Il 2 giugno è il termine ultimo per adeguarsi alla nuova normativa sui cookie, siete pronti? Facciamo un po’ di chiarezza sull’argomento.
Siamo ciò che navighiamo
I cookie sono delle informazioni che i siti possono scrivere sui nostri browser mentre li visitiamo e che poi possono rileggere durante le nostre visite successive.
Tramite i cookie chi gestisce un sito può capire molto di un utente e può sfruttare le informazioni per crearne un profilo: hobby, sport, lavoro, interessi generali, ma anche informazioni un po’ più delicate: religione, salute, orientamento sessuale.
Un po’ di storia
A giugno 2012 l’Italia recepisce la legge europea sui cookie, che in poche parole dice che un sito web non può salvare dei cookie nel browser di un utente senza ottenere prima la sua autorizzazione esplicita.
La sostanza della legge è condivisibile: si iniziava a capire che motori di ricerca e social network non volevano solo regalarci strumenti per cercare e condividere gattini ma erano interessati a sapere il più possibile su di noi e sui nostri gusti per poi proporci pubblicità centrata sui nostri interessi. All’epoca tuttavia la reazione del mondo del web fu piuttosto blanda; qualcuno pensò che la norma riguardasse solo i giganti del web, molti semplicemente ignoravano che la norma fosse entrata in vigore.
La situazione italiana
Circa un anno fa il Garante italiano per la protezione dei dati personali ha emanato il provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” che nelle intenzioni avrebbe dovuto semplificare l’adeguamento alla legge di cui sopra, fornendo anche indicazioni pratiche sul da farsi.
Il provvedimento fa due tipi di distinzioni. La prima è in base alla finalità di utilizzo del cookie:
- Cookie tecnici, ovvero cookie strettamente necessari alla navigazione del sito (per esempio cookie di sessione o configurazioni tecniche)
- Cookie di profilazione, ovvero “volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso”
La seconda invece prende in considerazione i soggetti coinvolti:
- L’editore, ovvero il proprietario del sito
- Terze Parti, ovvero i vari fornitori di servizi installati sul sito.
Il provvedimento precisa che “nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando”
Il banner dovrà contenere:
- l’indicazione che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
- l’indicazione che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
- un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
- l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.
Infine ricorda che i cookie di profilazione rientrano tra i trattamenti soggetti all’obbligo di notificazione al Garante (art. 37, comma 1, lett. d) nel caso siano finalizzati a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. Le sanzioni sono salate:
- da seimila a trentaseimila euro in caso di omessa informativa o di informativa inidonea
- da diecimila a centoventimila euro in caso di installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi
- da ventimila a centoventimila euro in caso di omessa o incompleta notificazione al Garante
Adeguarsi sembra semplice
Apparentemente la soluzione non è complicata: visualizzo il banner, includo un’informativa in cui elenco i cookie che vengono installati dal sito e salvo in un cookie le preferenze dell’utente. Il Garante ha però precisato che prima del consenso dell’utente non posso installare cookie di profilazione o di terze parti: questo significa che fino al momento del consenso non posso incorporare nel mio sito, a puro titolo di esempio:
- Google Analytics (a meno che non renda anonimo l’indirizzo ip)
- Video di YouTube
- Pulsanti e Widget social di Facebook, Twitter, Google+, Linkedin, Pinterest, etc etc
- Pulsanti per la condivisione rapida tramite AddThis o ShareThis
Ecco che la cosa si fa un po’ meno banale, quello che prima era un semplice copia e incolla del codice del servizio diventa un’operazione a cuore aperto sul mio sito: potrò inserire nella pagina i vari servizi solo dopo il consenso dell’utente, per esempio tramite javascript.
Bombe intelligenti o Guerra Termonucleare Globale?
Questa legge spara sui civili disarmati anziché colpire il deposito di munizioni. Una legge nata per mettere un freno a pochi giganti che gestivano allegramente la privacy degli utenti è diventata un problema per chi questi dati non li vede neanche da lontano. Le sanzioni non sono eque: la sanzione minima è un salasso per un piccolo editore, la sanzione massima è una briciola per un gigante del web. Forse sarebbe stato meglio studiare una soluzione che scaricasse tutti gli oneri su chi realmente fa profilazione e non su chi a fine mese è felice di leggere su Analytics che ha avuto 1000 visite sul proprio sito e una manciata di follower in più.
La soluzione Dot Next
Il nostro team ha lavorato in questi mesi affiancato da un legale per realizzare una soluzione giuridicamente corretta e tecnologicamente sicura da proporre ai nostri clienti. Il risultato è un plugin javascript integrabile facilmente nei siti esistenti: si definisce l’elenco dei cookie, si inseriscono poche linee di codice nelle pagine del sito e si marcano gli script da bloccare preventivamente: il gioco è fatto. Vuoi saperne di più? Contattaci!