È il Garante per la privacy che te lo chiede: se utilizzi cookie sul tuo sito internet, devi provvedere ad adeguarti alla nuova normativa in tema di privacy internet, la cookie policy, entro il 3 giugno 2015.
Molti utenti, proprietari di siti internet privati o aziendali che siano, potrebbero ribattere che il proprio sito non utilizza cookie, almeno non sembra. Purtroppo non è così perché i cookie vengono installati nel computer dell’utente da software come: Google Analytics, AdSense, Twitter, Facebook, ecc. che quasi tutti abbiamo sulle nostre pagine web. Quindi la stragrande maggioranza dei siti, va adeguata mediante la pubblicazione di un’informativa breve e una estesa, direttamente sul proprio sito. Vediamo come.
Innanzitutto è bene comprendere cosa siano i cookie e come vengono catalogati dal Garante della Privacy. Si tratta di piccoli file, per lo più testuali, che vengono lasciati dai siti nel computer dell’utente che li sta navigando. Questi file servono per lasciare delle indicazioni sulle preferenze che l’utente ha espresso interagendo con il sito in questione così, quando l’internauta dovesse tornare sulle pagine che gli hanno installato i cookie, queste potrebbero presentargli degli avvisi pubblicitari più mirati alle sue esigenze precedentemente dedotte. Questo non spiega però perché questi avvisi pubblicitari, appaiano anche su altri siti diversi da quello che ha lasciato i cookie. È presto spiegato: quando si verifica questa occorrenza, significa che il cookie era stato lasciato da una terza parte autorizzata dal proprietario del sito e non dal proprietario stesso. Un esempio è Google AdSense, che tiene traccia delle preferenze degli utenti rilasciando cookie attraverso i siti che espongono i suoi avvisi pubblicitari. Una specie di enorme network pubblicitario globale.
Ecco quindi già una prima differenza di tipologia di cookie: quelli lasciati dal proprietario, o editore, del sito (first part cookie) e quelli lasciati da un advertiser autorizzato (third part cookie). In quest’ultimo caso l’editore diventa concessionario.
Ma veniamo alla differenza che determina come adeguare il proprio sito a questa normativa creando un’informativa breve e una estesa. Il Garante stesso distingue i cookie tecnici da quelli di profilazione. Vediamo cosa significa e cosa comportano.
I cookie tecnici
A detta del Garante sono i meno invasivi. Servono per stilare statistiche anonime di accesso o tenere conto delle preferenze dell’utente per proporre una navigazione, del sito stesso, più in linea con le sue preferenze. Stiamo parlando, ad esempio, di Google Analytics e software simili, o della gestione del carrello di un e-commerce o della scelta della lingua.
Questo tipo di cookie non sono dichiarati invasivi e pertanto va solamente indicato che vengono utilizzati, ma non necessitano di un consenso da parte dell’utente per installarglieli nel computer.
La cosa si fa più complessa però riguardo ad alcune funzioni di Google Analytics, su cui il Garante non sembra dare indicazioni, che si occupano di recuperare informazioni demografiche sugli utenti.
Il nostro consiglio è di procedere comunque con un’informativa estesa come di seguito descritta.
I cookie di profilazione
Come detto possono essere generati dall’editore o proprietario del sito a scopi pubblicitari interni, oppure possono essere lasciati da terze parti, come network pubblicitari, al fine di raccogliere informazioni volte a migliorare la resa e l’efficacia dei messaggi pubblicitari. Alcuni dicono per fornire un servizio migliore all’utente che si ritroverà a leggere in rete solo avvisi più in linea con le sue preferenze, ma, di fatto, si tratta sempre di pubblicità mirata e tali cookie aiutano l’advertiser ad aggiustare la mira per meglio colpire il target.
Questo tipo di cookie richiedono invece un consenso esplicito da parte dell’utente perché invasivi, cioè entrano nella sfera privata dell’utente.
Eccoci allora al punto, cosa fare? È presto detto: creare un’informativa breve e una estesa. La seconda è sempre consigliabile perché anche se il sito non utilizzasse cookie di profilazione, potrebbe farlo in seguito e quindi ci si ritroverà già preparati al successivo adeguamento: basterà aggiungere alcune inforamzioni al documento.
Informativa breve
L’avviso breve deve essere visualizzato in un banner in cima al sito oppure in un pop-up che impedisca la navigazione finché l’utente non clicchi sul bottone per chiudere il pop-up stesso. Va proposto solo la prima visita e deve essere presente in tutte le pagine del sito perché l’utente potrebbe accedere da una pagina diversa dall’home via motore di ricerca.
In effetti non sarebbe richiesto un click di accettazione, ma questa è implicita se l’utente continuasse a navigare. È per questi aspetti che consigliamo di risolvere come proposto dal Garante stesso in questo documento che mostra un esempio grafico di come realizzare il banner.
Il banner deve quindi spiegare quali cookie si utilizzano e dare la possibilità di accedere all’informativa estesa in modo che l’utente, se lo desiderasse, potrebbe negare il consenso ad uno o più cookie. Inoltre deve spiegare che l’accesso alla pagina sottostante, equivale all’accettazione.
Informativa estesa
nel caso l’utente volesse più informazioni, potrà cliccare il link alla pagina che presenta l’informativa estesa. Questo documento è una policy che dovrà contenere:
- l’elenco dettagliato dei cookie utilizzati, specialmente quelli di profilazione, spiegando perché vengono utilizzati nel sito
- dare la possibilità all’utente di negare il consenso ai cookie che non desidera vengano installati sul suo computer
- nel caso si utilizzassero cookie di terze parti, il Garante stesso ammette l’evidente difficoltà per un editore (magari un privato) di permetterne la disattivazione e così, sarà sufficiente fornire il link all’informativa dell’advertiser
- infine sarà necessario fornire istruzioni su come configurare i browser per non accettare tali cookie. Anche in questo caso potrebbe essere sufficiente il link alle pagine informative dei browser stessi
Per realizzare questo intervento sul proprio sito è necessario, per chi non fosse esperto, ricorrere all’aiuto di un professionista in quanto il codice da realizzare non è proprio semplicissimo. Se il sito è stato costruito su base CMS (come ad esempio WordPress o Joomla) è possibile installare un plugin e poi provvedere alla creazione della pagina della policy. Non si tratta comunque di un servizio completamente automatico.
La nota dolente sono le sanzioni che il Garante ha stabilito. Se non si inserisce l’informativa oppure questa risultasse non idonea, si può incorrere in una multa dai 6.000 ai 36.000 euro. Nel caso di inserimento di cookie non autorizzati, si parla di multe tra i 10.000 e i 120.000 euro. Davvero salate!
Infine c’è il discorso della notifica al Garante. Chi adopera i cookie di profilazione, deve notificarlo secondo le informazioni fornite in questo link, in cui è presente la normativa completa che invitiamo a leggere per approfondire ed agire per tempo.
Se il tuo sito non è adeguato a questa normativa ed hai bisogno di aiuto, compila il modulo qui sotto, ci pensiamo noi.
