Informativa e consenso all'uso dei cookie per tutti i siti


Cookie è un termine inglese che tradotto in italiano significa biscotto, in informatica si riferisce a delle piccole righe di testo che per mettono di eseguire autenticazioni automatiche, il tracciamento di sessioni e memorizzazioni di dati degli utenti che accedono ad un server.

I cookie sono utili perché semplificano la navigazione su internet, basti pensare al login su Facebook o al proprio account di posta elettronica dove la sessione rimane aperta anche chiudendo il browser o spegnendo il computer. Oltre a questo servono a monitorare i gusti dell'utente. Non si tratta di un software che spia l'utente ma di un qualcosa di intelligente per incrementare le entrate economiche del gestore del sito o di chi ne offre il servizio pubblicitario.
Ad esempio vi è mai capitato di cercare informazioni su un telefono, computer, abbonamento e poi di ritrovarvi questo stesso servizio o prodotto in un banner pubblicitario? Ecco, i cookie servono a mostrare pubblicità a cui si è realmente interessati.

Dato che gli utenti devono essere a conoscenza di questo meccanismo, il garante della privacy si è iniziato a muovere già dal 2009 inducendo i webmaster che utilizzano i cookie di profilazione a introdurre nella pagina principale del proprio sito un link verso una sezione che spiega agli utenti il consenso all'uso dei cookie.

Da giugno 2015 non basterà più un semplice link ma si dovrà installare uno script costituito da una semplice frase, un link verso la pagina dedicata alla privacy e il pulsante OK per confermarne la lettura. Dovrà essere posizionato in evidenza, cioè scorrendo la pagina si dovrà vedere sopra tutto il resto, almeno fino a quando non si decida di accettarne l'uso dei cookie premendo il pulsante OK.

Come si abilita

A titolo di esempio il Garante della Privacy ha messo nel suo sito questa immagine per dare un'idea di come si dovrebbe presentare l'informativa all'uso dei cookie su tutti i siti web:


Quello che avete appena visto è un popup, sicuramente una opzione parecchio fastidiosa per l'utente medio e tra l'altro anche a livello SEO non è consigliato coprire i contenuti, anche se per giusti scopi.

Per fortuna che l'editore o gestore di un sito gode di un minimo di libertà riguardo al modo in cui si dovrà esporre questa informativa e quindi anziché utilizzare un popup in posizione centrale, potrà installare una barra di piccole dimensioni nella parte superiore o inferiore del sito.

Esso si dovrà visualizzare in tutte le pagine del sito, quindi non solo nella homepage ma anche negli articoli, nelle pagine di archivio e perfino quelle non indicizzate ma che risultano accessibili ai visitatori. Nella pagina da linkare dovete dare maggiori informazioni su cosa siano i cookie, a cosa servono e anche spiegare come sia possibili disattivarli. Inoltre deve esserci scritto che "proseguendo la navigazione sul sito si accettano e si autorizzano automaticamente i cookies necessari".
Su Scuolissima è presente una sezione dedicata alla Privacy, tuttavia dato che il discorso è un po' vago non me la sento di dire che sia al 100% corretta ed infatti potrà subire modifiche nel tempo.


Dove si trova

Per installare l'informativa e consenso all'uso dei cookie dovete recarvi sul sito cookiechoices.org, un sito realizzato da Google che mette a disposizione degli utenti degli script che si possono liberamente installare sul proprio sito, blog, forum.

Per ognuno dei seguenti codici si dovrà scaricare il file cookiechoices.js e andarlo a caricare nella directory del server (o root del sito); ricordo che le piattaforme come Blogger che non possono caricare file di alcun tipo dovranno utilizzare altri metodi validi come Google Drive, oppure inserendo lo script per esteso.

Per i siti sono presenti due soluzioni: la schermata iniziale, cioè il popup o la barra delle notifiche, cioè la soluzione meno invasiva. Potete visualizzare l'esempio sul sito stesso di cookiechoices cliccando sul apposito pulsante e poi il codice da ricopiare dovete andarlo ad incollare dopo il tag <body> ma prima del tag </body>. Anche per le app di iOS e Android è disponibili il popup una tantum.

Allo stato attuale questi metodi non sono validi per la normativa italiana ma soltanto per quella europea. Tuttavia esistono molti plugin per Wordpress e diverse soluzioni per altri tipi di piattaforme, spesso a pagamento. Non esiste un metodo fornito dal garante della privacy valido per tutti e questo è un problema per chi utilizza CMS limitati come quello di Blogger (giusto per citarne uno...).

Sanzioni

Leggendo il sito garanteprivacy.it ho notato che vi sono multe salate sia per chi se ne infischia sia per chi non era al corrente di tutto questo. 

- L'art. 161 del Codice andrà ad implementare prevede una sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro per chi omette l'informativa o la implementa in modo inidoneo.

- L'art. 162, comma 2-bis, del Codice prevede una sanzione del pagamento di una somma da diecimila a centoventimila euro per l'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi.

- L'art 163 del Codice prevede una sanzione con il pagamento di una somma da ventimila a centoventimila euro per omessa o incompleta notificazione al Garante.


Date le possibili mazzate che potrebbero arrivare, conviene nel dubbio adeguarsi, anche se questo possa in qualche modo imbruttire il sito o ridurre le entrate che derivano da esso.


La mia interpretazione

Leggendo il punto "2. Soggetti coinvolti: editori e "terze parti". sulle modalità semplificate dell'informativa vi è scritto che:
Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").
Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice.

Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

In sintesi vuole dire che i cookie di terze parti cambiano frequentemente nome, sono difficili da gestire proprio perché vengono controllati da terzi e noi che siamo i proprietari del sito ma non dei cookie di profilazione, non abbiano né le conoscenze né le possibilità materiali di alterare il codice. Quindi dobbiamo limitarci ad inserire l'informativa estesa (cioè il link della privacy sul sito) ma per il momento consiglio anche di utilizzare la barra dei cookie finché non si farà più chiarezza.


A conferma di quanto ho detto, segnalo anche la pagina delle FAQ sull'informativa per il consenso e l'uso dei cookie, in particolare il punto 14:
14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?
Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

Il titolare del sito web che installa cookie di profilazione non siamo noi, ad esempio lo è Google se la pubblicità in questione è Adsense. Quindi il nostro compito è solo quello di rendere completa e dettagliata la pagina della privacy, le multe (ammesso che arriveranno) se le beccheranno le terze parti, ovvero le affiliazioni ed i social network. Con molta probabilità non succederà nulla neanche a loro in quanto non risiedono nemmeno in Europa, ma questo non è affar nostro...
Le multe arriveranno anche a noi Blogger se ci viene segnalato che la nostra privacy/policy non risulta corretta o completa.

La novità = IL VERO PROBLEMA DEI COOKIE

Leggendo il CHIARIMENTO SULLA NORMATIVA DEI COOKIE sembra che il garante abbia stravolto tutto. Se prima sembrava bastare una barra dei cookie nel peggiore delle ipotesi, adesso abbiamo l'obbligo di bloccare tutti i cookie di profilazione di terze parti come le pubblicità, i plugin dei social network, le mappe, i video di Youtube o di Vimeo ecc.

4. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte
Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all'installazione dei cookie di profilazione provenienti da domini "terze parti", si conferma che tali soggetti rispetto all'installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

È bene precisare, tuttavia, che per la natura "distribuita" di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all'uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l'evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall'altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l'utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c'è bisogno di informativa e consenso.

Al riguardo, si coglie l'occasione per ribadire che le richieste di consenso presenti all'interno dell'informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.

Preme sottolineare che l'obbligo di rendere l'informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.

- Il problema iniziale è quello economico, in quanto la maggior parte delle pubblicità è di profilazione.
- Il secondo problema è quello legato alla struttura del sito dato che molti funzionano in modo strettamente collegato a Facebook o all'account di Google.
- Il terzo problema è legato alla visione degli utenti, loro vedranno una barra più fastidiosa del solito.
- Il quarto problema è legato alla la visione dei motori di ricerca, che potrebbero declassare il nostro sito se certi metodi veranno considerati "strani" (ad esempio il refresh automatico dopo l'accettazione del banner).
- Il quinto problema è nascondere i cookie di terze parti quando vengono utilizzati a scopo di profilazione, non è affatto una cosa semplice da applicare.



2 commenti :

  1. Ciao Andrea,
    sono una dei tanti blogger che in questo periodo si arrovellano sulla normativa per l'uso dei cooki.
    Desidero ringraziarti per i post e tutorial che hai messo a disposizione.
    Ho inserito il codice ed ho preso come modello l'informativa, apportando le modifiche necessarie, integrando con altri contributi.
    Sperando di aver ottemperato agli adempimenti, rinnovo il mio grazie, con i saluti più cordiali.
    Marilena

    RispondiElimina
    Risposte
    1. intanto aspettiamo prima di dire che tutto è a posto, magari il garante della privacy farà più chiarezza su alcuni punti, o almeno si spera...
      Ad oggi chi raccoglie il consenso preventivo sono coloro che gestiscono i cookie i prima persona, chi usa solo quelli di terzi non sta raccogliendo il loro consenso. Da domani si vedrà :)

      Elimina

I commenti dovranno prima essere approvati da un amministratore. Verranno pubblicati solo quelli utili a tutti e attinenti al contenuto della pagina. Per commentare utilizzate un account Google/Gmail, altrimenti la modalità "anonimo".