Dal 3 giugno 2015, i gestori di siti internet comunitari devono attuare le disposizioni della cosiddetta Cookie Law, approvata con decreto legislativo 69/2012 e 70/2012 e recepita, in quanto atto di natura comunitaria, anche in Italia. Le sanzioni, di natura pecuniaria ed amministrativa, previste in caso di mancata ottemperanza a quanto stabilito sono molto salate: da 6.000 a 120.000 € (nei casi più gravi).

Ma, in parole povere, cosa sono i cookies?

Nel linguaggio informatico la parola cookie indica dei piccoli files con cui i siti internet riconoscono gli utenti o memorizzano informazioni relative alla ricerca sul web da questi effettuata, previsti per la raccolta di informazioni, durante la navigazione, per varie e differenti finalità, per esempio per poter visualizzare pubblicità personalizzate in base a percorsi di navigazione.

In Italia la direttiva è stata recepita nel 2012 ma resa obbligatoria solo da pochi giorni, grazie ad una implementazione nel Codice in materia di protezione dei dati personali; adesso il Garante della Privacy si è assunto il compito di vigilare e di definire l’acquisizione del consenso da parte dei siti web, passaggio necessario ed alla cui ottemperanza devono far fede i gestori degli stessi. Fino a qualche tempo fa i cookies venivano usati inconsapevolmente dalla quasi totalità dei navigatori, ma dal 2009 tutto è cambiato: l’Unione Europea, attraverso la direttiva numero 136 (testo completo della direttiva 2009/136/CE), ha imposto l’ottenimento del consenso preventivo dell’interessato nel caso di raccolta di informazioni sensibili attraverso i cookies.

Il 4 giugno 2014 il Garante italiano, al fine di adeguarsi alla normativa comunitaria, ha emanato un provvedimento generale introducendo le modalità per tradurre online la Cookie Law fornendo indicazioni su come raccogliere i consensi in modo da rispettare la legge. La legge indica due tipologie di cookies:

• i cookie di profilazione utilizzati nella raccolta anonima di dati degli utenti, solitamente per fini pubblicitari (da parte di società di marketing e pubblicità come Google Adsense, ad esempio);
• i cookie tecnici o di funzionamento, necessari per la navigazione e la fruizione del sito web.

L’obbligo del consenso esplicito riguarda solo i cookie con finalità di profilazione, come avviene ad esempio nei portali di shopping online o se utilizzi strumenti come Google AdSense o Google Analytics, dal momento che questi raccolgono determinate informazione ritenute “sensibili” e dunque, ai sensi di legge, meritevoli di tutela.
Nel momento in cui si accede ad un sito che fa uso di cookies deve comparire, in primo piano, un banner di idonee dimensioni dove si precisa:

• l’uso di cookie di profilazione per inviare messaggi pubblicitari mirati, se presenti;
• l’uso di cookie di “terze parti”, ossia di cookies che raccolgono dati che verranno utilizzati da un sito diverso da quello che si sta visitando;
• un link con riferimento alla informativa, con indicazioni sull’uso dei cookies inviati dal sito, che precisi la possibilità di negare il consenso alla loro installazione, direttamente o collegandosi ai vari siti, nel caso dei cookie di “terze parti”;
• la precisazione che, proseguendo nella navigazione, si presta il consenso all’uso dei cookies (ad esempio quanto si accede ad un’altra area del sito o selezionando un’immagine o un link).

Come dicevamo, dal 3 giugno 2015 i gestori di siti web  devono obbligatoriamente applicare il provvedimento. Oltre a tale data in caso di:

• omessa informativa o di informativa inidonea è prevista una sanzione amministrativa (art. 161 del Codice) del pagamento di una somma compresa fra i 6.000 e 36.000€.
• installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta la sanzione (art. 162, comma 2-bis, del Codice) del pagamento di una somma da 10.000 a 120.000€.
• omessa o incompleta notificazione al Garante viene applicata una sanzione (art. 163 del Codice) con il pagamento di una somma da 20.000 a 120.000 €.

Domande frequenti

Quali sono i siti soggetti al regolamento della Cookie Law? Vi sono delle esclusioni o delle eccezioni?

Sono soggetti al rispetto della normativa tutti i siti web la cui organizzazione/persona cade sotto la giurisdizione europea (indipendentemente da dove è situato il proprio server) e che utilizzano cookies di terze parti (social widgets come facebook o twitter, analytics, disqus ecc ecc) o che utilizzano propri cookies per tracking, analisi o affiliati senza una diretta accettazione. In buona sostanza, tutti i siti internet devono ottemperare all’obbligo di informativa secondo la nuova legislazione entrata in vigore in Italia.

Sul mio sito utilizzo strumenti per analisi delle visite (p.e. Google Analytics), quindi devo mostrare l’avviso?

Sì! Tutti i servizi esterni devono essere accettati dal visitatore, secondo le indicazioni delle Cookie Law. Ecco una piccola lista, naturalmente non esaustiva dal momento che sul web esistono decine e decine di altri servizi che necessitano di una approvazione da parte dell’utente/visitatore del sito:

• Google Analytics
• Google Adsense
• Google Plus
• Facebook widgets (il semplice bottone mi piace)
• Twitter widgets (il semplice bottone follow)
• Sistema disqus
• Youtube
• Vimeo

Sul mio sito utilizzo i vari pulsanti per la condivisione (Google+, Facebook, Twitter, ecc…), devo prevedere l’avviso?

Certo! Il sito deve prevedere l’informazione e l’accettazione dei cookies esterni secondo quando specificato nella Cookie Law.

Approfondimenti e domande frequenti

Fonte:  Garante

1. Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. "terze parti" vengono, invece, impostati da un sito web diverso da quello che l'utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.

2. A cosa servono i cookie?

I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.

3. Cosa sono i cookie "tecnici"?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall'utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l'identificazione dell'utente nell'ambito della sessione, risultano indispensabili.

4. I cookie analytics sono cookie "tecnici"?

No. Il Garante (cfr. provvedimento dell'8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

5. Cosa sono i cookie "di profilazione"?

Sono i cookie utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell'utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

6. È necessario il consenso dell'utente per l'installazione dei cookie sul suo terminale?

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione".

Per l'installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell'utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

7. In che modo il titolare del sito deve fornire l'informativa semplificata e richiedere il consenso all'uso dei cookie di profilazione?

Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l'informativa va impostata su due livelli.

Nel momento in cui l'utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa "breve", la richiesta di consenso all'uso dei cookie e un link per accedere ad un'informativa più "estesa". In questa pagina, l'utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

8. Come deve essere realizzato il banner?

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l'utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell'utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

9. Quali indicazioni deve contenere il banner?

Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell'utente.

Deve contenere il link all'informativa estesa e l'indicazione che, tramite quel link, è possibile negare il consenso all'installazione di qualunque cookie.

Deve precisare che se l'utente sceglie di proseguire "saltando" il banner, acconsente all'uso dei cookie.

10. In che modo può essere documentata l'acquisizione del consenso effettuata tramite l'uso del banner?

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.

In presenza di tale "documentazione", non è necessario che l'informativa breve sia riproposta alla seconda visita dell'utente sul sito, ferma restando la possibilità per quest'ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all'informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.

11. Il consenso online all'uso dei cookie può essere chiesto solo tramite l'uso del banner?

No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

12. L'obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?

No. In questo caso, il titolare del sito può dare l'informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l'inserimento delle relative indicazioni nella privacy policy indicata nel sito.

13. Cosa deve indicare l'informativa "estesa"?

Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie.

Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l'installazione di cookie tramite il proprio sito.

Deve richiamare, infine, la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.

14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

15. L'uso dei cookie va notificato al Garante?

I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all'obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

16. Quando entrano in vigore le misure prescritte dal Garante con il provvedimento dell'8 maggio 2014?

Il Garante ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola. Tale periodo terminerà il 2 giugno 2015.

---------------------------

Nello specifico, si riporta di seguito la lista dei principali cookies utilizzati sul Sito e relative descrizioni e funzionalità, compresa la durata temporale.