lunedì 1 giugno 2015

Cookie law: adeguarsi alla normativa.

Il due giugno è ormai più che prossimo: se avete un blog o un sito occorre che voi lo adeguiate alla nuova normativa sui cookies.

Di cosa sto parlando?
Il garante per la privacy, ha recepito in questo provvedimento (Registro dei provvedimenti n. 229 dell'8 maggio 2014; Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014 ) la direttiva europea 2009/136/CE che impone agli amministratori delle pagine web di mostrare ai visitatori un banner che li informi circa la politica dei cookie del sito che stanno consultando e di subordinare alla sua accettazione il proseguimento della navigazione.
Se volete saperne di più circa le norme sovranazionali e circa le modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie visitate questa pagina.

Qui potete trovare le linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 (Pubblicato sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015) - Registro dei provvedimenti n. 161 del 19 marzo 2015

Se non sapete cosa i sono i cookie e a cosa servono vi consiglio di dare un'occhiata alle FAQ del Garante.
Cosa sono i cookie?
I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. "terze parti" vengono, invece, impostati da un sito web diverso da quello che l'utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.
A cosa servono i cookie?
I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.
Cosa sono i cookie "tecnici"?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall'utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l'identificazione dell'utente nell'ambito della sessione, risultano indispensabili.
I cookie analytics sono cookie "tecnici"?
No. Il Garante (cfr. provvedimento dell'8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
Cosa sono i cookie "di profilazione"?
Sono i cookie utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell'utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
È necessario il consenso dell'utente per l'installazione dei cookie sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione".
Per l'installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell'utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

Ora abbiamo scoperto cosa sono i cookies e a cosa servono.

Abbiamo capito anche che sui blog ci possono essere cookies non installati direttamente dall'autore/"editore", ma da "terze parti". 

Non è possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".

Ma cosa occorre fare per adeguarsi alla normativa?

In che modo il titolare del sito deve fornire l'informativa semplificata e richiedere il consenso all'uso dei cookie di profilazione?
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l'informativa va impostata su due livelli.
Nel momento in cui l'utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa "breve", la richiesta di consenso all'uso dei cookie e un link per accedere ad un'informativa più "estesa". In questa pagina, l'utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.


In sostanza occorre realizzare o un banner o una NavBar in cui compare l'avviso di utilizzo di cookies, con specifica indicazioni di quali cookies (secondo lo schema che abbiamo visto in alto: propri o di terze parti, tecnici o di profilazione) la richiesta di consenso al loro uso (un OK andrà benissimo) e un link che riporti all'informativa estesa.
Cosa deve indicare l'informativa "estesa"?
Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l'installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?
Il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
Occorrerà creare a questo scopo una pagina apposita sul blog che deve contenere i cookies contenuti dal sito e le loro finalità. Se sono presenti cookies di terze parti occorre linkare i moduli di consenso di queste ultime ed in ogni caso indicare anche le opzioni del browser in modo che il navigante possa scegliere se installare i cookies o meno o eliminare quelli già presento.
La mia informativa ad esempio la trovate qui. Io ho aggiunto anche una pagina di privacy policy e un apposito "bottone" sull'home page del blog in modo che risultasse il più chiaro possibile. 
Ma come deve essere questa navbar? E come si esprime il consenso dell'utente navigante? 
Come deve essere realizzato il banner?
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l'utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell'utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.
Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell'utente.
Deve contenere il link all'informativa estesa e l'indicazione che, tramite quel link, è possibile negare il consenso all'installazione di qualunque cookie.
Deve precisare che se l'utente sceglie di proseguire "saltando" il banner, acconsente all'uso dei cookie.
Insomma potete posizionare la barra o il banner dove volete, basta che copra parzialmente la pagina del blog/sito e che crei una certa discontinuità nella lettura: insomma deve attirare l'attenzione del lettore. Da quello che si legge sulla pagine delle faq del Garante pare di poter affermare con ragionevole certezza che anche il semplice scrolling della pagina o il proseguimento della navigazione, costituisce consenso e accettazione.
Se invece che una semplice barra volete creare una finestra di dialogo, potete seguire queste istruzioni (grazie Licia per la segnalazione!). Quest'ultima è una soluzione più restrittiva rispetto a quella prospettata dal Garante: o si accetta espressamente tramite un'azione positiva (un click) l'utilizzo dei cookie o la navigazione è resa molto difficoltosa. 
La navbar, invece, anche se non accettate esplicitamente i cookies rimane ma non impedisce al navigante di consultare il blog.
In che modo può essere documentata l'acquisizione del consenso effettuata tramite l'uso del banner?
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale "documentazione", non è necessario che l'informativa breve sia riproposta alla seconda visita dell'utente sul sito, ferma restando la possibilità per quest'ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all'informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.
Il consenso online all'uso dei cookie può essere chiesto solo tramite l'uso del banner?
No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.
L'obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
No. In questo caso, il titolare del sito può dare l'informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l'inserimento delle relative indicazioni nella privacy policy indicata nel sito.
Vediamo ora ad un punto che ha gettato nel panico molte blogger:
L'uso dei cookie va notificato al Garante?
I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all'obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.
Ma cos'è la notifica? 
La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento.
La notificazione riguarda l'attività di trattamento di dati personali (a volte solo se registrati in banche dati o archivi indicati dalla legge o dal Garante), ma non una banca dati o un archivio in quanto tale. Può aversi, infatti, un trattamento anche se materialmente i dati non sono organizzati in una banca dati.
Chi deve notificare?
Solo i titolari dei trattamenti indicati dalla legge (art. 37 del Codice) o dal Garante con appositi provvedimenti (allo stato non adottati), sono obbligati a notificare i trattamenti al Garante
Art. 37. Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale. 
In sostanza parliamo dei cookies di profilazione/pubblicitari (tipo AdSense). Ricordo che anche i cookie che derivano da Google Analytics, se non sono in forma anonima, diventano cookie di profilazione ed in quanto tali vanno notificati al Garante.
La notifica comporta dei costi:
Ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00.
Per cosa fare "tecnicamente" per aggiungere la nav bar sul sito vi consiglio di seguire i tutorial che sono presenti in rete.
Io ho seguito quello di Entrophia ma ce ne sono anche altri, tipo questo.
Per la policy sulla privacy e se avete bisogno di un aiuto tecnico più professionale, invece, vi consiglio iubenda.
Infine, per quando dobbiamo adeguarci alla nuova normativa?
Quando entrano in vigore le misure prescritte dal Garante con il provvedimento dell'8 maggio 2014?
Il Garante ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola. Tale periodo terminerà il 2 giugno 2015.

2 commenti:

  1. Marina che dire, ti ringrazio per queste importanti chiarificazioni :)

    RispondiElimina
  2. Spero possano essere utili.

    RispondiElimina