Il 2 giugno 2015 anche in Italia entreranno in vigore i nuovi adempimenti previsti dalla normativa europea sui cookie.
Per questo negli ultimi mesi Iubenda, il generatore online di privacy policy che consigliamo ai nostri clienti, ha lavorato senza tregua con le associazioni di categoria ed il Garante Privacy per definire nel dettaglio le modalità di applicazione di questa nuova normativa.
Vediamo insieme le conseguenze della cookie law e come ridurne al minimo gli impatti grazie alle soluzioni di iubenda.
Nel leggere tenete sempre in considerazione che quanto segue può contenere delle semplificazioni ed è sempre consigliabile consultare un consulente legale che possa assistervi in prima persona. A tal scopo iubenda stessa – su richiesta – può mettere a disposizione dei professionisti qualificati per garantire assistenza diretta.
Per quanto riguarda il contenuto della nuova normativa europea sui cookie rimandiamo ad un nostro articolo precedente.
Di seguito una panoramica dettagliata sulla cookie policy e le sue conseguenze in Italia redatta da Iubenda.
La cookie law in breve
Storia
La cookie law è una nuova normativa di derivazione europea che l’Italia ha recepito e che entrerà in vigore il 2 giugno prossimo. A giugno 2014 il Garante Privacy ha pubblicato delle linee guida iniziali che tuttavia mancavano di indicazioni operative. Subito dopo è stato avviato un tavolo inter-associativo promosso da Fedoweb, iab, Netcomm ed UPA – le associazioni di categoria di riferimento nel mondo online – che ha chiesto la collaborazione di iubenda come partner tecnico.
Il risultato di questo tavolo, che ha interagito con il Garante stesso, è una serie di linee guida che vi illustriamo in seguito e che chiariscono tutti i dubbi relativi alla cookie law.
Gli adempimenti
In breve, con l’entrata in vigore della cookie law, dal 2 giugno non sarà più possibile installare cookie prima di:
Aver predisposto e mostrato all’utente un banner informativo
Aver predisposto e mostrato all’utente una cookie policy
Aver richiesto il consenso agli utenti
Esistono alcune eccezioni e ve le spieghiamo di seguito insieme a tutti i dettagli.
La cookie law in dettaglio
Per rispettare la cookie law, è necessario che i siti che installano cookie – anche tramite strumenti terzi – mostrino un banner alla prima visita dell’utente, predispongano una cookie policy e permettano all’utente di fornire il consenso secondo le indicazioni fornite dalla legge.
Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.
Informativa breve
L’informativa breve viene fornita tramite un banner che deve illustrare le finalità di installazione dei cookie di cui il sito fa uso. Il banner deve essere sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente.
Fra gli esempi su cui si è lavorato con il Garante ci sono sia una versione al centro della pagina che una soluzione con una striscia in alto al sito. La nostra soluzione utilizza la seconda delle due opzioni ed è sufficientemente grande da considerare accettabile il consenso tramite scrolling, che si approfondirà di seguito.
Cookie policy
La cookie policy non deve necessariamente prevedere una lista di tutti i cookie – nome per nome – installati dal sito, ma deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.
La buona notizia è che se avete configurato correttamente una privacy policy con iubenda, non è necessaria alcuna configurazione successiva se non l’attivazione della cookie policy sulla privacy policy del vostro sito.
Qualora il titolare del sito installi e gestisca direttamente dei cookie non esenti dall’obbligo di consenso (come i cookie di profilazione), è necessario che all’interno della cookie policy sia possibile esercitare tale consenso.
Consenso
Il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione (incluso lo scrolling) o qualora l’utente visualizzi la cookie policy.
All’interno della cookie policy l’utente può negare il consenso all’installazione dei cookie, ma per farlo deve visitare i siti dei singoli servizi utilizzati dal sito e fare riferimento alle policy degli stessi ed alle istruzioni da questi fornite per prevenire il tracciamento. L’unica eccezione è quella menzionata nel paragrafo sulla cookie policy in riferimento ai cookie non esenti gestiti direttamente dal titolare.
Blocco dei cookie prima del consenso
Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti che verranno illustrate in seguito. Nella pratica, questo significa che ad esempio i codici che richiamano dei banner o anche semplicemente i codici che gestiscono la live chat non possono essere eseguiti prima di aver ottenuto il consenso (lo ricordiamo, ottenibile anche con il semplice scrolling).
Questo adattamento sarà purtroppo impegnativo per molti siti e richiede modifiche al codice del sito stesso. Il Garante è stato su questo punto molto chiaro ed è necessario adeguarsi se si vuole rispettare la legge.
Dal nostro lato stiamo sviluppando gli strumenti perché anche questa parte della cookie law – la più spinosa – sia facile da implementare per chiunque possieda un sito web.
Cookie esenti dall’obbligo di consenso
Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare:
I cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing ecc.
I cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik
[ancora in fase di discussione] I cookie statistici di terze parti (es. Google Analytics), qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo. Su come configurare il codice di Google Analytics a questo fine, esiste una guida sul blog di iubenda che potete consultare.
Il piano di implementazione
Per allinearsi alle nuove disposizioni abbiamo progettato un piano di implementazione in due fasi:
1. Da subito
È consigliabile implementare immediatamente sul proprio sito un sistema per raccogliere i consensi sui cookie per arrivare al 2 giugno – data in cui entrano in vigore gli aspetti penalizzanti della legge – con già la grossa parte della base utenti con la preferenza sui cookie impostata sul Sì. Prima del 2 giugno non è infatti obbligatorio predisporre il blocco dei codici non esenti dall’obbligo di consenso, dunque se il vostro sito inizia da subito a raccogliere preferenze, tutti gli utenti che avranno visitato il sito prima di questa data avranno la preferenza impostata sul Sì e potranno ricevere l’installazione di cookie senza limitazioni.
Da subito vanno predisposti:
Il banner con l’informativa breve
La cookie policy
Il sistema di consenso tramite proseguimento della navigazione
Quanto sopra è già incluso nel kit per la cookie law fornito da iubenda.
Visita il sito di iubenda per scaricare le linee guide ufficiali redatte da iubenda e dalle associazioni di categoria, con l’approvazione del Garante.