Cookie Law

Il 2 giugno 2015 anche in Italia entrano in vigore i nuovi adempimenti previsti dalla normativa europea sui cookie. A giugno 2014 il Garante Privacy aveva già pubblicato delle linee guida iniziali che tuttavia mancavano di indicazioni operative. Subito dopo è stato avviato un tavolo inter-associativo promosso da Fedoweb, iab, Netcomm ed UPA – le associazioni di categoria di riferimento nel mondo online – al fine di colmare questa lacuna. Il risultato del tavolo, che ha interagito con il Garante stesso, è stato il rilascio di un kit contenente tutte le linee guida per implementare la cookie law anche sul piano tecnico. Vediamo dunque insieme le conseguenze della cookie law, e come adeguarsi alle nuove disposizioni secondo quanto previsto dal kit approvato dal Garante. Nel leggere tenete sempre in considerazione che quanto segue può contenere delle semplificazioni, ed è sempre consigliabile consultare un consulente legale che possa assistervi in prima persona.

La cookie law in breve

In breve, con l’entrata in vigore della cookie law, dal 2 giugno 2015 non sarà più possibile installare cookie prima di:

  1. Aver predisposto e mostrato all’utente un banner informativo
  2. Aver predisposto e mostrato all’utente una cookie policy
  3. Aver richiesto il consenso agli utenti

Esistono tuttavia alcune eccezioni, e ve le spieghiamo di seguito insieme a tutti i dettagli.

La cookie law in dettaglio

Per rispettare la cookie law, è necessario che i siti che installano cookie – anche tramite strumenti terzi – mostrino un banner alla prima visita dell’utente, predispongano una cookie policy e permettano all’utente di fornire il consenso secondo le indicazioni fornite dalla legge. Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.

Informativa breve

L’informativa breve viene fornita tramite un banner che deve illustrare le finalità di installazione dei cookie di cui il sito fa uso. Il banner deve essere sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente. Fra gli esempi su cui si è lavorato con il Garante ci sono sia una versione al centro della pagina che una soluzione con una striscia in alto al sito.

Cookie policy

La cookie policy non deve necessariamente prevedere una lista di tutti i cookie – nome per nome – installati dal sito. Deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso. Qualora il titolare del sito installi e gestisca direttamente dei cookie non esenti dall’obbligo di consenso (come i cookie di profilazione), è necessario che all’interno della cookie policy sia possibile esercitare tale consenso.

Consenso

Il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione (incluso lo scrolling) o qualora l’utente visualizzi la cookie policy. All’interno della cookie policy l’utente può negare il consenso all’installazione dei cookie, ma per farlo deve visitare i siti dei singoli servizi utilizzati dal sito e fare riferimento alle policy degli stessi ed alle istruzioni da questi fornite per prevenire il tracciamento. L’unica eccezione è quella menzionata nel paragrafo sulla cookie policy in riferimento ai cookie non esenti gestiti direttamente dal titolare.

Blocco dei cookie prima del consenso

Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti che verranno illustrate in seguito. Nella pratica, questo significa che ad esempio i codici che richiamano dei banner o anche semplicemente i codici che gestiscono la live chat non possono essere eseguiti prima di aver ottenuto il consenso (lo ricordiamo, ottenibile anche con il semplice scrolling). Questo adattamento sarà purtroppo impegnativo per molti siti e richiede modifiche al codice del sito stesso. Il Garante è stato su questo punto molto chiaro ed è necessario adeguarsi se si vuole rispettare la legge.

Cookie esenti dall’obbligo di consenso

Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare:

  • I cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing ecc.
  • I cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik
  • C’è stata poi un’apertura del Garante – sebbene non ufficiale – a considerare come esenti dall’obbligo di consenso anche i cookie statistici di terze parti (es. Google Analytics), ma solo qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo.

Come adeguarsi

iubenda – azienda specializzata nello sviluppo di soluzioni software per il rispetto degli obblighi di legge legati alla presenza online e mobile, anche sotto il profilo della GDPR – grazie alla sua partecipazione come partner tecnico al tavolo inter-associativo con il Garante, ha sviluppato un kit pronto all’uso per adeguare il proprio sito alle disposizioni della cookie law in poco tempo e senza investimenti onerosi. La soluzione di iubenda è quindi in grado di gestire il problema della raccolta del consenso sui cookie, del salvataggio delle preferenze, la visualizzazione del banner e la generazione della cookie policy – riducendo al minimo l’impatto negativo della cookie law sul proprio business online. In particolare, da subito è già possibile predisporre con iubenda:

  • Il banner con l’informativa breve
  • La cookie policy
  • Il sistema di consenso tramite proseguimento della navigazione

Tutti gli utenti che avranno visitato il sito prima del 2 Giugno 2015 in questo modo avranno già la preferenza impostata sul sì e potranno ricevere l’installazione di cookie senza limitazioni. Raccogliere quanti più consensi possibile da oggi fino al 2 Giugno 2015 è quindi la chiave per ridurre drasticamente l’impatto della cookie law. Dal 2 giugno 2015 in poi sarà poi necessario bloccare i codici che eseguono cookie quando non è ancora stato acquisito il consenso, in linea con quanto richiesto dal Garante. iubenda è quindi al lavoro per rilasciare al più presto un altro set di strumenti funzionali ad adattarsi in modo semplice anche a questo aspetto della normativa. Se volete avere più informazioni su come adeguarvi alla cookie law e sugli strumenti che iubenda mette a disposizione, potete consultare la guida alla cookie law ed al kit dedicato, disponibile sul sito di iubenda. Qui sotto una tabella riassuntiva, messa a disposizione sul sito del Garante alla voce “Cookie e privacy: istruzioni per l’uso“, che mostra quando è necessario segnalare i cookie nell’informativa, inserire il banner e chiedere il consenso ai visitatori o notificare al Garante:

Cookie Law

Se vuoi generare automaticamente una Cookie Policy per il tuo sito web, ti basta visitate iubenda tramite questo link: avrai diritto ad un 10% di sconto!