VEDIAMO COME ADEGUARE IL NOSTRO SITO ALLE NUOVE NORMATIVE RELATIVE ALLA GESTIONE DEI COOKIE. BANNER IN HOME PAGE, INFORMATIVA ESTESA, DISTINZIONI TRA COOKIE TECNICI E DI PROFILAZIONE, INSOMMA TUTTO CIO’ CHE OCCORRE SAPERE SULLA NORMATIVA.
Il 2 giugno 2015 è scaduto il termine per dare attuazione alle prescrizioni del Garante della privacy in materia di cookies. Esse derivano da una normativa europea del 2009 recepita in Italia con un decreto del 201 2 e si applicano alla totalità dei siti internet (salvo rarissime eccezioni). Se avete un blog, una gallery o un qualsiasi altro sito web, siete interessati dal provvedimento.
Questo articolo si propone di fare un po’ di chiarezza su cosa sia questa legge e su come adeguarsi correttamente.
Eviteremo di esprimere giudizi sull’argomento (su internet scorrono già fiumi di parole che evidenziano quanto le prescrizioni del garante siano anacronistiche e spesso insensate) cercando, per quanto ci sarà possibile. di mantenere un approccio distaccato e professionale.
Visto il target della rivista, inoltre, affronteremo l’argomento da un punto di vista orientato ai problemi tecnici derivanti dall’applicazione del provvedimento più che a quelli giuridici(nell’articolo forniremo comunque diversi riferimenti per approfondire anche quest’ultimi aspetti).
Prima di continuare, vogliamo mettervi in guardia sul fatto che quello che leggerete di seguito costituisce solo materiale informativo e non ha la pretesa di essere giuridicamente corretto. Se dovete adeguare il vostro sito vi consigliamo vivamente di consultare le linee guida impartite dal garante e altre fonti(alcune le abbiamo riportate nella linkografia).
COSA SONO I COOKIE E PERCHÈ IL GARANTE SE NE INTERESSA?
Con il termine cookie si indica un insieme di dati strutturati che vengono memorizzati su un computer durante la navigazione in Internet. Possono essere volatili ovvero conservati in memoria oppure persi stenti se salvati sull’ Hard disk sotto forma di piccoli file di testo.
La struttura dei dati memorizzati è rigida ed è composta in genere da:
- un nome univoco che permette di riconoscere un ben preciso cookie tra molti
- un valore che si desidera memorizzare nel cookie
- una data di scadenza (opzionale) superata la quale il cookie sarà rimosso dal sistema
- l’indirizzo Internet del dominio che manda il cookie
- un campo sicurezza che indica se il cookie deve essere trasmesso con connessione sicura(per evitare che durante la comunicazione esso sia intercettato e letto da persone non autorizzate)
Nel momento in cui viene stabilita una comunicazione con un sito Internet, quest’ultimo può proporre al browser la memorizzazione di uno o più cookie. Si tratta solo di una richiesta che potrebbe anche non essere accettata. E’ prevista infatti. praticamente in tutti i browser. la possibilità di rifìutarli, limitarne l’uso o comunque regolamentarne la memorizzazione.
Invece, un cookie già memorizzato in una precedente sessione verrà trasmesso automaticamente dal browser verso il server all’inizio di ogni connessione (almeno fìn quando non viene cancellato dall’host per un intervento manuale dell’utente o perché è stata superata la data di scadenza). Per motivi di sicurezza viene imposta la limitazione secondo la quale solo il dominio che ha depositato il cookie è autorizzato a recuperarlo e leggerlo.
I cookies sono nati nel 1997 ad opera di Netscape, i cui tecnici si erano proposti di risolvere un piccolo inconveniente riscontrabile nella quotidiana navigazione: la “mancanza di memoria” di internet.
Il web funzionava in questo modo: il browser, su input dell’utente. richiedeva delle risorse ad un server. Quest’ultimo, se poteva, le soddisfaceva. dopodiché interrompeva la comunicazione e dimenticava completamente di aver dialogato con il client. Non aveva la possibilità di riconoscere una connessione già avvenuta né un’azione già compiuta né una richiesta già posta da uno stesso utente.
Questo nei primi anni 90 poteva ancora essere accettabile… ma con l’espandersi di internet cresceva anche il bisogno di rendere la navigazione più semplice ed amichevole. l siti iniziarono a non essere più semplice dispensatori di informazioni ma a fornire servizi. In questo scenario la mancanza di un meccanismo per ,scordare scelte precedenti di un utente risultava molto limitativo. l cookies furono introdotti proprio per superare questi limiti. Essi si rivelarono utili in molti ambiti:
nei siti di commercio elettronico, ad esempio, permisero di tenere traccia di eventuali ordinazioni di merci compiute in giorni diversi e proteggere anche le transazioni in caso di interruzione improvvisa del collegamento. Inoltre essi permisero di personalizzare i contenuti e più in generale l’esperienza di navigazione degli utenti.
Da quel giorno d’oggi queste cose sono diventate così importanti e scontate che se provate a disabilitare cookies nel vostro browser. la maggior parte dei siti che erogano servizi smetteranno di funzionare correttamente. cookies sono solo positivi. dunque? Non proprio.
Come accade sempre con strumenti che hanno grandi potenzialità, c’è anche chi cerca di sfruttarli per scopi meno nobili.
Il poter conoscere in anticipo i gusti e le abitudini degli utenti è un valore grandissimo per molti tipi di aziende che operano on line. Ci sono società che. con metodi sofisticati riescono a tracciare la navigazione degli utenti in modo piuttosto dettagliato. Questi dati vengono poi messi sul mercato e chiunque può acquistarli.
Con il nobile fine di limitare l’uso malevolo di queste informazioni. la Comunità Europea prima e il Garante per la privacy poi hanno deciso di regolamentare l’uso dei cookies…
LA COOKIE LAW
… e qui iniziano i problemi. Lo scopo è nobile ma come tradurlo in regole pratiche? Preso atto che non si può mettere fuori legge il tracciamento degli utenti tramite cookies (non sono le informazioni accumulate non sono un problema ma l’uso che se ne fa), il garante ha deciso di seguire la linea di informare in modo adeguato i navigatori sul fatto che un sito preveda tali meccanismi di tracciamento. Risultato? Tutti i siti che prevedono uso di cookie traccianti devono esibire un banner che informi il visitatore della cosa e permettendo loro di interrompere la visita prima di ricevere il cookie.
: qui si palesa un secondo problema: come riconoscere cookie traccianti? Perchè in realtà, come evidenziato nel paragrafo precedente, non i tutti i cookies sono malevoli, anzi la maggior parte di essi hanno uno scopo utile e desiderabile per l’utente.
Per risolvere la questione. il garante propone quindi di :lassifìcare i cookies in due macro-tipologie: tecnici e di profilazione. cook/e tecn/(/ sono (citiamo direttamente dal provvedimento del garante in materia di protezione dei dati personali) quelli utilizzati al solo fine di “effettuare ia trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio delia società dell’informazione esplicitamente richiesto dali’abbonato o dali’utente a erogare tale servizio.
In pratica sarebbero i cookies necessari al corretto funzionamento di un sito come. ad esempio, quelli che mantengono le preferenze dell’utente, i prodotti selezionati per l’acquisto in un sito ecommerce, la lingua preferita, ecc.
I cookie di profilazione invece sono (citiamo dalla stessa fonte): quelli volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
quelli volti a creare profili relativi all’uten te e vengono utilizzati alfine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso neil’ambito della navigazione in rete.
In questa categoria ricadono, ad esempio, i cookie istallati dai social network, dai banner per la pubblicità mirata e quelli dei servizi analytics (ma con delle eccezioni come vedremo)
Se un sito utilizza solo cookies di tipo tecnico, richiedere il consenso dell’utente non è necessario, anche se rimane l’obbligo della informativa sulla privacy. Se si utilizzano invece cookie di profilazione (in pratica se sul vostro sito avete google analytics, adword, pulsanti dei social network tipo like di facebook, recapcha o di pagamento come paypal, -.) dovrete adeguarvi alla legge nel modo che descriveremo nel prossimo paragrafo.
IL PASTICCIACCIO…
Se avete il sospetto di utilizzare cookie di profilazione armatevi di santa pazienza e continuate a leggere. Infatti a questo punto le direttive del garante si fanno quanto mai confuse (e. come fanno notare alcuni su internet, anche incoerenti).
Innanzitutto dovreste:
identihcare tutti i cookies che vengono installati dal vostro sito.
Aggiornare la pagina delle privacy policy (che avete già, giusto? E’ obbligatoria se trattate dati personali) inserendo le informazioni riguardanti i cookies identificati. eventualmente linkando ai moduli di consenso delle aziende che si occupano di gestirli inserire un banner informativo in tutte le pagine che informi brevemente sulla presenza di cookies traccianti e richieda un consenso esplicito al loro uso informare il garante attraverso un apposito modulo che trovate seguendo l’URL https://web.garanteprivacy.it/rgt, pagando 1 50 euro per spese di segreteria.
Già i primi due punti presentano numerose difficoltà pratiche. Se infatti usate dei servizi meno “diffusi’ (ad esempio di piccole aziende) potrebbe non essere banale capire essi installano cookies e in caso affermativo se quest’ultimi siano o meno “buoni” (per dirla come il garante: tecnici). Un caso a parte, inoltre, sono gli strumenti di statistiche: se ne utilizzate uno dovete fare attenzione all’uso che l’azienda fa dei dati che raccoglie. La normativa infatti prevede che i cookies installati da questi servizi siano da considerarsi tecnici solo se la raccolta di informazioni avviene in forma aggregata e non viene ridistribuita a terzi. Inoltre l’azienda deve impegnarsi esplicitamente a non incrociare i dati con altri già in suo possesso.
Trovare queste informazioni per un povero blogger può essere molto frustrante(se usate google analytics potete leggere il box a margine per avere ulteriori informazioni).
A questo aggiungete che dovreste trovare i link alle policy della privacy di ciascuno di questi siti per poi poterle inserire come link nella vostra privacy policy.
Il terzo punto è forse il più complicato dal punto di vista tecnico. Bisogna inserire un banner o popup informativo in ogni pagina del sito nel quale avvertite l’utente della presenza di cookies traccianti (il garante ne fornisce uno di esempio… ma molti evidenziano che esso non sarebbe conforme alla legge stessa in quanto non richiede un atto esplicito di consenso).
Tale banner deve presentare un breve testo, simile a
Questo sito utiilizza cookie per inviarti pubblicità e servizi in linea con ie tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsentì all’uso dei cookie.
Esso deve avere un pulsante che indichi l’accettazione esplicita dei cookies ed un link ad una informativa estesa (eventualmente integrata nella esistente privacy policy).
Attenzione al fatto che dovete inibire l’installazione di cookie traccianti finchè l’utente non da il proprio consenso. Questa è una cosa difficile da fare per un tecnico e praticamente impossibile per un comune utente. Nonostante le difficoltà, è necessario adeguare tempestivamente i siti, perché le multe sono esorbitanti (anche se il garante stesso ha sottolineato in una intervista che in una prima fase non saranno applicate… ma meglio non rischiare!): si parla di somme che vanno da 6.000 a 120.000 euro.
Gli accertamenti comunque non partiranno d’ufficio ma sarà necessario che il vostro sito sia segnalato da qualcuno.