

Punti di riferimento sono, oltre ai provvedimenti e alle guide emanati e pubblicate dal Garante, raggiungibili ai seguenti link:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

http://www.garanteprivacy.it/cookie,

il Kit d’implementazione della cookie law, redatto e presentato dalle principali associazioni di categoria dell’industria, dell’editoria digitale, della pubblicità digitale e dell’e-commerce, scaricabile al seguente link: 

http://www.consorzionetcomm.it/Consorzio_Netcomm/Notizie/PRIVACY-ON-LINE---Kit-Cookie.kl;           

la guida sui cookie pubblicata dalla International Chamber of Commerce UK (ICC UK) scaricabile al seguente link:

http://www.international-chamber.co.uk/images/ICC_Documents/icc_uk_cookiesguide_revnov.pdf;

Fermi i punti critici di seguito evidenziati, gli accorgimenti da adottare per essere conforme alla disciplina sono i seguenti:

(A) Catalogazione dei cookies

Innanzitutto è necessario distinguere e catalogare i cookies in:

cookies tecnici, strettamente necessari per far funzionare il sito web e per fornire il servizio offerto e richiesto dall’utente;

cookies di profilazione, utilizzati per creare profili relativi all’utente in base alle sue scelte e preferenze, al fine di inviare messaggi pubblicitari in linea con il profilo creato.

Altra distinzione da effettuare riguarda il soggetto che di fatto invia e installa i cookies nel terminale dell’utente, pertanto saranno

cookies di prima parte, quelli inviati direttamente dal gestore del sito che l’utente sta visitando e  

cookies terza parte, quelli installati nel terminale dell’utente da un altro sito per il tramite di quello su cui si sta navigando.

(B) Pubblicazione dell’informativa e eventuale richiesta consenso

Gli adempimenti di legge relativi all’informativa e alla raccolta del consenso variano in base alla categoria a cui appartengono i cookies, nel dettaglio:

cookies tecnici: sarà sufficiente indicarne l’esistenza nell’informativa estesa (agevolmente raggiungibile, ad esempio dal footer del sito) e per il loro utilizzo non è necessario ottenere il consenso dell’utente;

cookies di profilazione di prima parte: dovrà comparire al momento del caricamento del sito, in home page, un banner/pop-up ben visibile e contenente un’informativa breve nella quale è indicato (i) che il sito utilizza tali cookies, (ii) che il consenso all’uso di tutti i cookies utilizzati dal sito verrà prestato dall’utente selezionando il tasto virtuale di accettazione (ad esempio un OK, un check, ecc.) o continuando la navigazione all’interno del sito (ad esempio ignorando il banner/pop-up e effettuando ulteriori operazioni), (iii) il link all’informativa estesa, completa di tutte le informazioni relative ai cookies (descrizione, finalità e conservazione), nella quale l’ospite del sito avrà la possibilità di esprimere il consenso solo per alcune categorie di cookies (ad esempio potrà prestare il consenso solo all’utilizzo dei cookie di profilazione di prima parte, ma non per quelli di terza parte);

cookies di profilazione di terza parte: nell’informativa breve del banner/pop-up dovrà essere indicato (i) che il sito utilizza tali cookies, (ii) che il consenso all’uso di tutti i cookies (compresi quelli di terza parte) utilizzati dal sito verrà prestato dall’utente selezionando il tasto virtuale di accettazione (ad esempio un OK, un check, ecc.) o continuando la navigazione all’interno del sito (ad esempio ignorando il banner/pop-up e effettuando ulteriori operazioni), (iii) il link all’informativa estesa, completa di tutte le informazioni relative ai cookies (descrizione, finalità e conservazione), nella quale il gestore del sito dovrà inserire il link all’informativa e al modulo di raccolta del consenso della terza parte dalla quale proviene il cookie, in maniera chiara e agevolmente fruibile.

Tra le criticità ancora presenti in materia, segnaliamo in particolare l’utilizzo di cookie con finalità di analisi dei dati della navigazione e del traffico dei siti.

L’invio dei cookies per i quali è richiesto il consenso deve avvenire secondo la modalità opt-in, pertanto, solo dopo che l’utente ha liberamente prestato il consenso. Questa disposizione rappresenta uno dei punti critici della normativa, perché in determinati casi l’invio dei cookies è contestuale al caricamento del sito in seguito alla digitazione dell’URL da parte dell’utente e l’implementazione del sito affinché blocchi i cookies sino all’espressione del consenso è spesso eccessivamente onerosa per il gestore o per i tecnici di cui si serve. La questione è particolarmente rilevante in relazione ai cookies analytics (con finalità prevalentemente statistiche), che nella maggior parte dei casi sono forniti dal servizio Google Analytics.

Per questa categoria il Garante ha espresso un parere favorevole nel considerarli assimilabili ai cookies tecnici (per i quali non è richiesto il consenso), a condizione che (i) questi vengano utilizzati direttamente dal gestore del sito (prima parte), (ii) soltanto per raccogliere informazioni, in forma anonima e aggregata, sul numero degli utenti e su come essi utilizzano il sito. Sulle modalità tecniche che consentano di rispettare tali condizioni è molto probabile che Google, così come gli altri player, intervengano per fornire tool/script in grado di rendere agevole il rispetto di quanto richiesto dal Garante, ad esempio, impedendo la raccolta dei dati IP e comunque anonimizzando i dati alla radice. 

Torneremo sulla materia a breve, anche alla luce delle novità che senz’altro si susseguiranno da oggi a fine giugno.

In vista del 2 giugno prossimo, data in cui ogni titolare di un sito web che utilizza cookies avrà l’obbligo conformarsi al provvedimento del Garante Privacy n. 229 del 4 maggio 2014, cerchiamo di evidenziare gli elementi essenziali richiesti dalla normativa per una corretta predisposizione della Cookie policy.

Occorre premettere che, nonostante il Garante per il trattamento dei dati e il Gruppo di Lavoro ex articolo 29 e le associazioni di categoria interessate abbiano tentato di dare interpretazioni e indicazioni utili ai fini della corretta applicazione della normativa, la materia è caratterizzata da una forte complessità tecnico-giuridica che sta suscitando fermenti e perplessità tra coloro che operano on line e soprattutto tra coloro che forniscono servizi nel panorama del web, dal momento che alcuni aspetti risultano ancora ad oggi poco chiari e di difficile declinazione in ambito pratico.

Punti di riferimento sono, oltre ai provvedimenti e alle guide emanati e pubblicate dal Garante, raggiungibili ai seguenti link:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

http://www.garanteprivacy.it/cookie,

il Kit d’implementazione della cookie law, redatto e presentato dalle principali associazioni di categoria dell’industria, dell’editoria digitale, della pubblicità digitale e dell’e-commerce, scaricabile al seguente link: 

http://www.consorzionetcomm.it/Consorzio_Netcomm/Notizie/PRIVACY-ON-LINE---Kit-Cookie.kl;           

la guida sui cookie pubblicata dalla International Chamber of Commerce UK (ICC UK) scaricabile al seguente link:

http://www.international-chamber.co.uk/images/ICC_Documents/icc_uk_cookiesguide_revnov.pdf;

Fermi i punti critici di seguito evidenziati, gli accorgimenti da adottare per essere conforme alla disciplina sono i seguenti:

(A) Catalogazione dei cookies

Innanzitutto è necessario distinguere e catalogare i cookies in:

cookies tecnici, strettamente necessari per far funzionare il sito web e per fornire il servizio offerto e richiesto dall’utente;

cookies di profilazione, utilizzati per creare profili relativi all’utente in base alle sue scelte e preferenze, al fine di inviare messaggi pubblicitari in linea con il profilo creato.

Altra distinzione da effettuare riguarda il soggetto che di fatto invia e installa i cookies nel terminale dell’utente, pertanto saranno

cookies di prima parte, quelli inviati direttamente dal gestore del sito che l’utente sta visitando e  

cookies terza parte, quelli installati nel terminale dell’utente da un altro sito per il tramite di quello su cui si sta navigando.

(B) Pubblicazione dell’informativa e eventuale richiesta consenso

Gli adempimenti di legge relativi all’informativa e alla raccolta del consenso variano in base alla categoria a cui appartengono i cookies, nel dettaglio:

cookies tecnici: sarà sufficiente indicarne l’esistenza nell’informativa estesa (agevolmente raggiungibile, ad esempio dal footer del sito) e per il loro utilizzo non è necessario ottenere il consenso dell’utente;

cookies di profilazione di prima parte: dovrà comparire al momento del caricamento del sito, in home page, un banner/pop-up ben visibile e contenente un’informativa breve nella quale è indicato (i) che il sito utilizza tali cookies, (ii) che il consenso all’uso di tutti i cookies utilizzati dal sito verrà prestato dall’utente selezionando il tasto virtuale di accettazione (ad esempio un OK, un check, ecc.) o continuando la navigazione all’interno del sito (ad esempio ignorando il banner/pop-up e effettuando ulteriori operazioni), (iii) il link all’informativa estesa, completa di tutte le informazioni relative ai cookies (descrizione, finalità e conservazione), nella quale l’ospite del sito avrà la possibilità di esprimere il consenso solo per alcune categorie di cookies (ad esempio potrà prestare il consenso solo all’utilizzo dei cookie di profilazione di prima parte, ma non per quelli di terza parte);

cookies di profilazione di terza parte: nell’informativa breve del banner/pop-up dovrà essere indicato (i) che il sito utilizza tali cookies, (ii) che il consenso all’uso di tutti i cookies (compresi quelli di terza parte) utilizzati dal sito verrà prestato dall’utente selezionando il tasto virtuale di accettazione (ad esempio un OK, un check, ecc.) o continuando la navigazione all’interno del sito (ad esempio ignorando il banner/pop-up e effettuando ulteriori operazioni), (iii) il link all’informativa estesa, completa di tutte le informazioni relative ai cookies (descrizione, finalità e conservazione), nella quale il gestore del sito dovrà inserire il link all’informativa e al modulo di raccolta del consenso della terza parte dalla quale proviene il cookie, in maniera chiara e agevolmente fruibile.

Tra le criticità ancora presenti in materia, segnaliamo in particolare l’utilizzo di cookie con finalità di analisi dei dati della navigazione e del traffico dei siti.

L’invio dei cookies per i quali è richiesto il consenso deve avvenire secondo la modalità opt-in, pertanto, solo dopo che l’utente ha liberamente prestato il consenso. Questa disposizione rappresenta uno dei punti critici della normativa, perché in determinati casi l’invio dei cookies è contestuale al caricamento del sito in seguito alla digitazione dell’URL da parte dell’utente e l’implementazione del sito affinché blocchi i cookies sino all’espressione del consenso è spesso eccessivamente onerosa per il gestore o per i tecnici di cui si serve. La questione è particolarmente rilevante in relazione ai cookies analytics (con finalità prevalentemente statistiche), che nella maggior parte dei casi sono forniti dal servizio Google Analytics.

Per questa categoria il Garante ha espresso un parere favorevole nel considerarli assimilabili ai cookies tecnici (per i quali non è richiesto il consenso), a condizione che (i) questi vengano utilizzati direttamente dal gestore del sito (prima parte), (ii) soltanto per raccogliere informazioni, in forma anonima e aggregata, sul numero degli utenti e su come essi utilizzano il sito. Sulle modalità tecniche che consentano di rispettare tali condizioni è molto probabile che Google, così come gli altri player, intervengano per fornire tool/script in grado di rendere agevole il rispetto di quanto richiesto dal Garante, ad esempio, impedendo la raccolta dei dati IP e comunque anonimizzando i dati alla radice. 

Torneremo sulla materia a breve, anche alla luce delle novità che senz’altro si susseguiranno da oggi a fine giugno.