Go to the profile of Vincenzo Tiani
Vincenzo Tiani
Team MEP Julia Reda at EU Parliament / Law & Digital Communication @Wheadit / Contributor @chefuturo / @ghostloved_it / LLM student ICT Law @LeuvenU | Bruxelles

Cookie Law, se hai un sito devi sapere cos’è e cosa fare.

E devi sapere che non prevede solo un banner. Potresti infatti essere obbligato a mandare una notifica al Garante.

dal blog di Whead

Quasi 2 anni fa le imprese italiane, piccole, medie e grandi, sono entrate nel panico quando è iniziato a circolare il fantasma della famigerata cookie law (che purtroppo non è la legge dei biscotti, come si potrebbe pensare dal significato della parola cookie). Tutti ne parlavano e nessuno sapeva bene di cosa si trattasse. Quello che si sapeva è che era da fare e in fretta. Quindi tutti di corsa dall’amico del cugino che gestisce il sito per mettere il famoso banner della cookie law.
 Il giorno dopo, alla domanda di un amico imprenditore “ma tu ce l’hai la cookie law?”, sfoggiate un bel sorriso e

“Certo, ho pagato 200€ l’amico di mio cugino che mi fa il sito e ora ho il banner!”

Tutto è bene quel che finisce bene. Oppure no?

Ma facciamo un passo indietro.

Cosa sono i cookie e a cosa servono

I cookie sono dei pezzi di codice (ogni software viene scritto con un codice) che permettono di analizzare come si sta comportando un utente sul nostro sito.
 In particolare servono a:

  • identificare l’utente
  • ricordare le sue preferenze
  • aiutare a non dover compilare ogni volta i campi di inserimento (ad esempio quando un sito già visitato che richiede il login ti suggerisce la mail di accesso perchè l’avevi già inserita)
  • mostrargli banner pubblicitari relativi ai suoi interessi, magari proprio col prodotto che avevano appena guardato (eh sì, non era una coincidenza!)

Se quindi usate il vostro sito per scopi commerciali capirete che i cookie sono fondamentali. Quasi tutti i browser supportano i cookie ma è anche possibile modificarne le impostazioni e fare in modo che queste informazioni non vengano date. La conseguenza è che la profilazione non sarà più possibile.

E la Cookie Law?

La cookie law è frutto della direttiva europea 2002/58/EC (modificata dalla direttiva 2009/136/CE) che all’art 5, comma 3, stabilisce l’obbligo per qualsiasi sito di informare ogni nuovo utente che quel sito fa uso di cookie. Pur se risalente al 2002 la direttiva è entrata in vigore in Italia solo il 2 giugno 2014 per dare tempo sufficiente a tutti di adeguarsi. Ma ovviamente ci si è ridotti all’ultimo e si è fatto tutto in fretta per paura della multa. Quale multa? Ci arriviamo.

Cosa chiede la Cookie law?

La cookie law chiede che l’utente dia un consenso informato, specifico e libero. Per darlo è necessario che sia informato dell’uso dei cookie attraverso la cookie policy.

Il famoso banner e la cookie policy

Il famoso banner serve appunto per informare sulla presenza della cookie policy.

La cookie policy è il documento in cui spiegate per filo e per segno che tipo di cookie sono presenti nel vostro sito. Essi sono infatti di vario tipo e a seconda del tipo di cookie che usate sono diversi gli adempimenti da compiere.

I cookie si possono dividere in:

  • session cookie: che vengono cancellati quando chiudiamo il browser
  • persistent cookie: quando invece restano memorizzati sul device (computer, smartphone, tablet)

e poi in

  • cookie proprietari: sono quelli propri del tuo sito
  • cookie di terze parti: sono quelli usati da altri siti, come potrebbe essere Google Analytics.

e infine in

  • cookie tecnici: servono ad una miglior fruizione del sito, ad esempio suggerendo la mail quando dobbiamo compilare un form o fare login nel sito
  • cookie analitici: permettono la raccolta di informazioni in forma aggregata per elaborare statistiche sull’uso che si fa del sito
  • cookie di profilazione: permettono di studiare i comportamenti dell’utente, cosa compra, cosa stava per comprare, per poi proporgli pubblicità mirata. Se sono di terze parti vedrete questa pubblicità “rincorrervi” in ogni sito che visitate.

Cosa deve essere scritto nel banner

Secondo quanto previsto anche dal Garante della Privacy nel banner bisogna indicare:

  • che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  • che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  • un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  • l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Qui c’è un bel video a cura del Garante della Privacy che riassume cosa sono i cookie e come funzionano.

Adempimenti: quando basta il banner e quando occorre fare la notifica al Garante della Privacy

Riassumendo:

  • Se non si usano cookie di alcun tipo, non bisogna fare alcun adempimento.
  • In tutti gli altri casi va sempre inserito nell’informativa il tipo di cookie che si utilizza.
  • Nel banner va inserito l’avviso che si usano cookie analitici di terze parti e di profilazione (di qualunque tipo).
  • La notifica al Garante è obbligatoria quando si usano cookie di profilazione proprietari e analitici di terze parti se questi questi ultimi incrociano le informazioni con altre in possesso sull’utente facilitandone l’identificazione.
Infografica cookie e privacy — cosa devi fare

Per ottenere il consenso è sufficiente indicare che, proseguendo nella navigazione, si avrà preso nota dell’informativa. E’ bene ricordarsi che l’informativa sulla cookie policy deve essere sempre ben raggiungibile navigando sul sito. Si consiglia quindi di metterla nel footer (nella parte bassa del sito).

Come si notifica al Garante che sto usando cookie di profilazione

Il sito del Garante è chiarissimo e fornisce informazioni dettagliate su come procedere alla notifica. Per procedere basta andare QUI. La notifica può avvenire solo online. Non sono previsti altri modi.

I diritti di segreteria sono di 150€ che vanno pagati ad ogni notifica, comprese le modifiche e la cessazione. Quindi è bene porre molta attenzione quando si procede per non dover pagare nuovamente per una successiva e immediata modifica. Sappiate che per procedere dovete essere in possesso di firma digitale.

La cosa migliore è procedere seguendo le istruzioni del Garante stesso.
 QUI potete trovare il fac simile della notifica per avere un’idea delle informazioni richieste.

A quanto ammontano le sanzioni? (Artt. 161, 162 e 163 Codice Privacy)

  • In casi di omessa o inidonea informativa è prevista una sanzione da 6000 a 36000€.
  • In caso di omesso avviso e consenso dell’utente (attraverso il banner) è prevista una sanzione da 10.000 a 120.000€
  • In caso di omessa o incompleta notificazione al Garante è prevista una sanzione da 20.000 a 120.000€.

Per maggiori informazioni fate sempre riferimento al sito del Garante della Privacy che è la fonte più accreditata in quanto responsabile dell’implementazione della Cookie law in italia.

Ma io non ho l’avvocato, come faccio a gestire tutte queste cose?

Per la fortuna di molti c’è una azienda italiana, Iubenda, che si occupa di creare la cookie policy per voi ad una modica cifra annuale. Ma attenti perchè dovete comunque accertarvi di non aver bisogno di notificare al Garante. In caso contrario dovrete procedere se non volete rincorrere nelle pesanti sanzioni.

http://www.whead.it/
Se hai ancora dei dubbi sul tuo sito, anche di materia legale, non esitare a contattarci!

Vincenzo Tiani
 Law & Digital Communication
#BorntothinkDigital

Originally published at www.whead.it on February 9, 2016.