Cookie Law: cos’è e come adeguarsi per un sito a norma di legge

Dal 2014 tutti i siti che utilizzano cookies sono obbligati a richiedere il consenso informato dell’utente.

Negli ultimi anni, la sensibilità generale verso la tutela della privacy è aumentata in maniera direttamente proporzionale alla possibilità di raccogliere dati sugli utenti tramite il web. Nel 2018 il caso Cambridge Analytica, dal nome della società inglese che ha fatto uso di informazioni provenienti da Facebook a fini elettorali, ha senz’altro contribuito a una maggior contezza dell’utenza in rete sul problema.

La successiva applicazione del GDPR, il regolamento europeo per la protezione dei dati, ha rafforzato la legislazione in materia. Vi è, comunque, una normativa preesistente che non è scomparsa con l’approvazione del GDPR, anzi, coesiste con esso e consolida la tutela dei dati personali dell’utente. Già dal 2002, infatti, la direttiva UE E-Privacy, più comunemente conosciuta come Cookie Law, poi modificata da un’ulteriore direttiva datata 2009, regolamenta a livello comunitario il trattamento dei dati nelle comunicazioni elettroniche.

L’applicazione della direttiva in Italia ha portato alla nascita del Codice in materia di protezione dei dati personali (d.l. 196/2003). Successivamente, nel 2014, il Garante della Privacy ha decretato l’obbligo di esplicitare l’eventuale uso dei cookies all’interno dei siti e a richiederne il consenso informato.

 

Ascolta la puntata del nostro podcast “Space Diner”:

 

Tipologie di cookie

È importante per chi ha un sito web distinguere le diverse tipologie di cookie ai fini dell’applicazione delle corrette informative. 

Il Garante della Privacy ha individuato tre gruppi principali:

Cookie tecnici

Sono necessari al funzionamento del sito, facilitano l’accesso e la navigazione all’utente e non necessitano del consenso dell’utente. Un esempio di cookie tecnico può essere il salvataggio di alcune impostazioni come la lingua, i dati personali dei form da compilare, le credenziali di login.

Cookie di profilazione

Servono al gestore del sito per raccogliere informazioni sugli utenti che visitano le pagine. Queste informazioni vengono usate non solo per attività pubblicitarie, ma anche per offrire migliori contenuti ed esperienze agli utenti.

Cookie di terze parti

Non sono stati inseriti dal gestore del sito e i dati vengono visti da un soggetto terzo. Questa situazione può verificarsi quando un sito contiene banner pubblicitari di altri portali.

Una cosa importante da specificare è che nessun dato viene raccolto, ad eccezione di quelli registrati dai cookie esenti, prima che l’utente fornisca il suo consenso esplicito alla privacy.

 

Informativa breve e informativa estesa

Per rispettare la Cookie Law e le successive integrazioni a livello nazionale e comunitario, i siti che utilizzano cookie devono tenere conto di tre parametri: 

1. Mostrare un banner all’utente, 
2. Predisporre una cookie policy,
3. Chiedere all’utente il consenso per l’utilizzo dei dati secondo le indicazioni fornite dalla legge.

Ogni sito è quindi obbligato a rendere esplicita la raccolta di dati e le sue finalità, ma come fare? Lo strumento da adottare è quello dell’informativa. 

Ci sono due diversi tipi di informative: quella breve e quella estesa.

#1 Informativa breve

L’informativa breve è contenuta nel banner mostrato all’utente e deve spiegare l’uso che l’azienda farà dei dati raccolti tramite i cookie.

Il banner deve essere abbastanza evidente da essere visto dall’utente. Questo effetto si ottiene lavorando sulle dimensioni, sul font (che deve essere più vistoso rispetto a quello del sito e, magari, anche diverso) e sul colore dello sfondo, che deve contrastare con il sito e con il colore del font.

Per i cookie tecnici non è necessario inserire nel sito l’informativa breve, ma deve essere comunque disponibile l’informativa estesa.

Ecco un esempio di informativa breve, presente nel sito di LocalJob:

#2 L’informativa estesa

L’informativa estesa è un documento a sé stante o una sezione della privacy policy a cui l’utente può accedere dal banner di cui si è parlato sopra, tramite link, e da qualsiasi altra pagina del sito. 

In questa sezione si elencano dettagliatamente tutti gli scopi per i quali l’azienda sta raccogliendo dati. Questo è anche il luogo adatto per indicare eventuali terze parti che avranno accesso ai dati.

Ecco un esempio di informativa estesa, presente nel sito di LocalJob:

 

Il futuro della Cookie Law e la compatibilità con il GDPR

La Cookie Law agisce in via complementare al GDPR: non è pertanto vero, come sostenuto da alcuni, che la seconda abbia sostituito la prima. Non a caso, è in via di implementazione e successiva attuazione un regolamento che sostituirà e abrogherà la vecchia direttiva E-Privacy, rafforzando l’efficacia vincolante della norma in tutti gli stati membri, Italia inclusa.

Dato il similare ambito di applicazione, il nuovo regolamento E-Privacy era stato originariamente programmato per il 2018 così come il GDPR, tuttavia l’UE ha preferito posporre l’iter legislativo con decorrenza prevista per il 2021. Molti stati europei, comunque, sono già intervenuti modificando la legislazione interna tramite linee guida e direttive che impongono, in sintesi, la formulazione esplicita di un consenso consapevole da parte dell’utente all’utilizzo dei cookie.

In Italia non si è ancora provveduto a tali variazioni, ma è prevedibile che ciò possa accadere in tempi brevi dato che le adozioni attuate negli stati membri UE hanno trovato parere favorevole dell’EDPB, il comitato europeo per la protezione dei dati. Non a caso, il 4 Maggio 2020 sono state divulgate dallo stesso ente alcune linee guida relative all’acquisizione del consenso tramite i cookie, anticipatorie di ciò che sarà, con ogni probabilità, parte del contenuto del regolamento E-Privacy.

Le linee guida

• I banner debbano avere dimensioni più grandi rispetto a quelle attuali, con funzionalità diverse
• Rispetto all’uso dei cookies, la navigazione completa sarà consentita solo in seguito a un’azione positiva di scelta, tramite la quale esercitare liberamente la volontà di essere tracciati dai cookie o meno: è prevedibile, in tal senso, che in futuro debbano essere predisposte impostazioni specifiche per i diversi cookie che memorizzano il consenso dell’utente.
• Non è valido il consenso prestato tramite i cosiddetti cookie walls, testi di considerevole lunghezza che prevedono, in molti casi, la necessità di prestare obbligatoriamente il consenso per la visita a un sito: deve essere sempre consentita la libera scelta di più opzioni.
• In ossequio all’azione di scelta, chiara e positiva, non sarà più possibile acconsentire all’uso dei cookie tramite lo scrolling della pagina.

 

Abbiamo visto cos’è la Cookie Law, come vengono suddivisi i cookie e le due diverse tipologie di informative: tutte informazioni utili per risolvere alcune criticità del tuo sito internet aziendale. È tutto parte di una corretta strategia online: sicuro di seguire la strada giusta?