È da pochi giorni terminato l’anno di tempo messo a disposizione dal Garante per la Privacy per adeguarsi alla nuova EU Cookie Law, e la confusione di notizie e informazioni sull’adeguamento del proprio sito o blog alle nuove regole non manca, anzi la fa da padrona. A preoccupare sono sia i costi di adeguamento, ma soprattutto le sanzioni previste, cifre in ogni caso non di poco conto, soprattutto per le piccole realtà. Il Garante in realtà ha cercato di rassicurare gli animi dichiarando di non avere intenzione di mettersi subito a multare chi non si adegua, aspettando di fatto che la legge venga prima ben compresa e recepita, ma la confusione e l’ansia rimangono, sia per chi amministra i siti web, sia per gli utenti, questi ultimi chiamati a rilasciare consensi informati sull’uso dei cookie, tema che di norma non conoscono a sufficienza e che è stato molto poco dibattuto nell’anno di transizione messo a disposizione dalla pubblicazione della decisione sulla Gazzetta Ufficiale
Posto che esistono diversi tipi di cookie (ad es. tecnici e di profilazione, propri e di terze parti), che ognuno ha uno scopo e un utilizzo diverso, vediamo di far luce al riguardo, soprattutto cercando di capire a chi è rivolta la legge, le problematiche legate al suo ambito di applicazione, e cosa è obbligatorio fare a seconda dei casi.
Quali sono i soggetti sottoposti a queste disposizioni?
Tutti i siti internet comunitari in cui la persona/organizzazione cade sotto la giurisdizione europea, indipendentemente da dove risiede fisicamente il server che utilizza i cookie e da quale tipo di cookie utilizzi.
Quali problemi dà questa legge?
In primo luogo a spaventare sono i costi che i siti devono pagare per adeguarsi alla normativa (la sola comunicazione al Garante costa 150 euro). Il secondo punto è poi il rischio di perdere ricavi pubblicitari, anche se comunque si stima che solo una piccola parte di utenti non darà il consenso e che quindi il danno in questo senso sarà minimo. Tra l’altro, i cookie sono solo un mezzo di profilazione, non l’unico. Le grandi aziende che profilano (Google e Facebook in primis) è molto probabile passino ad altri metodi che non prevedono cookie ma che sono efficaci allo stesso modo (e sono perfettamente legali e spesso già usati).
Cosa accade quando un utente nega il consenso?
Per i cookie di terze parti, il sito deve essere indirizzato sulle piattaforme corrispondenti, Facebook e Google ad esempio, con un link sul banner informativo che riporti al pannello necessario a bloccarli o disattivarli. Ma, per come funziona il business della pubblicità online, non sempre il sito sa a chi appartengono i cookie. In quei casi, si deve quindi indirizzare l’utente a piattaforme generaliste dove si può negare il consenso. Il fatto però che un utente non acconsenta alla ricezione di cookie di profilazione, negando il proprio consenso tramite il banner che appare alla prima visita a un sito, non significa che la sua navigazione sarà esente da pubblicità, significa invece che video e banner non terranno conto degli interessi manifestati, a danno degli inserzionisti e del comparto che fa della pubblicità il proprio core business.
Come mettersi in regola?
I sistemi per la conferma da parte dell’utenza possono essere inseriti sotto forma di popup o barre di stato in cui i visitatori vengano avvisati dell’uso di cookie da parte del sito. Il Garante ha reso molto semplice l’espressione del consenso: basta che l’utente scrolli la pagina in basso o chiuda il banner. La legge, in ogni caso, prevede che l’utente, per esprimere consenso all’uso dei cookie, possa utilizzare “specifiche configurazioni di programmi informatici o di dispositivi“, un diretto riferimento quindi alle impostazioni dei browser o dei client di posta elettronica che permettono o non permettono di memorizzare i cookie. Si lascia quindi all’utenza la possibilità di scegliere se accetterà o no l’uso dei cookie.
L’informativa sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli:
- informativa breve, contenuta in un banner presentato all’utente al momento del primo accesso al sito, che dovrà indicare se il sito utilizza cookie di profilazione, se consente l’invio di cookie di terze parti, il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie e che proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie;
- informativa estesa, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio.
Nel dettaglio:
- Nel caso di utilizzo di soli cookie tecnici non è necessaria l’informativa breve (quella contenuta nel banner presentato all’utente al momento dell’accesso al sito), ma solo quella estesa, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio;
- Nel caso di uso di cookie di profilazione di terzi parti, è necessario inserire sia l’informativa breve, con l’avviso dell’utilizzo dei cookie e la conseguente accettazione da parte dell’utente, sia quella estesa con le informazioni dettagliate sul di cookie utilizzati, e su come fare eventualmente per non dare il consenso, magari con un link all’informativa e al modulo di consenso della terza parte e il link al sito degli intermediari. In ogni caso per questo secondo tipo di cookie non è necessario notificare al Garante l’utilizzo sul proprio sito.
- Nel caso infine di cookie di profilazione propri è necessario inserire, oltre all’informativa breve e a quella estesa, con le stesse caratteristiche di quelli di terze parti, anche una descrizione dell’uso dei propri cookie e un modulo per effettuarne la disattivazione, e – solo per questi – è obbligatoria la comunicazione al Garante.
Chi deve pagare la notifica al Garante?
La cookie law è costruita attorno a due principi: informare il visitatore di un sito web su quali cookie vengono utilizzati e come eventualmente bloccarli e notificare al Garante, secondo il codice della privacy e interpretando la direttiva europea del 2009, l’elenco delle conservazioni di dati sensibili prodotti dalla profilazione dei cookie non tecnici, cioè dei cookie che non servono soltanto al buon funzionamento del sito, ma a profilare la persona per indirizzargli una pubblicità su misura. Quest’ultima procedura però, che tanto preoccupa la rete, non è obbligatoria per tutti. È rivolta infatti unicamente ai siti che utilizzano cookie di profilazione propri. E cioè:
- chi utilizza piattaforme profilanti non di terze parti (ad es. i titolari di negozi online che raccolgono informazioni per comprendere meglio le abitudini del cliente/visitatore e offrirgli servizi sempre più personalizzati);
- chi in accordo con le terze parti può accedere ai dati di profilazione degli utenti (sarà necessario in questo caso valutare possibili ipotesi di contitolarità del trattamento ai fini della notificazione).
Conclusioni
Quindi si potrebbe riassumere che:
- l’informativa sull’utilizzo dei cookie va messa in ogni caso, anche per i cookie tecnici, per i quali però non occorre il banner di accettazione;
- il consenso va chiesto per tutti i cookie di profilazione, anche quelli di terze parti, da associare all’informativa estesa che spieghi il loro funzionamento nel dettaglio e anche il modo per non accettarli;
- la comunicazione al Garante dipende dalla titolarità dei cookie e va fatta quindi solo per cookie di profilazione propri.
Con buona pace di chi si ostina a diffondere falsi allarmismi in giro per il web con il solo scopo, probabilmente, di avere quanti più utenti da ‘profilare’.
