Dal 2 Giugno 2015 è scaduto il termine per adeguarsi alla normativa della privacy relativa alla gestione dei cookie sui siti web. Vediamo nel dettaglio come funziona e cosa è necessario fare realmente per adeguarsi.

E' dell'8 Maggio 2014 il provvedimento del Garante della Privacy che norma l'utilizzo dei cookie sui siti web italiani. Il termine ultimo per l'adeguamento era fissato al 2 Giugno 2015 e, come spesso accade nel nostro Paese, nei giorni a ridosso di tale scadenza il tema diventa improvvisamente attuale e si moltiplicano gli articoli più o meno tecnici e più o meno esatti, che spiegano come aderire alla normativa in modo indolore. Avendo studiato a fondo l'argomento vogliamo fare chiarezza, proporre una soluzione che recepisca la normativa e confrontare le soluzioni tecniche messe in atto da alcuni grandi portali italiani.

Cosa sono e a cosa servono i cookie?

I cookie sono piccoli file di testo che vengono salvati dal browser nel PC del visitatore su indicazione di un sito web visitato; all'interno di essi possono essere salvate informazioni testuali di varia natura (un identificativo univoco personale, il nome del sito web visitato, una scheda prodotto consultata su un sito di e-commerce, un articolo letto su un blog, ecc.) che hanno lo scopo di identificare il navigatore e poter fornire, eventualmente, contenuti specifici durante la sua navigazione.

Qualora i cookie siano salvati esclusivamente per svolgere in modo migliore le funzionalità previste dal sito web (ad esempio mantenere attiva una sessione di un singolo utente autenticatosi con un login) si parla di "cookie tecnici"; qualora invece, all'interno dei cookie vengano salvate informazioni in grado di profilare il visitatore, e quindi mostrare contenuti specifici (anche a fine pubblicitario) in base al comportamento osservato durante la navigazione, si parla di "cookie di profilazione".

Un esempio classico di cookie di profilazione lo sperimentiamo quando visitiamo, ad esempio, un sito web che vende abbigliamento e a distanza di poche ore, navigando su internet su diversi portali generalistici, troviamo esattamente la pubblicità di quel sito di e-commerce sulle pagine che stiamo visitando; questo evento non è casuale, ma avviene grazie a dei cookie installati sul nostro computer che permettono alle società che gestiscono l'advertising sul web (ad esempio Google) di mostrare contenuti pubblicitari più in linea con i nostri gusti e con le nostre abitudini.

E' necessario effettuare, infine, una ultima distinzione tra cookie generati dal sito web che l'utente sta visitando, e cookie generati "da terze parti", ovvero da soggetti terzi, estranei al sito, che forniscono al titolare del sito web alcuni servizi accessori: rientrano tra questi, a titolo di esempio, i cookie generati dalla pubblicità di Google Adsense o quelli generati da Facebook o Twitter all'atto della visualizzazione o dei click sui pulsanti di condivisione.

Il parere del Garante

La distinzione tra "cookie tecnici" e "cookie di profilazione" ha effetti immediati anche relativamente alla disciplina con cui l'utilizzo dei cookie è regolamentata. Rispetto a quanto accaduto in passato su altri fronti, il parere del Garante risulta, su questa tematica, abbastanza chiaro e di semplice comprensione.

In particolare, per quanto concerne il "cookie tecnici" il Garante afferma che "per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee".
E' quindi sufficiente notificare, nella maniera che si ritiene più opportuna, l'utilizzo di cookie di tipo tecnico, informando il navigatore dell'esistenza e dell'utilizzo dei cookie all'interno dell'informativa al trattamento dei dati personali. Tutti i siti web, quindi, che utilizzino i cookie solamente per tracciare l'autenticazione degli utenti o per altre funzioni prettamente tecniche che non permettano la visualizzazione dei contenuti del sito web sulla base delle informazioni raccolte dall'utente, non necessitano adeguamenti di alcun tipo, se non nell'informativa al trattamento dei dati personali.

Per quel che riguarda, invece, i cookie di profilazione, il Garante, recependo la normativa europea, afferma che "l'utente debba essere adeguatamente informato sull'uso degli stessi (i cookie di profilazione) ed esprimere così il proprio valido consenso". Qualora il sito web faccia uso, quindi, di cookie di profilazione, sarà necessario informare l'utente in maniera preventiva (quindi prima di settare i cookie sul computer del visitatore) e, solo dopo aver acquisito il suo consenso si potrà procedere con il loro utilizzo. L'articolo 122 del codice della privacy già sancisce che l'archiviazione dei dati personali di un individuo all'interno di un computer possa essere effettuato solo con adeguata informativa semplificata e con acquisizione del consenso. Inoltre, i cookie di profilazione rientrano nei trattamenti soggetti a notificazione al Garante, in quanto in grado di definire il profilo e la personalità dell'individuo o analizzare scelte ed abitudini di consumo.

I cookie di "terze parti", installati quindi da soggetti differenti rispetto al proprietario del sito web, devono adeguarsi al medesimo trattamento in base alla propria capacità di effettuare profilazione dell'utente o meno; non potendo gestire direttamente l'informativa al trattamento dei dati personali per i cookie generati da soggetti terzi, sarà sufficiente richiamare nella propria informativa il link delle rispettive informative.

Come mettersi in regola?

Seguendo alla lettera la disposizione del Garante, sarà necessario effettuare operazioni differenti in base alla tipologia di cookie installati

  • per i "cookie tecnici" non sarà necessario apportare alcuna modifica al sito web, se non modificare la propria informativa al trattamento dei dati personali;
  • per i "cookie di profilazione" o i cookie di terze parti che installino cookie potenzialmente utilizzati a profilare l'utente (Google, Facebook, Twitter, TradeDoubler, ecc.) sarà necessario, all'apertura dell'home page o di qualsiasi altra pagina del sito web, far apparire un banner o un altro elemento grafico che crei una "percettibile discontinuità" nella fruizione dei contenuti del sito web, all'interno del quale specificare:
    • che il sito web utilizza cookie di profilazione in grado di inviare messaggi pubblicitari personalizzati sulla base delle informazioni raccolte durante la navigazione;
    • che il sito consente anche l'invio di cookie "terze parti" (qualora questo accada);
    • il link all'informativa estesa con possibilità di scelta di quali specifici cookie autorizzare e quali negare;
    • l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
    • la specifica che procedendo alla navigazione si presterà automaticamente il consenso all'uso dei cookie.

Il consenso all'utilizzo dei cookie può essere agevolmente tracciato in un apposito cookie tecnico per evitare di riproporre l'informativa ad ogni accesso al sito web.

Come considerare i cookie di Google Analytics?

Il Garante ha specificato in modo chiaro che i cookie installati da Google Analytics, benchè l'applicazione sia dedicata all'acquisizione di dati in forma aggregata e non permetta di risalire al comportamento del singolo utente, concorrono però all'acquisizione di informazioni sul'utente navigatore; tali informazioni sono in grado di modificare la visualizzazione dei contenuti pubblicitari facenti parte del circuito pubblicitario di Google, e non possono essere ricondotti, quindi, a meri cookie tecnici. Si tratta, quindi, di cookie di profilazione di terze parti, di cui si deve esplicitare l'esistenza al visitatore in un apposito banner presente sin dalla prima pagina di accesso al sito web e nella relativa informativa al trattamento dei dati personali estesa.

Alcune soluzioni adottate sul web

A titolo di esempio, il Garante ha fornito una indicazione di massima di come potrebbe essere realizzato il banner presente sulla pagina di accesso ad un sito web. Tale banner risulta sicuramente molto invasivo ed è superabile con una qualsiasi azione da parte del navigatore sulla pagina sottostante. A nostro avviso tale modalità non si sposa perfettamente con il concetto di "espressione di consenso" da parte dell'utente, ma poichè tale pratica è segnalata come possibile direttamente dal legislatore, non possiamo certamente ostacolarla.

La soluzione attualmente più adottata sul web è quella di inserire un banner di dimensioni minime nella testata del sito web, riportante l'indicazione dell'uso di cookie di terze parti, il link all'informativa estesa ed un pulsante per eliminare definitivamente tale banner. Questa soluzione sembra risultare quella di minor impatto estetico e sembra comunque assolvere egregiamente a tutte le indicazioni contenute nella normativa.

Modalità di integrazione della cookie policyAlcuni siti web (che fanno uso di cookie di profilazione) quali "Corriere della Sera" e "Repubblica" hanno adottato, invece, una soluzione "border-line" che a nostro modo di vedere non rispetta il compito di informare adeguatamente l'utente; a fronte di una visualizzazione di un banner sulla testata, permettono di eliminare tale banner (in modo definitivo senza ripresentarlo nelle pagine seguenti) anche solo semplicemente effettuando lo scrol della pagina con il mouse.

In questo modo rendono praticamente nulla l'informativa che, probabilmente, non verrà letta da nessun utente, aggirando l'ostacolo legislativo in maniera a nostro avviso un po' dubbia.

Ancora peggiore è il caso di Amazon, che nella propria home page (e solo in home page!) presenta a margine del sito una sola scritta riportante il seguente testo: "Amazon utilizza i cookie. Cosa sono i cookie?" non permettendo un consenso esplicito, e ignorando la disposizione secondo cui in ciascuna pagina di accesso al sito "deve immediatamente comparire in primo piano un banner di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti".

Applicazioni sviluppate da 2open

Nella stragrande maggioranza dei casi, le applicazioni da noi sviluppate non prevedono l'utilizzo di cookie di profilazione, bensì solamente cookie tecnici. Tutti i Clienti, però, che utilizzino Google Analytics o gli strumenti di condivisione Facebook, Twitter e Google+, devono adeguarsi secondo quanto sopra riportato, trattandosi in questo caso di cookie di terze parti.

Il nostro staff è a disposizione per permettere a tutti i Clienti di adeguare il proprio sito web alla normativa vigente in termini di privacy.