Cookie e privacy: nuova normativa a partire dal 2 Giugno 2015
Altra data importante per i gestori di siti web, è quella del 2 Giugno 2015, a partire da questa data infatti il Garante della Privacy impone di regolarizzarsi in materia di cookie e privacy. Bisognerà quindi richiedere un consenso espresso agli utenti senza il quale i cookie non potranno essere attivati, ma cosa sono questi famosi cookie?
Cosa sono i cookie?
I cookie sono informazioni immesse sul proprio browser quando viene visitato un sito web, ogni cookie può contenere diversi dati come il server di provenienza, identificativi numerici, ecc. e possono rimanere nel sistema per tutta la durata della permanenza nel sito web o per periodi più lunghi. Il Garante della Privacy ha differenziato questi cookie in due categorie, cookie tecnici e cookie di profilazione.
I cookie tecnici
I cookie tecnici servono a migliorare l’esperienza dell’utente durante la navigazione del sito web, memorizzando, per esempio, il carrello degli acquisti, la lingua impostata per la navigazione o i dati di accesso al sito. Nella categoria dei cookie tecnici rientrano anche i cookie analytics, che sono utilizzati per analizzare le statistiche di accesso al sito web (ad esempio l’utilizzo di Google Analytics).
I cookie tecnici servono al regolare funzionamento del sito web e di norma vengono installati direttamente dal gestore del sito, per questo motivo basterà segnalare all’utente l’utilizzo di questi cookie con un’informativa e non c’è bisogno di alcun consenso da parte dell’utente per essere utilizzati.
I cookie di profilazione
I cookie di profilazione, che possono anche essere installati da “terze parti”, servono a raccogliere dati dell’utente per poterne creare un profilo personale e possono essere utilizzati per mandare messaggi pubblicitari mirati, in linea con le preferenze del navigatore.
L’utilizzo dei cookie di profilazione, in quanto essi sono molto più invasivi per quanto riguarda la privacy dell’utente, devono prevedere degli accorgimenti, ossia bisogna informare l’utente preventivamente sull’uso degli stessi e solamente dopo aver espresso il proprio consenso i cookie di profilazione possono essere installati.
L’uso dei cookie di profilazione, quando non sono di “terze parti”, impone al titolare del trattamento dei dati personali la notifica al Garante della Privacy che deve essere effettuata prima che inizi il trattamento dei dati. La notifica va trasmessa in via telematica ed ha un costo di circa € 150,00 per le spese di segreteria.
Il video del Garante della Privacy che spiega cosa sono i cookie, altre informazioni posso essere trovate sul sito ufficiale del garante.
Cosa bisogna fare per essere in regola con cookie e privacy?
Innanzitutto per essere in regola con la direttiva bisognerà informare l’utente preventivamente tramite un banner (può essere implementato tramite popup, barra di stato o un lightbox) contenente un’informativa breve , presente in tutte le pagine del sito web, e il collegamento all’informativa estesa.
Non c’è l’obbligo di ottenere un clic di accettazione ma basta proseguire la navigazione nel sito cliccando un qualsiasi altro elemento, va precisato però che nel caso si utilizzino cookie di profilazione essi non possono essere attivati fino a quando l’utente non ha dato il consenso.
Per realizzare il banner contenente l’informativa breve può essere di aiuto il plugin Cookie Notice o Cookie Law Info utile nel caso di siti web sviluppati con WordPress.
Una volta realizzato il banner contenente l’informativa breve bisognerà creare una pagina con l’informativa estesa (Cookie Policy): in essa andranno inseriti e descritti tutti i cookie utilizzati dal sito web, siano essi tecnici che di profilazione e, per questi ultimi, fornire informazioni sulla disabilitazione attraverso il browser e, nel caso essi siano di “terze parti”, fornire il link alle pagine web contenti le informative per la disabilitazione degli stessi.
Le Cookie Policy, così come la Privacy Policy dovranno essere linkabili in tutte le pagine del sito web per cui possono essere inserite direttamente nel footer.
Per quanto riguarda la Privacy Policy, nel caso nel sito web siano presenti moduli che raccolgono dati dell’utente, come ad esempio il modulo contatti, è necessario informare l’utente in merito alla privacy e ottenere il consenso, prima di poter inviare i dati, che può essere ottenuto attraverso un checkbox.
La Cookie Policy e Privacy Policy sono diverse per ogni sito web per cui non vale la pena copiare l’informativa da altri siti poiché non sarebbe pertinente con il nostro, per avere un informativa corretta e redatta da un team esperto di avvocati può venirci incontro Iubenda che ci aiuta a generare una Privacy Policy personalizzata per il nostro sito web in base agli elementi in esso contenuti e la relativa Cookie Policy.
Scadenza e sanzioni
Per adeguare i siti web alla direttiva cookie e privacy e mettersi quindi in regola ci sarà tempo fino al 2 Giugno 2015, in caso di mancata regolarizzazione scatteranno le seguenti sanzioni comunicate dal Garante della Privacy ossia:
Informativa omessa o non idonea: è prevista una sanzione da 6.000€ a 36.000€
Installazione di cookie senza il consenso da parte degli utenti: sanzione da 10.000€ a 120.000€
Omessa o incompleta notificazione al Garante: sanzione da 20.000€ a 120.000€
Spero che sia stato tutto abbastanza chiaro, il mio consiglio è, data l’elevata importanza anche in fatto di sanzioni, quello di non prendere la cosa alla leggera.
6 Comments
Davide says:
2 maggio 2015 at 14:07
Io ho letto in diversi blog che se il sito usa soltanto cookies tecnici per la navigazione oppure di terze parti (tipo likebox di facebook) ma non raccogliesse cookies di profilazione bastava un link (tipo nel footer) con le informative.
Risulta anche a voi?
Mirko Pazzelli says:
2 maggio 2015 at 16:30
Purtroppo la questione è ancora poco chiara e ogni giorno emergono nuovi punti di vista, comunque nel caso il sito utilizzasse solamente cookie tecnici non è obbligatorio inserire il banner ma basta solamente il link all’informativa cookie e privacy che, come già detto, deve essere presente in tutte le pagine del sito web, quindi bene metterla nel footer.
Tecnologo says:
6 giugno 2015 at 11:24
Grazie per l’articolo e il video.
Personalmente ho ancora qualche dubbio a proposito della notifica al sito del garante e il relativo pagamento delle spese di amministrazione.
Sul sito del garante riporta quanto segue “I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all’obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.”
A leggerla così non fa alcuna distinzione se i cookies di profilazione sono di terze parti o del sito stesso, andrebbero comunque notificati al garante, pagando le relative spese.
E poi un’altra domanda è sufficiente fare un’unica segnalazione per tutti i siti dello stesso proprietario (quindi pagando una sola volta) o è necessario fare una segnalazione e un pagamento per ognuno dei siti che utilizzano cookies di profilazione?
Ho fatto la stessa domanda all’URP del sito del garante spero possano rispondere al più presto.
Mirko Pazzelli says:
6 giugno 2015 at 11:57
Purtroppo questa normativa sui cookie, oltre ad essere una legge insignificante è ancora poco chiara, proprio ieri il garante della privacy ha rilasciato dei chiarimenti che puoi trovare qui http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 anche se poi più che chiarimenti mettono ancora più dubbi sull’interpretazione. Forse l’unica risposta certa è quello della segnalazione per i proprietari di più siti, da quello che è scritto nella nota è possibile fare un’unica segnalazione. Vedremo cosa succederà nei prossimi giorni, per il momento non dovrebbero aver intenzione di procedere con le multe anche perchè con un legge così poco chiara sarebbero tutte contestabili.
Riccardo says:
9 giugno 2015 at 9:30
Ciao dovrei adeguarmi alla legge sui cookie.scadeva il 3 , cosa posso fare, cosa rischio???
Mirko Pazzelli says:
9 giugno 2015 at 10:35
Ciao Riccardo, innanzitutto dovresti controllare se il tuo sito installa dei cookie e se si, che tipo di cookie installa. Se utilizzi solamente cookie tecnici basta mettere l’informativa estesa su tutte le tue pagine del sito senza banner, se invece hai anche cookie di profilazione e/o di terze parti oltre all’informativa estesa il sito deve presentare anche il banner con informativa breve, raccogliere il consenso degli utenti all’utilizzo dei cookie e bloccare l’installazione dei cookie finchè non ho ricevuto il consenso dell’utente. Inoltre se utilizzi dei cookie di profilazione propri dovresti fare la notifica al garante pagando i diritti di segreteria (150€). I rischi sono le sanzioni indicate nell’articolo, anche se il garante, in questo primo periodo, ha comunicato che non inizieranno subito a fare le multe ma cercheranno di far applicare la normativa a tutti, quindi prima di procedere con le multe ci sarà un avvertimento. Spero di esserti stato di aiuto!