informativa

Legge Cookie Privacy 2 giugno 2015: cosa devi fare per il tuo sito e-Commerce

3.67 avg. rating (75% score) - 6 votes

Cookie Law

Mancano solo 20 giorni dall’entrata in vigore del Provvedimento del Garante per la protezione dei dati personali n. 229/2014, obbligatorio per tutti i siti a dal 2 giugno 2015. Approfondiamo l’argomento perché l’impressione è che in molti non abbiano ancora mosso un dito.

Di cosa parliamo

Lavorando con siti e-Commerce e curando attività di Lead Generation mi devo confrontare spesso con il tema della Privacy. Ho approfondito un po’ l’argomento che sintetizzo qui, avendo già fatto un minimo di screening. Chiaramente non sono un legale e l’obiettivo di questo post non è certo sostituirmi a un professionista: ho raccolto informazioni da fonti autorevoli aggregandole con un minimo di logica, tuttavia vi chiedo di prendere queste righe con il beneficio del dubbio e approfondire quello che ritenete utile a decisioni importanti.

Nel mio piccolo, ho imparato un sacco di cose nuove. Per esempio che oggi, sul mio computer, ci sono oltre 100 cookie di piattaforme per la Pubblicità Comportamentale o Online Behavioural Advertising (cos’è la Pubblicità Comportamentale?). Si tratta di aziende e servizi di cui in parte non ho mai sentito parlare, pur lavorando in questo settore da diversi anni, spesso dalla stessa sponda del fiume! 😉

 Elenco di cookie di profilazione pubblicitaria presenti sul mio computer

Entriamo nel vivo. Avete già una Privacy Policy sul sito? Bene, oggi vediamo come integrarla con le novità del provvedimento 229/2014: cosa scrivere e soprattutto come modificare il sito (eh si, questa volta dovete passare dagli sviluppatori!) per rispettare la normativa. Nello specifico approfondiamo le modalità semplificate per l’Informativa e acquisizione del consenso per l’uso dei cookie, identificate dal Garante. Esistono due tipologie di cookie, due tipologie di informativa, varie implementazioni e altrettante sanzioni, vediamo tutto in dettaglio in 4 passaggi fondamentali.

Ambito e tempistiche

Ciò che trovate descritto in questo post è obbligatorio per tutti i siti italiani dal 2 giugno 2015. Chi gestisce o è titolare di un sito deve garantire la conformità alla normativa entro quella data, quindi l’1 giugno 2015 alle 23:59:59 tutto deve già essere in regola. Le norme qui indicate sono obbligatorie per ogni sito indipendentemente dal device attraverso il quale viene fruito e utilizzato. Insomma vale anche per siti mobile, siti responsivi e app.

1. Cookie tecnici e Cookie di profilazione

Il Garante ha idealmente catalogato i cookie rilasciati da un sito in due categorie: Cookie tecnici e Cookie di profilazione. I Cookie tecnici non necessitano consenso preventivo da parte del visitatore e tantomeno un’informativa breve, mentre quelli di profilazione si.

Cookie tecnici

I Cookie definiti “tecnici” indicati dal Garante sono quelli

  1. relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;
  2. relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);
  3. relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.

Cookie di profilazione

I Cookie definiti “di profilazione” indicati dal Garante sono quelli

  1. di profilazione pubblicitaria;
  2. di retargeting;
  3. dei social network;
  4. di statistica gestiti da terze parti.

ATTENZIONE: i Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi, avvisate i vostri sviluppatori affinché adeguino la vita dei cookie di questo tipo.

Eccezioni

E’ interessante notare che, soprattutto per i Cookie di profilazione relativi a servizi di statistica (che poi sono quelli in uso praticamente su tutti i siti degni di questo nome) esistono due eccezioni. Tali deroghe permettono di non chiedere obbligatoriamente il consenso preventivo nei seguenti casi:

  1. Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito (es. Piwik, Sawmill ecc.), quindi parliamo di quelli non forniti da servizi esterni di terze parti;
  2. Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa accedere né utilizzare i dati in forma disaggregata a livello IP.

Per esempio Google Analytics può anonimizzare i dati in questo modo tramite l’apposita funzionalità di Mascheratura dell’indirizzo IP.

2. Informativa breve e Informativa estesa

Si tratta, né più né meno, di un testo necessario a informare il visitatore su quali aspetti del suo comportamento online vengono registrati e utilizzati, come e da chi. L’informativa in questione serve – in teoria – per consentire al visitatore di scegliere se desidera concedere l’archiviazione e l’utilizzo dei cookie sul proprio terminale/dispositivo. Si parla per questo motivo di “consenso informato”. Dico in teoria perché di fatto l’informativa non la legge mai nessuno (verificate attraverso il vostro sistema di analytics), sia perché come italiani non diamo ancora grande peso a questi aspetti, sia perché si tratta spesso di un testo in legalese lungo un infinito (e direi appositamente studiato per non essere letto. Chapeau!).

Informativa breve: cos’è?

Necessaria solo nel caso in cui il sito invii cookie di profilazione. E’ un’informativa estremamente sintetica, visibile non appena si carichi una qualsiasi pagina del sito, al primo accesso e per ogni accesso successivo quando non sia stato espresso il consenso all’utilizzo dei cookie. Deve sempre contenere il link all’informativa estesa. In termini di layout, lo spazio dedicato all’informativa breve (es. un banner, una fascia ecc.) deve essere differenziato dal resto dei contenuti ed evidente, preferibile introdurre caratteristiche come: dimensioni adeguate, animazione/espandibilità, caratteri evidenti, colori contrastanti ecc. Ecco un testo di esempio tratto dal documento fonte del post e un sito che lo usa attivamente:

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando su qualunque suo elemento acconsenti all’uso dei cookie.

Esempio di banner con Informativa breve

L’esecuzione di una qualunque delle azioni indicate nel testo conferma il consenso. Quindi il non interagire con i moduli di consenso, l’uscire dall’informativa chiudendola o semplicemente continuando a navigare nel sito è già sufficiente per dichiarare di aver prestato il consenso, ma solo a condizione che sia indicato espressamente nel testo del banner (come nell’esempio qui sopra). In questo caso, dalla visita successiva non è più necessario mostrare il banner con l’informativa né chiedere alcun consenso. Viceversa dovrà comparire a ogni nuova visita.

ATTENZIONE: l’informativa breve è necessaria solo se il sito invia anche cookie di profilazione, se invia solo cookie tecnici non serve usare l’informativa breve.

Informativa estesa: cos’è?

Si intende l’informativa completa sull’utilizzo dei Cookie. Può essere una pagina dedicata a tale scopo oppure una sezione all’interno della Privacy Policy del sito. In ogni caso deve contenere come minimo:

  1. quanto richiesto dall’articolo 13 del d.lgs 196/2003 “Codice privacy”, caratteristiche già teoricamente presenti in tutti i siti 🙂
  2. una spiegazione sintetica e chiara su cosa sono i cookie e come gestirli/eliminarli tramite le impostazioni del browser;
  3. l’indicazione di come viene prestato il consenso (cfr. il copy di esempio per il banner);
  4. le tipologie e la descrizione dei Cookie tecnici divisi per finalità;
  5. le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo – singolo – specifico modulo di consenso;
  6. le tipologie e la descrizione dei Cookie di terze parti con relativa finalità, specifico link all’informativa e al modulo di consenso della terza parte. Per i soli Cookie di profilazione pubblicitaria (es. retargeting ecc.) si può linkare – qualora fosse tra i sistemi consociati – il sito www.youronlinechoices.com/it (scritto proprio così, non è un esempio, è il link vero). Per curiosità, provate a vedere quanti cookie di profilazione sono già attivi sul vostro computer senza saperlo…

ATTENZIONE: l’Informativa estesa è sempre necessaria sia che si inviino Cookie di profilazione che solo Cookie tecnici. E’ altresì utile sapere che “la responsabilità per la gestione delle preferenze dell’utente relativamente ai cookie di terze parti ricade sulla terza parte che li ha rilasciati“.

3. Cosa bisogna fare

Il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy, tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

  1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
  2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
  3. catalogare i Cookie per finalità di trattamento;
  4. aggiornare, integrando, la Privacy Policy del sito;
  5. modificare il comportamento automatico del sito in merito ai Cookie.

Come modificare il comportamento automatico del sito in merito ai Cookie

Dovete chiedere agli sviluppatori di mettere mano al codice del sito per fare in modo che risponda automaticamente alle scelte (esplicite o non) dei visitatori. Nello specifico chi sviluppa la modifica al sito dovrà:

  1. isolare i blocchi di codice che potrebbero inviare Cookie di terze parti (es. Javascript di tracciamento);
  2. inserire in tutte le pagine la visualizzazione dell’Informativa con possibilità di interazione e scelta;
  3. fare in modo che il punto 1 lavori in base alle scelte del punto 2.

Esiste poi un interessante escamotage, con i suoi pro e contro. E’ possibile evitare lo step 3, inviando sempre e comunque tutti i Cookie al visitatore, ma senza “attivarli” (ovvero leggerli/usarli) finché il visitatore non esprime il consenso. Inoltre, solo per i visitatori che non hanno ancora espresso il consenso, per utilizzare questo escamotage nel rispetto della normativa, durante la seconda visita il sito deve cancellare i cookie e inviarli nuovamente (come se l’utente fosse alla sua prima visita). In pratica, se il visitatore non dà il consenso esplicito il sito può inviare i Cookie, ma non li deve usare fino a comunicazione contraria e, se questa non arriva durante la visita stessa, alla visita di ritorno vanno eliminati. Tutto ciò garantisce l’assenza di lettura/aggiornamento dei Cookie durante la visita successiva e quindi l’assenza di profilazione dell’utente. Infatti, se non c’è un consenso o un diniego esplicito, occorre prevedere un Cookie tecnico che identifichi l’utente come alla prima visita, chiedendo nuovamente il consenso.

Processo

Secondo la normativa, l’interazione col visitatore del sito dovrebbe essere eseguita così:

  1. mostrare l’informativa per esempio tramite banner/overlayer;
  2. inviare i Cookie tecnici;
  3. verificare se l’utente abbia già espresso preferenze, analizzando se alla prima visita o meno. In caso di seconda visita e mancanza di esplicito consenso fare in modo di eliminare i Cookie e considerare l’utente come fosse alla prima visita;
  4. in caso di negazione esplicita del consenso: blocco dei Cookie di terze parti che rilasciano Cookie di profilazione, poi rilascio dei Cookie che non profilano l’utente. In caso positivo invece: rilascio dei Cookie di profilazione;
  5. salvataggio delle preferenze utente di consenso in un Cookie (così da non mostrare più il banner/informativa);
  6. gestione e aggiornamento della Cookie Policy.

In sostanza al primo accesso sul sito si possono rilasciare sempre i Cookie tecnici, ma non quelli di profilazione nel caso in cui l’utente non abbia ancora esplicitato il consenso.

ATTENZIONE: il Garante richiede che si tenga traccia del consenso da parte dell’utente utilizzando un Cookie tecnico, ma non ha indicato la soluzione tecnologica da adottare. 😀 Per questa ragione, a ulteriore tutela, può aver senso introdurre un processo interno di risposta veloce per gli utenti che lamentano necessità di confermare/negare il consenso oppure chiedono informazioni su come cancellare i cookie dal proprio browser.

4. Obblighi e sanzioni

I titolari dei siti che utilizzano Cookie di profilazione sono obbligati a notificarlo preventivamente al garante (cfr. art. 37, comma 1, lett. d, del Codice della Privacy) tramite questo modulo online. Dall’obbligo sono esclusi i titolari di siti che inviano Cookie di profilazione solo tramite servizi di terze parti in quanto non rientrano nel controllo degli stessi. Tuttavia, se il titolare del sito può accedere in forma disaggregata a questi dati (es. Google Analytics senza Mascheratura dell’indirizzo IP) si ritorna sull’obbligo in quanto ipoteticamente interpretabile come co-titolare e va quindi notificato.

Le sanzioni possono essere onerose, alcuni esempi:

  1. omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
  2. installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
  3. omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.

Tutto questo è applicabile a i soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).

Fonti

Per approfondire l’argomento e scrivere questo post ho utilizzato principalmente il documentoCookie istruzioni per l’uso” (ricevuto in qualità di soci IAB Italia) redatto da DMA Italia, FedoWEB, Netcomm, UPA e ovviamente IAB Italia, ma che ho visto disponibile anche sul sito del Sole 24 Ore. Al documento ha partecipato anche Iubenda in qualità di partner tecnico, un servizio molto valido che vi suggerisco di provare per ottenere -a un costo più che accessibile – l’informativa aggiornata, personalizzata e adatta alla vostra realtà.

Su eCommercers invece trovate diversi articoli di approfondimento su ogni tema trattato qui, davvero utile e completo.

DISCLAIMER: il PDF qui sopra condiviso riporta una dichiarazione di esclusione di responsabilità che recita così “Il presente Kit non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente“, la faccio anche mia, ovviamente. 🙂

Immagine di copertina da ITEspresso.

e-Commerce: nuove regole dal 13 giugno 2014

5.00 avg. rating (94% score) - 1 vote

Qualche giorno fa il Sole 24 ore ha pubblicato l’articolo: Acquisti online, in arrivo nuove regole: ecco cosa cambia dal 13 giugno. Ne avevo scritto in dettaglio qui sul blog, ma dato che manca solo un mese… un veloce recap può essere di aiuto. E, sì, sono tutte novità a “sfavore” del merchant. 😀

e-Commerce: diritto di recesso a 14 giorni e addio al Credit Card Surcharge. Cosa cambia da 14 giugno 2014?

5.00 avg. rating (94% score) - 1 vote

Il 6 febbraio 2014 è stato diramato un comunicato stampa del Consiglio dei Ministri al cui interno sono contenute preziose informazioni per chi fa e-Commerce in Italia. A partire dal 14 giugno 2014, infatti, scattano nuovi obblighi nei confronti dei consumatori per i contratti a distanza e negoziati al di fuori dei locali commerciali. e-Commerce incluso, quindi, e l’AGCM (Autorità Garante della Concorrenza e del Mercato, Antitrut per gli amici) sarà responsabile di vigilare sull’applicazione ed eventualmente sanzionare.

Lo scopo è quello di recepire la Direttiva Europea 2011/83 per agevolare le vendite online nel Paese con particolare attenzione a quelle trans-frontaliere, tutelare maggiormente i consumatori favorendo la trasparenza da parte dei merchant e infine ridurre gli oneri amministrativi per le imprese che vendono all’estero.

Tra le novità principali, citando direttamente il comunicato, troviamo:

  1. la previsione di maggiori obblighi, in capo al professionista, di informazione precontrattuale da fornire ai consumatori nelle vendite dirette, cioè contratti negoziati fisicamente fuori dai locali commerciali e nelle vendite a distanza;

    Tradotto: informative e contratti più chiari e trasparenti da fornire prima dell’acquisto online.

  2. il diritto di recesso (diritto di ripensamento) riconosciuto al consumatore , è reso possibile entro un termine più ampio (dagli attuali 10gg. a 14gg.). In caso di omessa comunicazione al consumatore dell’informazione sull’esistenza del diritto di recesso si passa dagli attuali 60gg dalla conclusione del contratto e da 90 gg. dalla consegna del bene a dodici mesi;

    Tradotto: diritto di recesso a 14 giorni dall’acquisto e a 365 giorni se non indicato chiaramente.

  3. l’esercizio del diritto di recesso da parte del consumatore, e la riduzione dei costi del professionista per le vendite transfrontaliere, mediante l’utilizzo di un modello tipo di recesso, valido per tutti i Paesi UE;

    Tradotto: l’introduzione di un modello/procedura unificato per il recesso da tutti i Paesi Europei.

  4. un’importante novità, in caso di ripensamento, il consumatore qualora eserciti il diritto di recesso, potrà restituire il bene, anche se in parte deteriorato, perché sarà responsabile solo della “diminuzione del valore del bene custodito”;

    Tradotto: il bene può essere aperto, senza scatola, utilizzato. Ho un dubbio sulla responsabilità della diminuzione del valore: se è a carico del consumatore come si quantifica e come si paga? Se c’è qualche legale in ascolto… 🙂

  5. l’esclusione della possibilità di imporre al consumatore, qualora non utilizzi contante (ad es. in caso di pagamenti con carte di credito o bancomat), tariffe superiori; analogo limite riguarda la tariffa telefonica su linee dedicate messe a disposizione del consumatore dal venditore, nelle vendite dirette e nelle vendite a distanza;

    Tradotto: addio al Credit Card Surcharge (mah!). In pratica chi paga con carta di credito o Paypal non può essere obbligato a sopportare un costo ulteriore imposto dal merchant, come fanno oggi le compagnie aeree e molti altri.

Se fai e-Commerce segna questa data, prepara il tuo shop (e i processi aziendali) per tempo!

 Torna su