Cookie Law: cosa dice la legge, come adeguarsi e quali siti lo devono fare

Nella giornata del 3 giugno 2015 entrerà in vigore in Italia la tanto discussa cookie lawconformemente a quanto stabilito nel provvedimento del Garante per la protezione dei dati personali dell'8 maggio 2014, recante "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie".

Per iniziare è bene precisare che l'iniziativa del nostro Garante della Privacy non nasce dal nulla e non è altro che un atto dovuto di adeguamento della normativa Italiana a quanto disposto in sede europea: la cookie law, infatti, è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l'intento di arginare la diffusione dei cosiddetticookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.

Ma andiamo per gradi e vediamo di partire dalle basi e di spiegare, anche se su queste pagine non dovrebbe essercene bisogno, cosa sono i cookie e come funzionano.

Cosa sono i cookie

Un cookie è un piccolo file di testo che viene creato all'interno del computer di chi visualizza un sito web allo scopo di registrarvi alcune informazioni relative alla visita nonché di creare un sistema per riconoscere l'utente anche in momenti successivi; tale cookie, infatti, potrà non solo essere creato ma anche letto e modificato dallo stesso sito web che lo ha generato.

In pratica possiamo dire che i cookie sono una sorta di "memoria" attraverso la quale un sito web riesce a riconoscere uno specifico utente e ad associargli delle informazioni di varia natura e per differenti finalità.

E' bene precisare che un sito Web può impostare un cookie sul browser dell'utente solo ed esclusivamente se le preferenze configurate per quest'ultimo lo consentono e che il browser può consentire a un determinato sito Web di accedere solo ed esclusivamente ai cookie da esso impostati e non a quelli impostati da altri siti Web in quanto, come detto, il cookie è un sistema di collegamento tra uno specifico sito web ed uno specifico utente.

I cookie sono cattivi?

No. Assolutamente no.

I cookie sono uno strumento tecnico essenziale per il buono e corretto funzionamento di quasi tutti i siti web esistenti. E' bene essere molto chiari in merito perché, a mio avviso, si sta creando una grande confusione sull'argomento.

Per rendercene conto è sufficiente un piccolo esperimento: proviamo a bloccare - attraverso le impostazioni del browser - tutti i cookie, dopodiché proviamo a navigare e ad utilizzare i nostri servizi on-line preferiti. Basterebbero pochi minuti per renderci conto che, senza i cookie, non ci sarebbe possibile accedere a Facebook o alla nostra webmail preferita, utilizzare il nostro home-banking ne fare moltissime altre cose.

La capacità dei cookie di identificare un utente e di associargli delle informazioni, infatti, è stata concepita per finalità tecniche molto importanti e non certo per poter tracciare un profilo della personalità e delle abitudini dell'utente di Internet: quest'ultima finalità, in un certo senso, può e deve essere vista come l'eccezione alla regola, essendo i cookie uno strumento nato per tutt'altro scopo.

Diverse tipologie di cookie

Fortunatamente è lo stesso Garante della Privacy a rendersi conto che "non tutti i cookie sono cattivi". Nel citato provvedimento dell'8 maggio 2014, infatti, il Garante identifica due macro categorie di cookie:

• Cookie tecnici
  Si tratta di cookie normalmente trasmessi in prima persona dal gestore del sito per finalità strettamente connesse al buon e corretto funzionamento del sito stesso. Questa famiglia di cookie comprende:
  • Cookie di navigazione (o di sessione)
    Questi cookie sono necessari per garantire la normale fruizione del sito web e desi suoi servizi permettendo, ad esempio, di autenticarsi ad aree riservate o di effettuare un acquisto.
  • Cookie funzionali
    Questi cookie, pur non essendo essenziali, migliorano la funzionalità del sito in quanto consentono all'utente di esprimere delle preferenze persistenti circa alcuni aspetti della navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all'interno di un e-commerce).
  • Cookie di Analytics (o statistici)
    Sono considerati "cookie tecnici" laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.
• Cookie di profilazione
  Riprendendo la definizione data dal garante della Privacy i cookie di profilazione "sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete".

Mentre per i cookie tecnici NON è richiesto alcun consenso preventivo da parte dell'utente (il sito web, cioè, può gestirli tranquillamente senza dover adempiere ad alcuna formalità), per i cookie di profilazione la normativa europea e italiana prevede che "l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso".

Cookie di prime e terze parti

Un'altra importante distinzione riguarda il soggetto attivo, cioè colui il quale procede alla materiale trasmissione del cookie sul computer dell'utente. In questo senso si distingue tra i cosiddetti cookie di prime parti e di terze parti:

• i cookie di "prime parti" sono, in poche parole, quelli trasmessi direttamene dal gestore del sito web visitato;
• i cookie di "terze parti" sono, invece, quelli trasmessi da società terze presenti all'interno del sito visitato mediante appositi codici, i quali sono stati inclusi al fine di integrare nel sito funzionalità ulteriori.

Come è facile immaginare, i cookie di terze parti sono quelli che suscitano le maggiori preoccupazioni in quanto, oltre ad essere incredibilmente diffusi, sono totalmente estranei alla gestione ed al controllo del titolare del sito che, spesso e volentieri, ne ignora le finalità se non addirittura l'esistenza.

Per fare un esempio, si pensi che qualunque sito abbia integrato un sistema di statistiche come quello di Google Analytics o un plugin sociale come quello di Facebook (si pensi al classico pulsante "Mi piace") trasmette, spesso senza nemmeno saperlo, dei cookie di terze parti ai propri utenti fungendo da tramite mediante le proprie pagine web.

La distinzione descritta tra cookie di prime e terze parti assume, come vedremo in seguito, particolare rilievo anche all'interno della cookie law.

Cosa prevede la normativa italiana

Il Codice in materia di protezione dei dati personali (anche detto Codice della Privacy) prevede, all'articolo 122 comma 1, che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato (...)".

In altre parole possiamo dire che l'utilizzo dei cookie all'interno di un sito web deve esserepreventivamente accettato dall'utente, il quale deve esprimere il proprio consenso informato (tale consenso, come già detto, NON è necessario qualora un sito utilizzi esclusivamente "cookie tecnici").

Particolarmente importante, nel contesto della normativa sui cookie, è il concetto di "informativa": abbiamo detto infatti che prima di poter prestare validamente il proprio consenso, l'utente deve essere adeguatamente informato circa l'utilizzo che il sito fa dei cookie. Ciò, sempre secondo le disposizioni del garante, deve avvenire in due fasi distinte.

L'informativa breve

Il garante ha stabilito che nel momento in cui un utente accede al sito web (non è importante che ciò accada in home-page o in una pagina interna), gli venga subito mostrato un breve avviso circa il fatto che il sito utilizza cookie. Da questa prima affermazione possiamo già capire che l'avviso deve essere implementato all'interno di tutte le pagine pubblicamente accessibili del sito.

Tale avviso può essere mostrato utilizzando un "banner di idonee dimensioni" in modo tale da rendere una "percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando". In altre parole il banner deve essere visibile e non confondersi con gli altri contenuti del sito.

Tale banner deve contenere obbligatoriamente:

• un avviso circa l'utilizzo dei cookie di profilazione, precisando, qualora ciò accada, che tali cookie possono essere trasmessi anche da "terze parti";
• un link alla pagina contenente l'informativa estesa (la cosiddetta cookie policy);
• l'indicazione circa la facoltatività del cosenso;
• l'indicazione che la prosecuzione della navigazione o l'interazione con la pagina (come l'esecuzione di un attività di scrolling dei contenuti o il click su un elemento) comporta la prestazione del consenso all'uso dei cookie.

Tale banner può essere nascosto all'utente solo dopo che questi abbia espressamente manifestato il proprio consenso all'utilizzo dei cookie (ad esempio è possibile integrare, all'interno del banner stesso, un bottone di conferma che, una volta premuto, comporta la scomparsa dell'informativa breve).

E' consentito registrare tale consenso all'interno di un cookie tecnico in modo tale da non mostrare nuovamete l'informativa agli utenti che hanno già espresso la loro intenzione di acconsentire all'utilizzo dei cookie.

Come già detto, il consenso dell'utente può essere considerato valido anche se prestato mediante un comportamento concludente come, ad esempio, la prosecuzione della navogazione su altre pagine del sito oppure mediante l'interazione con la stessa pagina (secondo un orientamento diffuso il semplice scrolling della pagina equivale ad un comportamento concludente in tal senso).

L'informativa estesa

In merito all'informativa estesa, il Garante della Privacy sottolinea come questa debba contenere tutti gli elementi previsti dall'art. 13 del Codice. Tale informativa, quindi, deve esplicitare:

• le finalità e le modalità del trattamento cui sono destinati i dati;
• la natura obbligatoria o facoltativa del conferimento dei dati;
• le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
• i diritti dell'interessato;
• gli estremi identificativi del titolare del trattamento.

Oltre a queste informazioni, l'informativa estesa deve provvedere a fornire all'utente unadescrizione dettagliata ed analitica delle caratteristiche e delle finalità dei cookie trasmessi dal sito.

Qualora il sito trasmetta cookie di "terze parti" è necessario altresì che l'editore provveda ad integrare l'informativa aggiungendo i link alle informative delle società terze che materialmente trasmettono il cookie.

Sempre all'interno dell'informativa estesa deve essere indicata la possibilità per l'utente di esprimere le proprie preferenze in merito ai cookie ed alla loro disattivazione: ciò può essere fatto anche mediante la semplice indicazione delle procedure necessarie al blocco totale e/o selettivo dei cookie mediante le impostazioni del browser di navigazione. In tal senso può ritenersi sufficiente anche l'inserimento dei link alle relative pagine d'istruzioni fornite dai produttori dei software.

E' molto importante ricordare, infine, che questa informativa sia raggiungibile facilmente da parte degli utenti: 1) mediante un link all'interno dell'informativa breve; 2) mediante un link presente in calce ad ogni pagina del sito web.

Il grosso problema: il blocco dei cookie prima del consenso

Il grosso problema della normativa consiste nel fatto che non è permesso trasmettere un cookie (non tecnico) all'utente sino a quando questi non abbia prestato il proprio consenso: il altre parole, il consenso deve essere necessariamente preventivo all'invio dei cookie.

Come abbiamo detto, il consenso dell'utente può essere considerato dato anche a seguito di un gesto d'interazione con la pagina (ad esempio mediante uno scrolling dei contenuti), ma sino a quando l'utente non compie nessun atto di accettazione espressa (click su eventuale bottone presente all'interno dell'informativa breve) o prosegue nella navigazione o interazione col sito, i cookie non tecnici NON possono essere trasmessi.

A questo punto sorge un dubbio non chiarito all'interno della normativa: se il mio sito trasmette cookie di profilazione di terze parti sono obbligato a bloccarli in attesa del consenso dell'utente?

Se così fosse, per fare un esempio, ogni pagina che ospita dei banner di Google AdSense dovrebbe bloccarli (quindi non mostrarli) sino a quando non si registra l'accettazione dell'utente nei modi indicati in precedenza.

Questo, purtroppo, è l'aspetto più complesso ed oscuro della normativa in quanto l'adeguamento tecnico in tal senso, se tale orientamento verrà confermato, sarà molto complesso ed effettivamente di difficile implementazione per chi non possiede le giuste conoscenze tecniche. Il rischio, di fatto, è quello di colpire molto duramente la piccolissima editoria che potrebbe ritrovarsi costretta a rinunciare ad una buona fetta dei propri guadagni (molti blog "vivono di AdSense") non potendo mostrare i banner alla prima visita dell'utente!

Se tale orientamento fosse confermato, inoltre, tutti i siti web sarebbero chiamati a ripensare a buona parte dei propri contenuti escludendo o limitando contenuti di terze parti come video, mappe e plugin sociali.

Notificazione al garante circa l'utilizzo di cookie di profilazione

Un ulteriore adempimento previsto dalla normativa riguarda i soggetti che utilizzano cookie di profilazione. Tali soggetti, infatti, sono chiamati ad effettuare una notifica al Garante come disposto dall'art. 37 del Codice.

E' bene precisare che sono esentati da tale adempimento tutti i siti che non facciano uso in maniera diretta di cookie per la profilazione dell'utenza: sono esclusi dall'obbligo di notifica, quindi, i siti che trasmettono cookie di profilazione di "terze parti" o che utilizzano direttamente cookie tecnici per i quali, ricordiamo nuovamente, non è richiesto alcun adempimento.

Conseguenze del mancato adeguamento agli obblighi previsti dalla "cookie law"

Il mancato e/o non corretto adeguamento alle disposizioni sancite dalla nuova normativa sui cookie può avere delle conseguenze davvero pesantissime. Il provvedimento dell'8 maggio 2014, infatti, prevede sanzioni amministrative salatissime da un minimo di 6.000 fino ad un massimo di 36.000 Euro per chi non è in regola.

Ancora peggiori le conseguenze dell'installazione di cookie di profilazione senza il consenso dell'interessato: in questo caso, infatti, la sanzione va da un minimo di 10.000 ad un massimo di 120.000 Euro. La mancata notificazione al Garante, infine, prevede una sanzione da 20.000 a 120.000 Euro.

La "cookie law" in pratica

Sino ad ora abbiamo parlato della cookie law da un punto di vista prettamente normativo: abbiamo visto cosa prescrive e quali sono le sanzioni in caso di inadempimenti. Vediamo ora, di seguito, alcuni aspetti "più pratici" che, mi auguro, saranno utili a molti gestori di siti web al fine di risolvere dubbi o perplessità sull'argomento e per procedere - tecnicamente - all'adeguamento delle pagine web alla normativa.

Chi (di fatto) deve adeguarsi alla "cookie law"

Abbiamo detto che, in teoria, non tutti i siti web sono tenuti ad adempiere alle prescrizioni della cookie law: se un sito non fa uso di cookie o utilizza esclusivamente quelli rientranti nella categoria dei "cookie tecnici" non è tenuto a fare alcunché.

Nella pratica, tuttavia, data l'enorme diffusione della abitudine di includere "strumenti esterni" all'interno dei siti web (come i già citati strumenti di statistica o i plugin del social network) l'adeguamento alla cookie law può considerarsi, di fatto, un obbligo generalizzato per la quasi totalità dei siti web esistenti.

Vediamo, di seguito, un elenco (ovviamente non esaustivo) delle situazioni in cui è sicuramente necessario adempiere agli obblighi previsti dalla cookie law:

• il nostro sito incorpora annunci pubblicitari di Google Adsense, Criteo o di altri servizi di advertising;
• il nostro sito incorpora sistemi di misurazione del traffico di terze parti come, ad esempio Google Analytics;
• il nostro sito incorpora uno o più plugin sociali come, ad esempio, il pulsante "Mi piace" di Facebook o "Follow" di Twitter;
• il nostro sito incorpora un sistema di terze parti per la gestione di commenti ai contenuti come, ad esempio, Facebook Comments o Disqus;
• il nostro sito incorpora video di YouTube, Vimeo o altri content provider analoghi;
• il nostro sito incorpora una mappa di Google Maps o altri servizi analoghi.

Se rientrate all'interno di una delle casistiche esposte siete tenuti ad adeguare il vostro sito alla cookie law.

Come risulta evidente, l'impatto della cookie law in Italia sarà davvero enorme in quanto ogni sito web, che non voglia rischiare di incorrere in sanzioni pesantissime, dovrà di fatto sottostare agli adempimenti previsti dalla normativa.

Sul mio sito utilizzo solo Google Analytics...

Una delle domande più frequenti sui forum di settore è proprio questa: un sito sul quale è stato installato solo il codice di Google Analytics è tenuto ad adeguarsi alla normativa? La risposta è "sì" in quanto trattasi di cookie di terze parti.

Secondo un orientamento diffuso, tuttavia, è sufficiente procedere all'anonimizzazione degli IP per bypassare il problema. Mediante questo espediente, sembrerebbe che i cookie di Analytics possano essere equiparati ai cookie tecnici e pertanto sarebbero esclusi dalla normativa (per maggiori informazioni vi invito a leggere questo post all'interno del nostro blog).

Da un punto di vista pratico, l'anonimizzazione avviene modificando il codice di tracciamento all'interno del vostro sito aggiungendo una linea di codice. Questa "lineqa di codice" cambia a seconda della versione di Analytics che state utilizzando:

Universal Analytics:

ga('set', 'anonymizeIp', true);

da aggiungere prima di:

ga('send', 'pageview');

Classic Analytics:

_gaq.push(['_gat._anonymizeIp']);

da inserire prima di:

_gaq.push (['_trackPageview']);

Implementare il banner con l'informativa breve da un punto di vista tecnico

Fortunatamente in Rete esistono diversi script già pronti all'uso per adeguare il sito allacookie law mediante l'integrazione del banner con l'informativa breve. Di seguito alcuni script gratuiti che possiamo utilizzare sul nostro sito:

• Google Cookie Choices
• Cookie Script
• Cookie Consent
• Cookie Cuttr
• Permission Bar

Esempi di informativa breve

Vediamo di seguito alcuni esempi di informativa breve che possiamo utilizzare (con i dovuti adattamenti del caso) all'interno del nostro sito web:

Esempio n.1
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy (link). Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all'uso dei cookie.

Esempio n.2
Usando questo sito si accetta l'utilizzo dei cookie anche di terze parti. Per maggiori informazioni vi invitiamo a leggere l'informativa (link).

Esempio n.3
I cookie, anche di terze parti, ci permettono di migliorare la navigazione e la fornitura di annunci pubblicitari. Proseguendo nella navigazione accetti l'utilizzo dei cookie. Per maggiori informazioni invitiamo a leggere l'informativa estesa (link)

Bloccare i banner di AdSense prima del consenso

Come detto sembrerebbe che anche i cookie di terze parti debbano essere bloccati prima del consenso. In tal senso abbiamo sviluppato uno script che consente, anche agli editori meno esperti, di implementare, con una certa facilità, un sistema per il blocco dei banner di AdSense (e dei relativi cookie di profilazione) prima che l'utente abbia prestato il proprio consenso mediante un'interazione con la pagina (un click o uno scroll dei contenuti).

Script gratuito per il blocco di AdSense in attesa del consenso all'uso dei cookie

Consentire (con un click) la cancellazione di tutti i cookie inviati direttamente

Con un pizzico di javascript è possibile fornire agli utenti una semplice funzione che consente, con un semplice click, di rimuovere dal proprio computer tutti i cookie trasmessi direttamente dal sito web. Come abbiamo detto, infatti, il sito può non solo creare il cookie ma anche leggerlo e modificarlo (e pertanto anche cancellarlo). Di seguito lo script (Javascript) che potete includere all'interno della vostra informativa estesa (possibilmente tra i tag

e):

Una volta inserito questo codice nella nostra pagina potremo inserire un link di questo tipo:

Cancella i cookie del nostro sito

Considerazioni finali

Seppur motivata dal lodevole intento di tutelare la privacy degli utenti della Rete, la cookie law, soprattutto nella versione italiana, rischia di essere un vero e proprio terremoto per l'ecosistema dei siti web nostrani: se l'avviso appare giustificato nel caso in cui un sito adotti in prima persona dei cookie di tracciamento, forse eccessivamente oneroso appare l'obbligo di informativa ed il blocco preventivo per i cookie di terze parti spesso ospitati inconsapevolmente sui siti di migliaia di piccoli e piccolissimi editori o di semplici blogger.

Per questa particolare categoria, infatti, non c'è solo il rischio di una forte riduzione dei guadagni (pensiamo al blocco dei banner sino all'accettazione dei cookie) ma anche quello, forse più grave, di dover (o voler) chiudere bottega: nei prossimi mesi, infatti, potrebbero essere non pochi i gestori di siti web che, ritenendo troppo rischioso, troppo complesso e/o economicamente non più conveniente la permanenza on-line, decideranno di interrompere le pubblicazioni.

In tal senso è auspicabile che il Garante intervenga attutendo l'impatto della normativa o che i colossi della Rete (Google in primis) adattino i propri strumenti alla normativa italiana, liberando gli editori dal rischio di incorrere in sanzioni per attività non a loro direttamente riconducibili.

I chiarimenti del Garante

In data 5 Giugno 2015, sul sito del garante della privacy sono apparsi i tanto attesi chiarimenti che, di fatto, confermano la visione già descritta in questo articolo (scritto alcuni giorni prima) in particolare viene confermato il blocco preventivo di tutti i cookie non tecnici (compresi quelli di terze parti) sino a quando l'utente non esprime il suo consenso.

Per maggiori informazioni ti invitiamo a leggere questo articolo:

farsa in scena: cookie law

Unica nota positiva: il Garante ha dichiarato che in una prima fase non si procederà a multe in quanto è essenziale che i siti web capiscano, prima di tutto, quali sono i loro obblighi. Solo in un secondo momento, quindi, partiranno le sanzioni per chi non si è adeguato.