Cookie Law: sei sicuro che la tua policy rispetti la normativa?

La mia cookie policy rispetta la normativa? E quella dei miei clienti? Posso dormire senza essere assaltato dal terrore di vedermi recapitare a casa una sanzione? 

Queste e altre mille domande hanno corroso le notti di molti web developer prima e dopo il 2 giugno 2015, data che verrà ricordata come il Cookie Day: l’improrogabile deadline per mettere a norma i siti web riguardo alla Cookie Law

Centinaia di web developer e proprietari di siti web hanno cercato di interpretare al meglio la normativa applicandola alle proprie vetrine online. Tra fai da te, scopiazzamenti e siti specializzati in privacy, non si è salvato nessuno e, nonostante se ne parlasse da tempo, all’arrivo della data fatidica qualcuno non aveva ancora ben chiaro come muoversi. Tra questi c’ero anche io: rifiutando di scopiazzare e di servirmi su megasiti di policy in stock, ho deciso di affidarmi ad un consulente che scrivesse una cookie policy tagliata su misura per me. Non volevo correre il rischio di trovarmi impreparata di fronte a qualsiasi problema.

Di cookie policy si parla ancora e in giro per la rete vengono poste centinaia di domande in merito a piccoli e grandi dettagli che, di fronte alla legge, fanno veramente la differenza.

Tra mille domande ne ho scelte cinque da proporre a Gianni Cataldi di CH Consulting Privacy Officer, Consulente della privacy e formatore.

Di seguito troverai le risposte ai dubbi più caldi e se arrivi in fondo al post c’è un omaggio per te. 🙂

F: Il 2 giugno 2015 c’è stato il Cookie Day, “l’apocalisse della messa a norma”, migliaia di web developer hanno perso il sonno cercando di interpretare al meglio la normativa per adeguare i propri siti e quelli dei clienti. Tra informativa breve ed estesa, tra cookie di terze parti a cookie tecnici, tra consenso e non consenso c’è una confusione senza fine. Facciamo un po’ di sana chiarezza.
Informativa breve ed estesa, tutti i siti devono averle entrambe o ci sono situazioni in cui basta l’informativa breve, ad esempio quando non sono presenti cookie di terze parti ma solo tecnici con analytics anonimizzato?

G: In effetti vi è ancora molta confusione sul tema “Cookie Law”, la materia appare complessa e di non
facile interpretazione. Soltanto un’attenta conoscenza della normativa di riferimento e della tipologia dei cookie utilizzati (se utilizzati!) per la realizzazione dei Siti internet, consente di intervenire al riguardo.

Innanzitutto, quale è l’obiettivo della Cookie Law?

Il Garante ha voluto sottolineare un principio fondamentale contenuto nel Codice della Privacy (D.lgs 196/2003), quello di Informare (art. 13 del Codice) immediatamente il visitatore del Sito internet sull’uso, eventuale, di cookie (stringhe di testo di piccole dimensioni, installate e memorizzate sullo strumento elettronico del visitatore) che potenzialmente possono analizzarne il comportamento e creare un profilo attento e puntuale dell’utente, per inviargli pubblicità e servizi in linea con le sue preferenze (Profilazione), consentendo a quest’ultimo la possibilità di opporsi o di accettare l’uso di specifici cookie (art. 23 del Codice, Consenso).
Per capire come passare dalla forma alla sostanza dobbiamo, preliminarmente, inquadrare la questione
dal punto di vista normativo.
Oltre al provvedimento del Garante del’ 8 maggio 2014 – Cookie Law – (che ha recepito le direttive Comunitarie 2002/58CE e 2009/136/CE) ed entrato in vigore il 3 giugno 2015, come già indicato, ricorre il Codice della Privacy, con l’art. 122, dove si indicano specificamente le modalità per l’archiviazione di informazioni su apparecchi terminali dell’utente, l’art. 13 (Informativa) e l’art. 23 (Consenso).

La diatriba si pone nell’attuazione in questi ultimi aspetti.
La normativa originaria prevedeva già che l’Interessato – utente/visitatore – doveva immediatamente essere informato (soltanto informativa estesa) dal Titolare/Gestore del Sito internet sull’uso eventuale di cookie e, se necessario, prestare il consenso prima di iniziare la navigazione nel sito.
Il risultato di adeguamento dei Siti internet con le modalità previste ante Cookie Law è stato, negli anni, veramente basso.
Da uno studio condotto da Federprivacy nel 2014, il 67% dei Siti Web Italiani non era a norma con la Privacy (D.lgs 196/2003). La Cookie Law nasce per individuare modalità semplificate per l’informativa e l’acquisizione del Consenso per l’uso dei cookie.

Sembra un paradosso ma in realtà è così.
L’introduzione dell’Informativa Sintetica (Banner!) ha agevolato in modo rilevante l’impatto sulla navigazione degli utenti, rinviando all’Informativa Estesa tutti i chiarimenti e suggerimenti sull’uso dei cookie e ponendo i titolari dei Siti in condizioni di adeguarsi alla normativa vigente in modo meno invasivo.

Stesso principio per l’acquisizione del Consenso, è stato introdotto il meccanismo del Consenso preventivo per scorrimento scroll down – (azione positiva dell’interessato), purché le scelte/preferenze siano salvate e memorizzate (apposito cookie tecnico). Va detto che il link all’informativa estesa deve essere presente su ogni pagina del Sito (Cookie Policy).

Adesso cerchiamo di capire come sono “classificati i cookie” e quali, tra questi, meritano particolare attenzione.

Innanzitutto proprio per la diversa classificazione dei cookie utilizzati, non tutti i Siti internet devono sottostare alla pienezza della Cookie Law (banner – informativa estesa – consenso preventivo – notificazione preventiva al Garante) ed alcuni potrebbero addirittura esserne esonerati.
Il Garante individua due macro categorie di cookie: cookie “Tecnici” e cookie “di Profilazione”.
I cookie tecnici sono quelli necessari per il corretto funzionamento del Sito e per la corretta navigazione. Possono essere di sessione, cioè rimango attivi il tempo della navigazione, oppure persistenti, cioè rimangono attivi oltre il tempo della navigazione. Tra questi rientrano i “cookie Funzionali”, cioè quelli utili a migliorare le prestazione del Sito (es. salvataggio delle preferenze sulla lingua scelta oppure la registrazione della password in aree riservate).

Altra fattispecie di cookie tecnici sono quelli di “Analisi Statistica”, installati dal Titolare/Gestore (prima parte), soltanto in forma aggregata. La normativa, con riferimento ai cookie Tecnici, prevede l’obbligo di fornire l’Informativa Estesa (cookie policy), senza rendere l’Informativa sintetica (Banner) e tantomeno acquisire un valido consenso dall’utente.

Altra questione è l’uso dei cookie “di Profilazione”.
Con il termine “cookie di profilazione” il Garante indica espressamente: «tutti quei cookie che sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete» (Garante, provv. 8 maggio
2014).
Questa tipologia di cookie possono essere di prima parte e/o di terza parte (i primi generati e controllati dal Titolare/Gestore del Sito, i secondi da soggetti terzi), tra questi quelli riferiti a social network, quelli di remarketing o retargeting. Rientrano in questa classificazione anche i cookie di analisi statistica di terza parte (es. su tutti, Google Analytics).
Per i cookie di profilazione e statistici di terza parte, il Garante ha previsto l’attuazione di tutti gli adempimenti della Cookie Law: notifica preventiva (ai sensi dell’art. 37 del Codice), Banner con l’Informativa sintetica, l’Informativa estesa e l’acquisizione di un valido consenso dell’utente.
Ciò significa che il Titolare/Gestore di un Sito non può Installare o, comunque, attivare cookie di Profilazione e/o Analitici di terza parte se non dopo aver ottenuto un valido consenso dall’Interessato/Utente.
Ci sono delle eccezioni!
I cookie analitici di terza parte (es. Google Analytics) se vengono resi anonimi, ovvero se viene occultato in tutto o in parte l’IP e la terza parte si impegna a non incrociare le informazioni raccolte con i cookie con altre che già dispone (es. per Google Analytics, agendo nelle Impostazioni Utente —> Impostazione di condivisione dei dati —> togliendo la spunta a tutti i servizi previsti), vengono riclassificati ed equiparati ai cookie tecnici, pertanto ricadono nell’esonero dalla notifica preventiva (a carico della terza parte), dal banner e dall’obbligo di un valido consenso.

Attenzione alle sanzioni, da capogiro. Per la omessa o inidonea informativa (cookie policy) è prevista una sanzione amministrativa che va da 6.000 a 36.000 euro (art. 161 del Codice).
Si potrebbe aggiungere ad un’altra violazione quale l’installazione di cookie su apparecchi terminali degli utenti in assenza del preventivo consenso, prevista una sanzione amministrativa di una somma da
10.000 a 120.000 euro (art. 162, comma 2-bis, del Codice).
In ultimo la omessa o incompleta notificazione al Garante è sanzionata con il pagamento di una somma da 20.000 a 120.000 euro (art. 163 del Codice).

F: Una risposta molto dettagliata, grazie.
La messa a norma, ovviamente, comporta dei costi in più per i clienti, e se un cliente decide di non adeguarsi, il web developer rischia qualcosa? 
Se sì, cosa?

G: Come abbiamo visto, in linea generale, non essere a norma con la Cookie Law comporta dei rischi notevoli in termini di sanzioni. Tra l’altro un Sito internet è facilmente verificabile dal Garante anche in “Remoto”, pertanto l’esposizione al rischio è potenzialmente elevata. Posto ciò è interessante approfondire il ruolo del Web Developer o del Web Designer, quale figura professionale deputata allo sviluppo, realizzazione e mantenimento dei Siti internet. Il rapporto bivalente tra le parti in gioco -Titolare del Sito e Web Developer/Designer- normalmente è regolato in un contratto di servizi adeguato.
Inoltre, come tutte le attività professionali, sarebbe opportuno aver sottoscritto una polizza assicurativa sui rischi professionali verso terzi.
Ma non basta.
Chiunque tratta dati personali, identificati o identificabili, deve sottostare alla normativa sulla Privacy.
Nel caso di specie ricorre l’art. 29 del Codice dove il Titolare/Gestore che delega a un terzo (outsourcing) uno specifico trattamento di dati personali, quest’ultimo è qualificato con la nomina di Responsabile del Trattamento.
In altre parole, detta nomina deve indicare una serie di doveri e responsabilità, alle quali deve sottostare il Responsabile del trattamento dei dati nell’adempimento della sua attività professionale con riferimento alla liceità, alla correttezza, alla riservatezza ed alla adozione delle prescritte misure di sicurezza.
Vengono così delineati precisi confini di responsabilità e corresponsabilità, garantendo entrambi i soggetti.

 

F: Ci sono siti che offrono informative precotte che ti danno la sensazione di esserne a norma e quindi dormire sonni sereni, ma chi usa quei tipi di servizi può stare veramente tranquillo?

G: È bene sottolineare qual è la funzione della Privacy e Cookie Policy. Questo strumento (o strumenti) è un pilastro della normativa Privacy e risponde ad un principio fondamentale contenuto all’art. 13 del Codice della Privacy: l’Informativa. Non può convivere la cookie policy senza la privacy policy, può essere vero il contrario.

Ma cos’è l’Informativa?
L’informativa altro non è che la carta d’identità Privacy del Sito e deve contenere precise ed idonee informazioni con rifermento al trattamento dei dati personali degli utenti/visitatori. È idonea, ovvero non eccessiva o carente rispetto ai principi, tra gli altri, di Finalità del trattamento (più in generale deve rispondere alla domanda: cosa ci faccio con i dati raccolti?), di Comunicazione (a quali soggetti determinati comunico i dati, oppure quali terze parti interagiscono con il Sito), oltre ad altri elementi previste dalla normativa, in sintesi “costruita su misura”. Corre ribadire che per la omessa o inidonea informativa, è prevista una sanzione amministrativa che va da 6.000 a 36.000 euro (art. 161 del Codice).

F: La norma rimarrà così o ci sono novità in vista, magari a livello europeo?

G: Non ci sono previsioni di modifiche a breve, sia a livello nazionale ed europeo, intese come “alleggerimento” degli adempimenti privacy.
Anzi, l’attenzione dei legislatori e sempre elevata, in questo momento in particolare per il flusso dei dati transoceanici, dall’Europa verso gli Stati Uniti, ridisegnando il nuovo accordo USA-UE, denominato “Privacy Shield”.

F: Un’ultima fondamentale domanda: per quei web developer che devono mettere a norma decide e decine di siti, consigli di utilizzare uno shampoo anticaduta o direttamente il trapianto di capelli?

G: Sicuramente ci sono sul mercato degli ottimi “Shampoo anticaduta” e si adattano a varie tipologie di capelli, da usare in modo assiduo, sistematico e oculato (col tempo possono risultare anche costosi) ma…..con quale garanzia di risultato?… Il Trapianto elimina il problema alla “radice”. Si interviene in via risolutiva, sullo specifico problema, al riparo da ogni imprevisto e, soprattutto, con costi certi.

—————–

Ringrazio Gianni per aver risposto alle mie domande. A tutte le mie domande. 😀

Se vuoi approfondire l’argomento, vuoi chiarire qualche aspetto o magari fare un’analisi della tua cookie policy per essere sicuro di non incorrere in sanzioni, puoi contattare Gianni Cataldi e richiedere una consulenza. Per tutti i lettori di questo blog c’è uno sconto del 10% sulla prima consulenza, basta utilizzare il codice “ehyCookie” nell’oggetto dell’email o dire semplicemente a Gianni che ti mando io. 🙂

Puoi scrivere direttamente a Gianni Cataldi attraverso il suo sito o contattarlo questi recapiti:

CH Consulting di Gianni Cataldi 

Via Radicondoli, 25 – 00146 Roma
Telefono: +39 06 5656 7292
Profilo LinkedIn

By |2017-01-18T18:16:32+00:00Aprile 20th, 2016|Interviste|Commenti disabilitati su Cookie Law: sei sicuro che la tua policy rispetti la normativa?

About the Author:

Accompagno in rete libere professioniste e piccole imprese che hanno bisogno di comunicare online.