logotype

Cookie Law - Se non hai un sito a norma rischi fino a € 120.000 di multa

La Lionet si occupa della messa a norma dei siti mediante l'adeguamento degli stessi per ciò che concerne la legge sui Cookies, entrata in vigore il 3 Giugno 2015. 
La Cookie Law porta notevoli cambiamenti nel modo di pensare e progettare il web.
Vediamo ora nello specifico cosa sono i Cookie e a cosa servono.

Il Garante della Privacy specifica che «i Cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.»

Il Garante della Privacy individua due macro-categorie: “cookie tecnici” e “cookie di profilazione”.

a. Cookie tecnici.

Secondo la definizione che il Garante fornisce «i cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.

Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.».

b. Cookie di profilazione.

Secondo la definizione che il Garante fornisce «i cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l'art. 122 del Codice laddove prevede che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3" (art. 122, comma 1, del Codice).».

Il Garante della Privacy individua un'altra distinzione che riguarda il soggetto che installa i cookie sul terminale dell'utente.
Sul sito del Garante si legge: «occorre tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.

I cookie di terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice.

Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti. »

Secondo quanto definito e specificato dal Garante della Privacy, senza i Cookie i siti internet non funzionerebbero e le informazioni che in genere vengono passate da una pagina web all'altra non sarebbero trasmesse, così come non sarebbe possibile accedere ad un'area riservata tramite username e password, tenere traccia degli acquisti effettuati tramite sito e-commerce, pagare le proprie bollette via web etc. etc..
Come detto attraverso la definizione data dal Garante, i cookie che servono al semplice funzionamento di un sito sono definiti tecnici e per questo tipo di cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice.
La legge sui cookie non nasce per limitare e regolamentare l'utilizzo dei cookie tecnici, ma per tutelare e proteggere la privacy degli utenti che forniscono dati personali, scelte e preferenze che vengono memorizzati dai siti che usano i cookie di profilazione per inviare messaggi pubblicitari ai loro visitatori web.
Attraverso l'utilizzo di tali cookie si potrebbe tenere traccia, ad esempio, di un albergo prenotato, della ricerca dei ristoranti di una città, degli articoli o dei prodotti di maggiore interesse (auto, cell, elettrodomestici.....) etc.etc. .
Continuando a navigare su altri siti web, l'utente potrebbe visualizzare dei messaggi pubblicitari che riguardano le ricerche effettuate precedentemente, a causa della memorizzazione delle sue scelte e preferenze espresse nei siti che usano i cookie di profilazione.
È proprio per questo tipo di violazione della privacy che è nata la legge sui cookie!
L'utente che visita siti sui quali effettua delle ricerche ed esprime delle preferenze, ha il diritto di sapere se le informazioni fornite vengono poi utilizzate in futuro per scopi pubblicitari, di conoscere quali cookie vengono installati sul suo terminale e come eventualmente cancellarli, di esprimere il consenso preventivo all'utilizzo di tali cookie.

Ma come bisogna informare gli utenti circa l'utilizzo dei cookie di profilazione e/o di terze parti?

Vediamo cosa dice il Garante della privacy al riguardo:
«Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa "estesa", alla quale si accede attraverso un link cliccabile dall'utente.»

Il banner scompare solo quando l'utente cliccherà sul pulsante di chiusura.

Se il banner non viene chiuso, ma si continua nella navigazione del sito, si acconsente all'uso dei cookie.

L'informativa breve deve mettere subito a conoscenza l'utente circa l'utilizzo di cookie di “profilazione” e/o “tecnici” presenti sul sito che si sta visitando.

L'informativa estesa deve contenere la descrizione approfondita dei tipi di cookie utilizzati e come eventualmente cancellarli.

Per sapere se il tuo sito è in regola o come metterlo a norma secondo la legge sui Cookie, contattaci subito per avere una consulenza!

Lionet di Pio Saliani

Via Martiri di Via Fani,11/A
71122 Foggia (FG) ITALY
P.IVA 03570320717

Tel/Fax 0881 232232
E-mail: info@lionetwork.it

Privacy e Cookies
Seguici online: