Legge Cookie Privacy 2 giugno 2015: cosa devi fare per il tuo sito e-Commerce

3.67 avg. rating (75% score) - 6 votes

Cookie Law

Mancano solo 20 giorni dall’entrata in vigore del Provvedimento del Garante per la protezione dei dati personali n. 229/2014, obbligatorio per tutti i siti a dal 2 giugno 2015. Approfondiamo l’argomento perché l’impressione è che in molti non abbiano ancora mosso un dito.

Di cosa parliamo

Lavorando con siti e-Commerce e curando attività di Lead Generation mi devo confrontare spesso con il tema della Privacy. Ho approfondito un po’ l’argomento che sintetizzo qui, avendo già fatto un minimo di screening. Chiaramente non sono un legale e l’obiettivo di questo post non è certo sostituirmi a un professionista: ho raccolto informazioni da fonti autorevoli aggregandole con un minimo di logica, tuttavia vi chiedo di prendere queste righe con il beneficio del dubbio e approfondire quello che ritenete utile a decisioni importanti.

Nel mio piccolo, ho imparato un sacco di cose nuove. Per esempio che oggi, sul mio computer, ci sono oltre 100 cookie di piattaforme per la Pubblicità Comportamentale o Online Behavioural Advertising (cos’è la Pubblicità Comportamentale?). Si tratta di aziende e servizi di cui in parte non ho mai sentito parlare, pur lavorando in questo settore da diversi anni, spesso dalla stessa sponda del fiume! 😉

 Elenco di cookie di profilazione pubblicitaria presenti sul mio computer

Entriamo nel vivo. Avete già una Privacy Policy sul sito? Bene, oggi vediamo come integrarla con le novità del provvedimento 229/2014: cosa scrivere e soprattutto come modificare il sito (eh si, questa volta dovete passare dagli sviluppatori!) per rispettare la normativa. Nello specifico approfondiamo le modalità semplificate per l’Informativa e acquisizione del consenso per l’uso dei cookie, identificate dal Garante. Esistono due tipologie di cookie, due tipologie di informativa, varie implementazioni e altrettante sanzioni, vediamo tutto in dettaglio in 4 passaggi fondamentali.

Ambito e tempistiche

Ciò che trovate descritto in questo post è obbligatorio per tutti i siti italiani dal 2 giugno 2015. Chi gestisce o è titolare di un sito deve garantire la conformità alla normativa entro quella data, quindi l’1 giugno 2015 alle 23:59:59 tutto deve già essere in regola. Le norme qui indicate sono obbligatorie per ogni sito indipendentemente dal device attraverso il quale viene fruito e utilizzato. Insomma vale anche per siti mobile, siti responsivi e app.

1. Cookie tecnici e Cookie di profilazione

Il Garante ha idealmente catalogato i cookie rilasciati da un sito in due categorie: Cookie tecnici e Cookie di profilazione. I Cookie tecnici non necessitano consenso preventivo da parte del visitatore e tantomeno un’informativa breve, mentre quelli di profilazione si.

Cookie tecnici

I Cookie definiti “tecnici” indicati dal Garante sono quelli

  1. relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;
  2. relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);
  3. relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.

Cookie di profilazione

I Cookie definiti “di profilazione” indicati dal Garante sono quelli

  1. di profilazione pubblicitaria;
  2. di retargeting;
  3. dei social network;
  4. di statistica gestiti da terze parti.

ATTENZIONE: i Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi, avvisate i vostri sviluppatori affinché adeguino la vita dei cookie di questo tipo.

Eccezioni

E’ interessante notare che, soprattutto per i Cookie di profilazione relativi a servizi di statistica (che poi sono quelli in uso praticamente su tutti i siti degni di questo nome) esistono due eccezioni. Tali deroghe permettono di non chiedere obbligatoriamente il consenso preventivo nei seguenti casi:

  1. Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito (es. Piwik, Sawmill ecc.), quindi parliamo di quelli non forniti da servizi esterni di terze parti;
  2. Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa accedere né utilizzare i dati in forma disaggregata a livello IP.

Per esempio Google Analytics può anonimizzare i dati in questo modo tramite l’apposita funzionalità di Mascheratura dell’indirizzo IP.

2. Informativa breve e Informativa estesa

Si tratta, né più né meno, di un testo necessario a informare il visitatore su quali aspetti del suo comportamento online vengono registrati e utilizzati, come e da chi. L’informativa in questione serve – in teoria – per consentire al visitatore di scegliere se desidera concedere l’archiviazione e l’utilizzo dei cookie sul proprio terminale/dispositivo. Si parla per questo motivo di “consenso informato”. Dico in teoria perché di fatto l’informativa non la legge mai nessuno (verificate attraverso il vostro sistema di analytics), sia perché come italiani non diamo ancora grande peso a questi aspetti, sia perché si tratta spesso di un testo in legalese lungo un infinito (e direi appositamente studiato per non essere letto. Chapeau!).

Informativa breve: cos’è?

Necessaria solo nel caso in cui il sito invii cookie di profilazione. E’ un’informativa estremamente sintetica, visibile non appena si carichi una qualsiasi pagina del sito, al primo accesso e per ogni accesso successivo quando non sia stato espresso il consenso all’utilizzo dei cookie. Deve sempre contenere il link all’informativa estesa. In termini di layout, lo spazio dedicato all’informativa breve (es. un banner, una fascia ecc.) deve essere differenziato dal resto dei contenuti ed evidente, preferibile introdurre caratteristiche come: dimensioni adeguate, animazione/espandibilità, caratteri evidenti, colori contrastanti ecc. Ecco un testo di esempio tratto dal documento fonte del post e un sito che lo usa attivamente:

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all’uso dei cookie.

Esempio di banner con Informativa breve

L’esecuzione di una qualunque delle azioni indicate nel testo conferma il consenso. Quindi il non interagire con i moduli di consenso, l’uscire dall’informativa chiudendola o semplicemente continuando a navigare nel sito è già sufficiente per dichiarare di aver prestato il consenso, ma solo a condizione che sia indicato espressamente nel testo del banner (come nell’esempio qui sopra). In questo caso, dalla visita successiva non è più necessario mostrare il banner con l’informativa né chiedere alcun consenso. Viceversa dovrà comparire a ogni nuova visita.

ATTENZIONE: l’informativa breve è necessaria solo se il sito invia anche cookie di profilazione, se invia solo cookie tecnici non serve usare l’informativa breve.

Informativa estesa: cos’è?

Si intende l’informativa completa sull’utilizzo dei Cookie. Può essere una pagina dedicata a tale scopo oppure una sezione all’interno della Privacy Policy del sito. In ogni caso deve contenere come minimo:

  1. quanto richiesto dall’articolo 13 del d.lgs 196/2003 “Codice privacy”, caratteristiche già teoricamente presenti in tutti i siti 🙂
  2. una spiegazione sintetica e chiara su cosa sono i cookie e come gestirli/eliminarli tramite le impostazioni del browser;
  3. l’indicazione di come viene prestato il consenso (cfr. il copy di esempio per il banner);
  4. le tipologie e la descrizione dei Cookie tecnici divisi per finalità;
  5. le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo – singolo – specifico modulo di consenso;
  6. le tipologie e la descrizione dei Cookie di terze parti con relativa finalità, specifico link all’informativa e al modulo di consenso della terza parte. Per i soli Cookie di profilazione pubblicitaria (es. retargeting ecc.) si può linkare – qualora fosse tra i sistemi consociati – il sito www.youronlinechoices.com/it (scritto proprio così, non è un esempio, è il link vero). Per curiosità, provate a vedere quanti cookie di profilazione sono già attivi sul vostro computer senza saperlo…

ATTENZIONE: l’Informativa estesa è sempre necessaria sia che si inviino Cookie di profilazione che solo Cookie tecnici. E’ altresì utile sapere che “la responsabilità per la gestione delle preferenze dell’utente relativamente ai cookie di terze parti ricade sulla terza parte che li ha rilasciati“.

3. Cosa bisogna fare

Il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy, tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

  1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
  2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
  3. catalogare i Cookie per finalità di trattamento;
  4. aggiornare, integrando, la Privacy Policy del sito;
  5. modificare il comportamento automatico del sito in merito ai Cookie.

Come modificare il comportamento automatico del sito in merito ai Cookie

Dovete chiedere agli sviluppatori di mettere mano al codice del sito per fare in modo che risponda automaticamente alle scelte (esplicite o non) dei visitatori. Nello specifico chi sviluppa la modifica al sito dovrà:

  1. isolare i blocchi di codice che potrebbero inviare Cookie di terze parti (es. Javascript di tracciamento);
  2. inserire in tutte le pagine la visualizzazione dell’Informativa con possibilità di interazione e scelta;
  3. fare in modo che il punto 1 lavori in base alle scelte del punto 2.

Esiste poi un interessante escamotage, con i suoi pro e contro. E’ possibile evitare lo step 3, inviando sempre e comunque tutti i Cookie al visitatore, ma senza “attivarli” (ovvero leggerli/usarli) finché il visitatore non esprime il consenso. Inoltre, solo per i visitatori che non hanno ancora espresso il consenso, per utilizzare questo escamotage nel rispetto della normativa, durante la seconda visita il sito deve cancellare i cookie e inviarli nuovamente (come se l’utente fosse alla sua prima visita). In pratica, se il visitatore non dà il consenso esplicito il sito può inviare i Cookie, ma non li deve usare fino a comunicazione contraria e, se questa non arriva durante la visita stessa, alla visita di ritorno vanno eliminati. Tutto ciò garantisce l’assenza di lettura/aggiornamento dei Cookie durante la visita successiva e quindi l’assenza di profilazione dell’utente. Infatti, se non c’è un consenso o un diniego esplicito, occorre prevedere un Cookie tecnico che identifichi l’utente come alla prima visita, chiedendo nuovamente il consenso.

Processo

Secondo la normativa, l’interazione col visitatore del sito dovrebbe essere eseguita così:

  1. mostrare l’informativa per esempio tramite banner/overlayer;
  2. inviare i Cookie tecnici;
  3. verificare se l’utente abbia già espresso preferenze, analizzando se alla prima visita o meno. In caso di seconda visita e mancanza di esplicito consenso fare in modo di eliminare i Cookie e considerare l’utente come fosse alla prima visita;
  4. in caso di negazione esplicita del consenso: blocco dei Cookie di terze parti che rilasciano Cookie di profilazione, poi rilascio dei Cookie che non profilano l’utente. In caso positivo invece: rilascio dei Cookie di profilazione;
  5. salvataggio delle preferenze utente di consenso in un Cookie (così da non mostrare più il banner/informativa);
  6. gestione e aggiornamento della Cookie Policy.

In sostanza al primo accesso sul sito si possono rilasciare sempre i Cookie tecnici, ma non quelli di profilazione nel caso in cui l’utente non abbia ancora esplicitato il consenso.

ATTENZIONE: il Garante richiede che si tenga traccia del consenso da parte dell’utente utilizzando un Cookie tecnico, ma non ha indicato la soluzione tecnologica da adottare. 😀 Per questa ragione, a ulteriore tutela, può aver senso introdurre un processo interno di risposta veloce per gli utenti che lamentano necessità di confermare/negare il consenso oppure chiedono informazioni su come cancellare i cookie dal proprio browser.

4. Obblighi e sanzioni

I titolari dei siti che utilizzano Cookie di profilazione sono obbligati a notificarlo preventivamente al garante (cfr. art. 37, comma 1, lett. d, del Codice della Privacy) tramite questo modulo online. Dall’obbligo sono esclusi i titolari di siti che inviano Cookie di profilazione solo tramite servizi di terze parti in quanto non rientrano nel controllo degli stessi. Tuttavia, se il titolare del sito può accedere in forma disaggregata a questi dati (es. Google Analytics senza Mascheratura dell’indirizzo IP) si ritorna sull’obbligo in quanto ipoteticamente interpretabile come co-titolare e va quindi notificato.

Le sanzioni possono essere onerose, alcuni esempi:

  1. omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
  2. installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
  3. omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.

Tutto questo è applicabile a i soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).

Fonti

Per approfondire l’argomento e scrivere questo post ho utilizzato principalmente il documentoCookie istruzioni per l’uso” (ricevuto in qualità di soci IAB Italia) redatto da DMA Italia, FedoWEB, Netcomm, UPA e ovviamente IAB Italia, ma che ho visto disponibile anche sul sito del Sole 24 Ore. Al documento ha partecipato anche Iubenda in qualità di partner tecnico, un servizio molto valido che vi suggerisco di provare per ottenere -a un costo più che accessibile – l’informativa aggiornata, personalizzata e adatta alla vostra realtà.

Su eCommercers invece trovate diversi articoli di approfondimento su ogni tema trattato qui, davvero utile e completo.

DISCLAIMER: il PDF qui sopra condiviso riporta una dichiarazione di esclusione di responsabilità che recita così “Il presente Kit non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente“, la faccio anche mia, ovviamente. 🙂

Immagine di copertina da ITEspresso.

21 commenti per Legge Cookie Privacy 2 giugno 2015: cosa devi fare per il tuo sito e-Commerce
  1. Giovanni Rispondi

    Bellissimo articolo molto interessante. Con questi cookie non se ne può più.

  2. Alessandra Rispondi

    Articolo molto interessante, complimenti. Secondo me in Italia sono ancora pochi quelli che sono a posto con questo obbligo di legge.
    Vi consiglio anche questa intervista ad un avvocato che prova a fare chiarezza su alcuni punti. ciao

    http://lifeinabyte.com/2015/04/23/cookie-law-tutto-quello-che-ce-da-sapere-prima-del-3-giugno/

  3. Daniele Rispondi

    Giovanni: grazie molto gentile. Confermo, anche per me gli aspetti legal sono una noia, ma anche importantissimi!

    Alessandra: molto gentile, ottima risorsa da leggere.

  4. Giulio Rispondi

    Salve, questo vale anche per i siti che risiedono all’estero ed al loro interno ovviamente usano banner di società estere, nulla a che vedere con l’italia praticamente?

    • Daniele Vietri Rispondi

      La normativa in questione è italiana, riguarda l’Italia. Ma c’è un piano europeo coordinato in tal senso, occorre quindi informarsi sulla situazione nella nazione di riferimento.

  5. Maximiliano Rispondi

    Grazie Daniele. Gestisco molti siti, tra cui un e-commerce. Esiste una guida esplicativa, anche tecnica, su cosa scrivere e come applicarlo al sito? 🙂 Saluti.

    • Daniele Vietri Rispondi

      Ciao Max, esiste ma non è una guida tecnica, scarica il PDF che ho linkato nel post dovresti avere tutti gli strumenti per decidere e comunicare allo sviluppatore.

  6. marco marana Rispondi

    Buongiorno. Volevo capire se questa legge vale solo per gli ecommerce o per tutti i siti e i blog. Anche per quelli creati su hosting gratuiti come Altervista?

  7. Luca Rispondi

    Però Daniele, guardavo i “grandi” tipo Zalando e

    1. o non si sono ancora adattati
    2. o fanno in maniera diversa

    L’informativa dice:
    “Per offrirti il miglior servizio possibile Zalando utilizza cookies. Continuando la navigazione nel sito autorizzi l’uso dei cookies”

    e poi l’informativa elenca cookie per cookie, cosa fanno ed eventualmente come disabilitarli

    prima qui:
    https://www.zalando.it/faq/cookies/

    e poi nella privacy qui (dal punto 3 in poi):
    https://www.zalando.it/zalando-informativa-sulla-privacy/

    Inoltre di cookie me ne spara un bel po’
    anche se continuo a navigare e non ho autorizzato nessuno

    • Daniele Vietri Rispondi

      “Continuando la navigazione nel sito autorizzi l’uso dei cookies”, è una formula prevista: dopo la prima pagina, se il visitatore non compie azione esplicita di negazione è come se avesse accettato l’invio di tutti i cookie. Zalando lo sta facendo esattamente come indicato da IAB Italia con la sola eccezione che il “banner” è fisso in alto e non è contrastato, mentre la best practices indicata dal Garante è di un overlayer centrale e molto contrastato. Per il resto mi pare in linea.

      • Luca Rispondi

        ma non c’è possibilità di rinuncia se non andandosene del sito
        inoltre NON sta trattenendo i cookie

        se questo è un modo corretto per farlo “costa” molto meno di quanto suggerito prima, ovvero non inviare nulla prima che l’utente abbia accettato

        • Luca Rispondi

          Il nostro consulente pricacy invece dice che non si può fare

          • Daniele Vietri

            Hai ragione, non avevo capito. Anche se tutti stanno facendo così, concordo sul fatto che non sia in linea con la normativa perché manca la possibilità di negare e quindi non c’è modo di “attivare” il flusso e le nuove integrazioni.

      • Michele Rispondi

        Ciao Daniele,
        ho datto una lettura a ciò che il Garante ritiene opportuno su come le informazioni “debbano” essere distribuite ma non ho trovato espliciti riferimenti all’overlayer centrale. Ho anche contattato un mio consulente che mi ha confermato che può essere una soluzione (facendomi notare che il sito it.smart.com ne fa uso) ma che non è vincolante e che sarebbe proprio il sistema modello, ma dal mio punto di vista è anche troppo oltre considerando che infastidiscono le modal di richiesta alla newsletter appena si accede ad un sito, figuriamoci se diventano più di una con quella della privacy sempre pronta ad apparire per ogni sito.
        Inoltre presumo che siano interpretazioni relativamente soggettive, considerando poi che passato qualche mese entrerà nel DNA degli utenti che si aspetteranno già questo avviso e che sapranno già che se non cliccano su “Accetto” la navigazione, soprattutto da mobile, è compromessa da un ridotto spazio visivo occupato dall’insistente richiesta di accettazione.

  8. Andrea Rispondi

    Salve a tutti, vedo ancora della nebulosità su come agire.
    Vorrei invitarvi a visitare il sito di LG o HP o DELL, dove è presente, a mio avviso, la soluzione migliore.
    La domanda che sorge spontanea, per siti con uso di Cookie Tecnici e Profilazione (remarketing) è obbligatoria questa configurazione?
    Oltre, comunicazione e pagamento dei famosi 150€ come spese di segreteria per Cookie di Profilazione

    • Luca Rispondi

      Ciao andrea, ho visto il sito della LG ma anche dopo aver selezionato off a tutte le voci che compaiono per i cookie a me rimane tutto attivo. Prova con il plugin ghostery per chrome o firefox…io li vedo sempre attivi

  9. Annalisa Rispondi

    A me non è chiaro se il sito appartiene ed è gestito dalla casa madre americana, ma è parzialmente tradotto per uso dei clienti italiani, e noi abbiamo una sede italiana.. il sito deve sottostare alla legislazione o meno? anche se il sito NON è gestito direttamente dalla sede italiana?
    grazie infinite della risposta che vorrete darmi in merito.Annalisa

  10. Chicca Rispondi

    Salve io ho un sito web per un agenzia di viaggio e- commerce.l agenzia che mi ha sviluppato il sito mi ha chiesto dei soldi per adeguare il sito alla normativa.ma è lecito? Scusate non ne capisco nulla….

Rispondi a Alessandra Annulla risposta

Il tuo indirizzo mail non verrà pubblicato. Inserisci il tuo nome, la tua mail e il commento.