Navigando ultimamente in rete avrete sicuramente notato un banner che avverte dell’uso di cookie nei vari siti e fornisce un link ad una pagina con maggiori informazioni. Questo tipo di avviso, a partire dal 2 giugno 2015, lo dovreste trovare in ogni sito che visitate.

È l’effetto della nuova normativa in materia di cookie voluta dal Garante della Privacy, che punta a proteggere i dati degli utenti e impone regole più precise per chi li utilizza, soprattutto a fini di profilazione pubblicitaria dei visitatori. Ma cosa sono davvero i cookie e quali implicazioni hanno sulla privacy di chi naviga? E cosa impone la normativa per i webmaster amatoriali?

Non tutti i cookie sono uguali

I cookie sono piccoli file di testo che un sito Internet invia al browser di chi naviga per poterlo identificare alla visita successiva. Servono vari scopi e in moltissimi casi non vengono usati per fini pubblicitari. I cookie tecnici, ad esempio, permettono di mantenere aperta la sessione su un sito web come Facebook o Twitter oppure memorizzano le preferenze dell’utente. Sono indispensabili al funzionamento del Web moderno, senza i quali non potrebbero esistere i servizi online che diamo per scontati. Altri cookie, detti di profilazione, servono invece a registrare preferenze, gusti e comportamenti digitali dell’utente al fine di fornire contenuti pubblicitari su misura. Sono questi che, più di tutti, attentano alla privacy di chi naviga , perché la creazione di un profilo avviene in maniera invisibile e spesso senza che l’utente ne abbia consapevolezza. Ci sono poi i cosiddetti cookie di terze parti (tecnici o di profilazione), che vengono forniti ai visitatori di un sito web ma vengono erogati da servizi diversi. Possono servire per la registrazione delle visite (come ad esempio quelli del servizio Google Analytics) oppure essere utilizzati dai siti social per i bottoni di condivisione.

Avvisi e multe

La nuova normativa del Garante nasce per proteggere la privacy del navigatore dall’utilizzo indiscriminato dei cookie, in particolare quelli di profilazione, e per favorire il consenso informato sull’uso di questi strumenti digitali. La direttiva recepisce una normativa europea, ma la rende ancora più stringente. E se per chi naviga il risultato evidente è solo un banner un po’ invadente, per chi gestisce un sito web (anche amatoriale) le implicazioni sono meno banali.
Ogni webmaster, anche chi gestisce un piccolo blog, deve approntare prima di tutto una cosiddetta informativa estesa, ovvero una pagina che spieghi nel dettaglio quali cookie vengono utilizzati dal sito. In caso si tratti di cookie tecnici può andare bene anche una postilla alla pagina che ospita la privacy policy del sito. Se un sito utilizza cookie di profilazione, il titolare dovrà fornire un’informativa breve con un collegamento esplicito all’informativa estesa. L’obbligo vige anche se i cookie di profilazione vengono erogati da terze parti: in quel caso il titolare del sito dovrà inserire nella propria informativa i link alle informative estese delle terze parti. Se un sito ad esempio utilizza AdSense, dovrà rimandare all’informativa estesa di Google.

I titolari dei siti che erogano cookie di profilazione, infine, dovranno darne comunicazione all’ufficio del Garante e versare contestualmente una somma pari a 150€ per spese di segreteria. La mancata ottemperanza e l’invio di cookie di profilazione a utenti che non abbiano fornito il consenso può comportare una sanzione che va dai 10.000 ai 120.000 euro. Chi invece non fornirà un’informativa sulla privacy e sui cookie rischia una multa da 6.000 a 36.000 euro.

Gli effetti

Il provvedimento del Garante ha il grande merito di riportare al centro della discussione il problema della privacy del navigatore, messa costantemente a repentaglio da una profilazione silenziosa e dilagante. Allo stesso tempo, però, i riferimenti a multe salate e la natura interpretabile di alcuni passaggi della normativa hanno favorito più di un effetto collaterale.

Da una parte c’è chi fa terrorismo psicologico per convincere i piccoli webmaster a ricorrere a servizi a pagamento per l’adeguamento alla normativa, dall’altra chi vorrebbe che, per una volta, si potesse rispettare la legge con certezza, senza il timore (tutto italiano) di non essere mai del tutto in regola. E c’è già una petizione: si chiama #Bloccailcookie e punta a riportare alla normalità un corpus di obblighi complicato situazione che rischia di ricadere sulle spalle di piccole aziende, blogger e titolari di siti web amatoriali privi delle conoscenze tecniche per adeguarsi all’attuale normativa. “Per essere in regola con la Cookie Law occorrono competenze informatiche o disponibilità economiche che non sono alla portata di tutti”, è l’appello dei promotori della petizione. “Chiedi al Garante per la protezione dei dati personali di intervenire per aiutarci a rispettare la legge”. Il rischio, secondo i critici, è che l’obbligo si riveli controproducente. L’implementazione di un banner, spiega sul proprio blog Gianluca Diegoli, uno dei promotori della petizione, rischia solo di infastidire l’utente, ovvero il soggetto da proteggere, che finirà per dare il proprio consenso senza informarsi in alcun modo, cliccando sul banner al solo fine di eliminarlo rapidamente e proseguire nella consultazione del sito senza ulteriori interruzioni.

Proteggersi dai cookie invadenti

Il Garante per la privacy, sulle proprie pagine, fornisce infine alcuni brevi consigli per chiunque navighi. Tutti i browser moderni, ad esempio, possono essere impostati per rifiutare a prescindere i cookie di terze parti, eliminando alla radice il problema dei cookie di profilazione erogati da servizi esterni al sito che si sta visitando. Le versioni più recenti dei software di navigazione prevedono inoltre un’opzione Do Not Track, per evitare il tracciamento “cross-site”, che però non viene rispettata sempre.

I cookie, infine, si possono sempre cancellare manualmente, su qualsiasi dispositivo, dalle impostazione del browser. Ma nessuno si lamenti poi se Facebook, Twitter o Gmail ci chiedono la password ad ogni collegamento. Gli esperti del settore concordano sul fatto che la sensibilizzazione dell’utente sarebbe dovuta essere la priorità del Garante. L’attuale soluzione, invece, sembra voler risolvere il problema con un approccio che riversa le responsabilità, senza alcuna distinzione, su tutti i webmaster. E se c’è chi sul proprio blog si ribella e ha deciso di non provvedere ad alcuna modifica in segno di protesta, per la maggior parte dei webmaster la soluzione rimane solo una: adeguarsi come meglio si può, in attesa di ulteriori chiarimenti e indicazioni da parte del Garante della Privacy.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014

(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014) • Registro dei provvedimenti n. 229 dell’8 maggio 2014

4. L’informativa con modalità semplificate e l’acquisizione del consenso online.

Ai fini della semplificazione dell’informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi. Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.

4.1. Il banner contenente informativa breve e richiesta di consenso.

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando contenente le seguenti indicazioni:

• a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
• b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
• c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
• d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
• e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).[…]

Per ulteriori approfondimento rimandiamo al “Garante per la protezione dei dati personali” »