C’è tempo fino al 2 giugno 2015 per mettere il regola il proprio sito web riguardo la direttiva sull’utilizzo dei cookie sul proprio sito web.
Il provvedimento del Garante per la protezione dei dati personali n.229/2014 relativo all’individuazione del consenso per l’uso dei cookie diventerà infatti obbligatorio il 2 giugno 2015.
E’ quindi importante procedere, se non lo si è già fatto, ad applicare i modelli di informativa che siano chiari per l’utente e che possano permettergli di esprimere o meno il consento all’archiviazione di cookie sul proprio terminale, sia esso desktop che mobile.
Le modalità per comunicare l’utilizzo dei cookie sul proprio sito si baserà quindi sulla redazione della pagina relativa alla cookie policy completa, che dovrà essere raggiungibile SEMPRE in ogni pagina del sito ed un banner che comunica in forma abbreviata che avvisa l’utente che nel sito si stanno utilizzando i cookie. Tale banner potrò essere nascosto dall’utente, ma l’importante è che questo sia ben visibile in ogni pagina del sito al primo accesso da parte dell’utente, sarà poi proprio un Cookie a ricordarsi che l’utente ha preso visione dell’avviso.
Ma cosa bisogna fare per stilare la propria cookie policy?
- identificare tutte le categorie di cookie che vengono utilizzati sul proprio sito e il motivo per cui vengono utilizzati (es. proprio la memorizzazione della presa visione del banner informativo sui cookie)
- identificare le terze parzi (ovvero servizi esterni al sito) che utilizzano i cookie (es. Facebook)
- raggruppare i vari cookie per finalità del trattamento
- raccogliere i riferimento relativi alla privacy policy e moduli di consenso delle terze parti (se disponibili)
- aggiornare la propria policy privacy
Ricordo che al primo accesso al proprio sito i cookie definiti come tecnici posso essere rilasciati a patto che venga fornita l’adeguata informativa (banner), al contrario quelli di profilazione no (questo dovranno essere eventualmente abilitati solo dopo il consenso dell’utente).
Come deve essere il banner informativo?
- deve essere posizionato in punto punto strategico ben visibile (solitamente in cima o a fondo della pagina)
- caratteri più evidenti rispetto a quelli usati normalmente nel sito
- deve avere uno sfondo contrastante rispetto al sito per essere meglio identificato dall’utente
Ecco come potrebbe essere il messaggio del banner se si utilizzano cookie di profilazione (anche di terze parti):
Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie. OK + INFO
Dove il pulsante OK va a nascondere il banner memorizzando un cookie tecnico e il link + info porta alla pagina della cookie policy.
E questo come messaggio più generico:
Per assicurare una navigazione ottimale e altri servizi, questo sito è predisposto per consentire l’uso di tutti i Cookie. Puoi cambiare le modalità di utilizzo dei Cookie in ogni momento. OK + INFO
Cosa deve contenere l’informativa?
- gli elementi di cui all’art.13 d.lgs. 196/2013 (“Codice privacy”)
- una spiegazione generale di cosa sono i cookie e come possono essere gestiti tramite browser
- la spiegazione di come viene prestato il consenso (banner, pulsanti ok e + info)
- la descrizione delle categorie dei cookie
- la descrizione dei cookie di profilazione
- la descrizione delle finalità dei cookie di terza parte e per i quali è necessario indicare i link all’informativa e al sito della terza parte (nel caso fosse difficoltoso fornire queste informazioni si potrà inserire il link al sito www.youronlinechoises.com/it/)
ATTENZIONE! Se l’utente non interagisce con gli strumento di consenso ed esce dall’informativa chiudendola e continua la navigazione presta automaticamente il consenso per tutti i cookie a condizione che l’informativa riporti specifica questa indicazione in maniera esplicita.
Le tipologie di Cookie: tecnici e di profilazione
Il garante ha identificato due macro categorie di Cookie, di cui una sola obbliga a richiedere il consenso dell’utente, ma vediamoli nel dettaglio:
Cookie Tecnici (consenso non necessario)
Sono cookie relativi ad attività strettamente necessarie per il funzionamento del sito e possono essere relativi ad attività di salvataggio di preferenze e ottimizzazione all’uso dei servizi offerti nel sito (banner, sessione, carrello, lingua)
Sono catalogati come tecnici anche i cookie statistici se utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata.
Cookie di Profilazione (consenso necessario)
Sono cookie di profilazione pubblicitaria di prima e terza parte (es. adsense), cookie di retargeting, social network, cookie di statistica gestiti da terze parti.
Quando parliamo di cookie di statistica gestiti da terze parti pensiamo subito a Google Analytics che però ha degli strumenti che sono esenti dall’obbligo di consenso e sono:
– cookie analytics installati direttamente sul server senza interazioni da parte di terzi (es. Piwik)
– cookie gestiti da terze parti ma in forma anonima (es. google analytics)
IMPORTANTE! All’interno dell’informativa è necessario indicare come eliminare i cookie dai vari browser.
Considerazioni importanti sull’utilizzo dei cookie di profilazione
Si ricorda che l’utilizzo di cookie di profilazione porta l’obbligo di notifica al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice della Privacy.
Per questo, in caso di utilizzo di cookie di profilazione deve compilare il modulo presente sul sito web.garanteprivacy.it/rgt
Se però si utilizzano cookie di profilazione di terze parti il titolare/gestore del sito non dovrà fare la notifica perchè chi effettivamente accedere ai dati è la terza parte, sarà però opportuno fornire all’utente tutti gli strumenti possibili per raggiungere la terza parte e negare o accettare il consenso all’utilizzo di tali cookie, ad eccezione però nel caso in cui il titolare/gestore dovesse a sua volta accedere a questi dati.
Conservazione dei cookie
Il limite massimo di conservazione è fissato per un periodo non superiore ai 12 mesi.
Sanzioni
Cosa importante, che è necessaria sapere, è che la violazione della normativa potrebbe comportare l’applicazione di sanzioni molto onerose! E’ prevista infatti una sanzione amministrativa del pagamento di una somma che va da 6.000 a 120.000 Euro in base al tipo di violazione che possono essere suddivise in:
- Assenza degli elementi indicati (fino a 30.000 Euro)
- installazione dei cookie in assenza di consenso, se lo comporta (fino a 120.000 Euro)
- Omessa i incompleta notifica al Garante, se necessaria (fino a 120.000 Euro)
Ricordiamo che questo articolo non potrà essere inteso quale parere legale in merito all’informativa e non è neanche un documento sostitutivo delle linee guida impartite dal Garante che vi invitiamo a consultare.
Detto questo, un sito di tipo aziendale normalmente utilizza cookie tecnici e raccoglie i dati sono ai fini commerciali (il trattamento deve essere indicato nella policy privacy). Eventuali cookie di terze parti potrebbero essere i cookie relativi ai social network (presenta dei pulsanti di condivisione e mi piace per esempio di facebook) o sull’utilizzo delle statistiche anonime sul sito (es. google analytics).