Dal 2014 tutti i siti che utilizzano cookies sono obbligati a richiedere il consenso informato dell’utente. Se hai un sito, è importante che tu conosca bene la normativa per evitare sanzioni.
Negli ultimi anni la sensibilità generale verso la tutela della privacy è aumentata in maniera direttamente proporzionale alla possibilità di raccogliere dati sugli utenti tramite il web. Nel 2018 il caso Cambridge Analytica, dal nome della società inglese che ha fatto uso di informazioni provenienti da Facebook a fini elettorali, ha senz’altro contribuito a una maggior contezza dell’utenza in rete sul problema. La successiva applicazione del GDPR, il regolamento europeo per la protezione dei dati, ha rafforzato la legislazione in materia.
Va detto, comunque, che esiste una normativa preesistente che non è scomparsa con l’approvazione del GDPR: anzi, coesiste con esso e consolida la tutela dei dati personali dell’utente. Già dal 2002, infatti, la direttiva UE ePrivacy (più comunemente conosciuta come Cookie Law, poi modificata da un’ulteriore direttiva datata 2009) regolamenta a livello comunitario il trattamento dei dati nelle comunicazioni elettroniche. Essa sarà sostituita, nel 2021, dall’entrata in vigore del regolamento E-Privacy, che comporterò un nuovo, corposo aggiornamento della legislazione.
L’applicazione della direttiva in Italia ha portato alla nascita del Codice in materia di protezione dei dati personali (d.l. 196/2003). Successivamente, nel 2014, il Garante della Privacy ha decretato l’obbligo di esplicitare l’eventuale uso dei cookies all’interno dei siti e a richiederne il consenso informato. Vediamo come e perché.
Ascolta la puntata del nostro podcast “Space Diner”:
È importante, per chi ha un sito, distinguere le diverse tipologie di cookie ai fini dell’applicazione delle corrette informative. Il Garante della Privacy ha individuato tre gruppi principali:
Una cosa importante da specificare è che nessun dato viene raccolto, ad eccezione di quelli registrati dai cookie esenti, prima che l’utente fornisca il suo consenso esplicito alla privacy.
Per rispettare la Cookie Law e le successive integrazioni a livello nazionale e comunitario, infatti, i siti che utilizzano cookie devono tenere conto di tre parametri: mostrare un banner all’utente, predisporre una cookie policy e chiedere all’utente il consenso per l’utilizzo dei dati secondo le indicazioni fornite dalla legge.
Ogni sito è quindi obbligato a rendere esplicita la raccolta di dati e le sue finalità, ma come fare? Lo strumento da adottare è quello dell’informativa. Ci sono due diversi tipi di informative: quella breve e quella estesa.
L’informativa breve è contenuta nel banner mostrato all’utente e deve spiegare l’uso che l’azienda farà dei dati raccolti tramite i cookie.
Il banner deve essere abbastanza evidente da essere visto dall’utente. Questo effetto si ottiene lavorando sulle dimensioni, sul font (che deve essere più evidente rispetto a quello del sito e, magari, anche diverso) e sul colore dello sfondo che deve contrastare con il sito e con il colore del font.
Per i cookie tecnici non è necessario inserire nel sito l’informativa breve, ma deve essere comunque disponibile l’informativa estesa.
Ecco un esempio di informativa breve, presente nel sito di LocalJob:
L’informativa estesa è un documento a sé stante o una sezione della privacy policy a cui l’utente può accedere dal banner di cui si è parlato sopra, tramite link, e da qualsiasi altra pagina del sito. In questa sezione si elencano dettagliatamente tutti gli scopi per i quali l’azienda sta raccogliendo dati. Questo è anche il luogo adatto per indicare eventuali terze parti che avranno accesso ai dati.
Ecco un esempio di informativa estesa, presente nel sito di LocalJob:
Come già precisato sopra, la Cookie Law agisce in via complementare al GDPR: non è pertanto vero, come sostenuto da alcuni, che la seconda abbia sostituito la prima. Non a caso, è in via di implementazione e successiva attuazione un regolamento che sostituirà e abrogherà la vecchia direttiva ePrivacy, rafforzando l’efficacia vincolante della norma in tutti gli stati membri, Italia inclusa.
Dato il similare ambito di applicazione, il nuovo regolamento ePrivacy era stato originariamente programmato per il 2018 così come il GDPR, tuttavia l’UE ha preferito posporre l’iter legislativo con decorrenza prevista per il 2021. Molti stati europei, comunque, sono già intervenuti modificando la legislazione interna tramite linee guida e direttive che impongono, in sintesi, la formulazione esplicita di un consenso consapevole da parte dell’utente all’utilizzo dei cookie.
In Italia non si è ancora provveduto a tali variazioni, ma è prevedibile che ciò possa accadere in tempi brevi dato che le adozioni attuate negli stati membri UE hanno trovato parere favorevole dell’EDPB, il comitato europeo per la protezione dei dati. Non a caso, il 4 Maggio 2020 sono state divulgate dallo stesso ente alcune linee guida relative all’acquisizione del consenso tramite i cookie, anticipatorie di ciò che sarà, con ogni probabilità, parte del contenuto del regolamento ePrivacy.
Tali linee guide, in particolare, prevedono che:
Abbiamo visto cos’è la Cookie Law, come vengono suddivisi i cookie e le due diverse tipologie di informative: tutte informazioni utili per risolvere alcune criticità del tuo sito internet aziendale. È tutto parte di una corretta strategia online: sicuro di seguire la strada giusta?