Cookie e Privacy: il tuo sito web è a norma di legge?

Cosa devi fare per avere un sito web a norma di legge? Non sto a raccontare niente in questo articolo. Questo, è un articolo più tecnico ed informativo, ma utile ad evitare sanzioni in materia di cookie e privacy policy sui siti web. Parto dal lontano 2014 in cui vi fu il Provvedimento del Garante per la privacy dell’8 maggio 2014. Il Garante aveva previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola.

Tale periodo è terminato il 2 giugno 2015.

Nonostante tutto questo, alcuni siti WEB, ancora oggi, non sono in regola con il provvedimento citato e molte persone, non sanno ancora la differenza tra policy privacy e tra cookie utilizzati sul proprio portale. 

 

Distinguiamo subito tra Privacy Policy (obbligatoria per tutti i siti web indistintamente) e cookie policy (diversa in base ai cookie utilizzati)

La privacy policy (o informativa sulla privacy) è il documento tramite il quale il titolare del trattamento dei dati permette all’interessato – ovvero agli utenti che visitano o che utilizzano il suo sito/app – di conoscere le modalità e finalità del trattamento dei dati personali raccolti.

Ogni sito internet deve essere dotato di una privacy policy.

Lo ripeto: ogni sito internet deve essere dotato di una privacy policy.

Il 25 maggio 2018 è il giorno in cui il nuovo Regolamento UE 2016/679 sarà direttamente applicato in tutti i Paesi dell’Unione Europea e andrà a sostituire l’attuale Codice della Privacy (Dlgs 196/2003) oggi vigente in Italia.

 

La cookie policy è un approfondimento della privacy policy dedicato ai cookie. Anche il cookie è un dato personale e la cookie policy si occupa di descriverne con dettaglio le finalità di installazione, le terze parti che installano o che potrebbero installare cookie attraverso il sito, con anche un link alla rispettiva privacy policy, alla cookie policy ed agli eventuali moduli di consenso.

 

Ma cosa sono questi Cookie?

Provo a spiegartelo con un esempio semplice:

Quando cerchi qualcosa su Google, alcuni risultati che trovi appaiono di colore blu, altri di colore viola. Quelli viola sono i siti web che hai visitato in precedenza su quell’argomento. Ma come fa Google a saperlo?

 

Ora provo a spiegartelo.

Conosci la favola di Pollicino? 

Narra di un povero taglialegna e sua moglie che, non avendo più di che sfamare i loro sette figli, un giorno decidono di abbandonarli nel bosco. Il più piccolo dei fratelli, Pollicino, avendo udito per caso la conversazione dei genitori, si riempie le tasche di sassolini bianchi. Il giorno dopo, quando i genitori conducono i figli nella foresta con una scusa, Pollicino lascia cadere i sassolini dietro di sé; seguendo questa traccia riesce a riportare i fratelli a casa…

Ora considera che ogni volta che visiti una pagina web il tuo PC, attraverso il proprio indirizzo IP, “lascia una traccia”  attraverso i così detti cookie  (In inglese il termine “cookie” significa “biscotto”).

 

QUALI COOKIE UTILIZZI SUL TUO SITO E COME TI DEVI TUTELARE? 

DISTINGUIAMO I “COOKIE TECNICI” DAI “COOKIE ANALITICI ” DAI “COOKIE DI PROFILAZIONE (prima e terza parte)”

 

CASO 1 Solo cookie tecnici:

I cookie tecnici servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Se non si ricorresse a questo genere di cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, ma è necessario dare l’informativa (art. 13 del Codice privacy).

 

CASO 2 Solo cookie tecnici e analitici “a basso potenziale identificativo”:

I cookie analitici possono essere assimilati ai cookie tecnici solamente se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

 

Per questi due casi non è obbligatorio il banner, ma è comunque obbligatoria l’informativa estesa. Nessuna esigenza di richiedere il consenso né di notificare alcunché al Garante.

 

CASO 3 Cookie tecnici e cookie analytics “a basso potenziale identificativo” e cookie di profilazione di terza parte

CHI UTILIZZA GOOGLE ANALYTICS?

GOOGLE ANALYTICS è un servizio messo a disposizione dal colosso americano e che installa alcuni specifici cookie ( cookie di  terza parte). A questo riguardo, il Garante chiarisce che i cookie analitici sarebbero quindi equiparabili ai cookie di profilazione di prima parte con conseguente notificazione obbligatoria.

L’eccezione sui cookie di terza parte si ha se si procede con l’anonimizzazione dell’indirizzo IP

 

In questo caso è obbligatorio il banner con richiesta di consenso,  è obbligatoria l’informativa estesa ma non è obbligatoria la notifica al Garante.

E AdWords o Facebook Ads? Sono cookie di profilazione di prima parte?

Il codice di monitoraggio di AdWords (così come gli altri) installa cookie di profilazione. Questo significa che è necessario mostrare banner, cookie policy e bloccare i codici prima di aver raccolto il consenso dell’utente. Tuttavia, nella gran parte dei casi, la titolarità dei dati (ossia dei cookie utilizzati) è del servizio terzo, profilazione di terza parte (questo pone in capo a quest’ultimo l’obbligo di notificazione)

Nella maggioranza dei casi, l’utente può opporsi al tracciamento tramite cookie direttamente visitando il sito della terza parte, linkato all’interno della cookie policy.

CASO 4: Cookie tecnici e cookie analytics NON “a basso potenziale identificativo” e cookie di profilazione di prima parte

cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

Se non avviene l’anonimizzazione IP i cookie analitici saranno equiparati ai cookie di profilazione di prima parte e saranno assoggettati a tutti gli obblighi previsti dalla normativa in materia di cookie: segnalazione nell’informativa, visualizzazione del banner,richiesta del consenso all’utente e notificazione del trattamento al Garante. 

Solo per i cookie di profilazione di prima parte, ovvero quelli che il titolare usa in maniera autonoma ed indipendente per profilare l’utente è obbligatorio il banner con richiesta di consenso,  è obbligatoria l’informativa estesa ed è obbligatoria la notifica al Garante.

 

Qualche esempio comune?
– Hai un sito senza possibilità di registrarsi, commentare e senza form di contatto – Cookies tecnici

– Hai Google Analytics? (anonimizza l’IP) – Cookies terze parti: link verso policy del servizio +  banner

– Hai pulsanti social? – Cookies terze parti: link verso policy del servizio + banner

– Hai Google Maps integrato nel sito? – Cookies terze parti: link verso policy del servizio + banner

 

 

COSA RISCHI SE NON SEI A NORMA? 

Esattamente come parcheggiare in divieto di sosta. Può essere che nessuno ti veda quindi niente multa o può essere che proprio tu, finisca per essere “beccato”. La sanzione? Da 20.000 a 120.000€