Martino Scanferlato Web designer logo mobile

WEB...ZONE

Blog di notizie dal mondo di Internet

25

08/2015

EU Cookie Law - Guida agli adempimenti

Categorie: varie, html

EU Cookie Law - Guida agli adempimenti

Il giorno 2 giugno 2015 é scaduto il termine per adeguare i siti internet alle disposizioni in materia di cookie indicate dal Garante per la Privacy nel provvedimento del 08 maggio 2014, recepimento di una direttiva europea del 2009.

A distanza di quasi tre mesi, vediamo di ricapitolare meglio quanto previsto dalla normativa in questione.

Cosa sono i cookie?
Sono dei piccoli file di testo che vengono inviati dal sito al browser dell’utente e qui vengono memorizzati.

Quanti tipi di cookie ci sono?
Ai fini della normativa i cookie possono essere Tecnici, Analitici o di Profilazione. In oltre possono essere di prima parte o di terza parte.

I cookie tecnici sono file che servono al programmatore del sito per implementare alcuni funzioni al suo interno.
É un cookie tecnico quello che memorizza i dati di accesso in una sezione riservata, cosí come quello che memorizza il carrello durante un acquisto on line etc.

I cookie analitici (anche detti Analytics) servono per collezionare informazioni sul comportamento degli utenti nel sito. Con essi é possibile sapere le categorie di persone che si sono collegate al sito, con che rete, con che sistema operativo, con che browser, etc.

Se a questi dati aggiungiamo anche la memorizzazione dell’indirizzo IP (indirizzo univoco per ogni utente collegato) capiamo giá come possano essere pericolosi dal punto di vista della privacy.

I cookie di profilazione servono a fare quello che il loro nome lascia intendere: profilano, cioé memorizzano le informazioni sull’utente e sul suo uso di internet al fine di creare un profilo quanto piú preciso possibile su gusti, preferenze, desideri, sogni, realtá, e tutto quello che dal ns. comune uso di internet si puó ricavare.

Tale profilo sará poi utilizzato (direttamente o da terzi a cui verrá venduto) per veicolare all’utente solo (o quasi) la pubblicitá di suo interesse.


Non serve essere dei tecnici per capire che la minaccia alla privacy arriva dagli ultimi due tipi.


Cookie di prima parte
Si definiscono cosí quei cookie che sono stati creati direttamente dallo sviluppatore del sito stesso con finalitá proprie.
Un esempio sono i cookie tecnici di sessione o i cookie per l’accesso ad una area riservata. Questi cookie possono essere sia tecnici che analitici che di profilazione.


Cookie di terza parte
Si definiscono cosí quei cookie che sono inviati dal sito ma che sono creati e gestiti dal altri soggetti, estranei al creatore/possessore del sito.
Anche in questo caso possono essere sia tecnici che analitici che di profilazione.


Adempimenti

Gli adempimenti previsti sono di tre tipi:


- Banner di richiesta di consenso;
- Informativa estesa;
- Notifica al garante.


A seconda del tipo di cookie e della sua provenienza (prima o terza parte) uno, alcuni, tutti questi adempimenti vanno implementati.

L’infografica che apre l’articolo - creata e pubblicata dal Garante per la Privacy – é un valido riassunto sugli adempimenti previsti - .

É possibile reperirne la versione fullpage al seguente indirizzo:Infografica del Garante della Privacy.


Nello specifico gli adempimenti sono:


Nessun cookie
Nessun adempimento. Non bisogna fare niente.

Ma siamo assolutamente sicuri che il ns. sito non invia nessun cookie?

Fate cosí: utilizzando Chrome, andate sulla pagina del Vs. sito, premete F12 sulla tastiera, selezionate ‘Resources’ nella finestra che Vi é comparsa, selezionate Cookies sulla sx (eventualmente selezionate le sottocartelle che vi compaiono): sul lato destro avrete l’elenco dei cookies installati dal Vs. sito.

Non c’é niente, neanche nelle sottocartelle? Bene non dovete fare niente.

C’é qualcosa? Non rientrate piú in questa casistica, ma, a seconda del tipo, dovrete mettere in pratica gli adempimenti relativi previsti dalla normativa.


Non stupitevi se avete trovato qualcosa: alcuni servizi molto utilizzati (come Google Maps, una eventuale Google custom search, un collegamento ad un video su Youtube, alcuni tipi di collegamento alle pagine dei Social Network (Facebook, Twitter, Google++, Instagram, etc) ) inviano cookie (anche profilanti) di terze parti.
Il gestore sarebbe erroneamente portato a credere che non avendo pubblicitá sul sito non sia necessario fare niente, ma come possiamo vedere non é cosí.


Tecnici di Prima e di Terza Parte / Analitici di Prima Parte
Siete fortunati, é l’adempimento meno oneroso.

Non serve nessun banner all’apertura del sito perché non serve il preventivo consenso all’installazione.

É peró necessario formulare una informativa estesa che dovrá essere linkata in tutte le pagine del sito, nella quale dovrete indicare i dati previsti dall’informativa sulla privacy (anche linkandoli da un’altra pagina giá presente) nonché il tipo di cookie che il sito trasmette e una breve spiegazione con la ragione per cui non é richiesto il consenso all’installazione.


Analitici di Terza Parte
In questo caso le cose si complicano un po’.

Di per se non servirebbe altro che la creazione dell’informativa, come per la tipologia precedente (sebbene integrata con l’elenco dei cookie trasmessi e i link alla gestione dei cookie delle parti terze). Questo peró solo se i dati sono stati anonimizzati (cioé é stato tolto il riferimento all’IP dell’utente) e se esistono specifici accordi fra prima e terza parte affinché i dati cosí ricavati non vengano incrociati con altri dati in possesso alla terza parte che possano far giungere alla profilazione dell’utente stesso.

In caso contrario (mancata anonimizzazione o mancato accordo sull’utilizzo dei dati) questi cookie sono ritenuti a tutti gli effetti cookie di profilazione soggetti a tutti e tre gli adempimenti sopra indicati.


Profilazione di prima parte
Sono i cookie per cui é nata la normativa per cui non sorprende che siano soggetti a tutti e tre gli adempimenti sopra indicati.


Profilazione di terza parte
Il gestore/creatore del sito non puó avere il controllo sull’uso, la gestione, l’implementazione dei cookie profilanti inviati da terze parti. La legge ne tiene conto e sgrava il gestore da un adempimento nel caso in cui ci si trovi in questa situazione: in pratica basterá avere il banner per il consenso e l’informativa estesa; non é prevista la notifica al Garante che dovrá comunque essere fatta, ma dalla terza parte interessata.


Sanzioni
Per chi non si adegua alla legge le sanzioni sono particolarmente onerose:

In caso di omessa informativa o informativa inidonea:
sanzione amministrativa da seimila a trentaseimila euro;

In caso di installazione di cookie senza preventivo consenso (mancanza del banner o banner che non rispetta la legge):
sanzione amministrativa da diecimila a centoventimila euro;

In caso di omessa o incompleta notificazione al Garante:
sanzione amministrativa da ventimila a centoventimila euro.

Che ne dite, conviene adeguarsi?


Alcuni link utili

Per finire indico dei link a cui potrete fare riferimento per avere maggiori delucidazioni:

Sito del Garante della Privacy, sezione cookie”>Garante della Privacy / cookie;

AboutCookies.org – sito dedicato alla gestione dei cookie (in inglese);

Your Online Choices – guida online alla gestione dei cookie.

Torna al blog
Torna all'inizio