Archivio Tag | "GarantePrivacy"

La nuova Cookie Law per regolare il trattamento dei dati online in Europa

Tags: , , , , , , , ,

La nuova Cookie Law per regolare il trattamento dei dati online in Europa

Pubblicato il 22 ottobre 2015 by redazione

UE_cookielaw

 

Stop alla profilazione incontrollata

Tutte le novità e gli aspetti controversi del nuovo regime giuridico riguardante il trattamento dei dati online dei navigatori inconsapevoli. La nuova legge e l’interpretazione che ne fa il Garante Privacy rappresentano un primo grande passo verso quello che potrebbe essere finalmente il primo provvedimento generale sul tema. Oggi il navigatore della rete deve decidere se acconsentire o meno alla sua profilazione ed essere consapevole se, entrando in un sito qualsiasi, qualcuno proverà a raccogliere i suoi dati, istallando delle microscopiche applicazioni a sua insaputa.

 

Consenti ai cookie e scoprirò tutti i tuoi gusti

Il problema principale è infatti che ogni volta che navighiamo su un sito internet (europeo e non) ci appare subito una finestra pop-up che ci chiede di rilasciare il consenso all’utilizzo dei cookie. Ma cosa sono questi cookie e perché solo ultimamente troviamo questo tipo di richiesta?

Anzitutto i cookie, la loro traduzione letteraria è “biscotto, sono delle piccole stringhe di testo che contengono del testo arbitrario, una data di scadenza e un patter (una serie di domini con cui dialogare)  che permette al sito web che lo ha installato sul nostro computer di identificarci ogni volta che vi ritorniamo. Un data-base residente sul sito web associerà al nostro codice univoco tutte le pagine che abbiamo visitato, per quanto tempo ci siamo soffermati su un certo argomento o prodotto, quali link abbiamo cliccato e qualsiasi altra informazione possa interessare il loro servizio marketing. Se ad esempio abbiamo visitato la pagina delle specifiche tecniche di uno o più prodotti il sito saprà che questa è la caratteristica principale che ci interessa e ogni volta che torneremo ci proporrà prodotti tecnologicamente avanzati. A seconda del tipo, i cookie hanno diversa durata di vita e sono soggetti a normative differenti. Più nello specifico approfondiremo tre macrocategorie di cookie.

In base alla durata:

  • Cookie di sessione;
  • Cookie permanenti.

In base alla funzione:

  • Cookie di profilazione;
  • Cookie tecnici.

In base al dominio:

  • Cookie di prime parti;
  • Cookie di terze parti.

In particolare per cookie di prime parti si intendono quelli gestiti direttamente dal sito internet che si sta visitando in quel momento. In genere sono quelli necessari a raccogliere informazioni statistiche sull’esperienza dell’utente (per esempio durata della visita, numero di click) e quelli relativi alla personalizzazione della navigazione (come form di login, e scelte di visualizzazione grafica) che vengono attivati quando si acconsente al loro uso, solitamente richiesto da un’apposita maschera pop-up.

Per cookie di terze parti si intendono, invece, quelli salvati sul computer dell’utente da soggetti terzi, come i social network e le agenzie di pubblicità. La remarketing di Google Adwords, ad esempio, salva dei cookie che scadono dopo un numero definito di giorni e servono a costruire segmenti di interessi basati sulle pagine visitate dall’utente (così dice…).

Ciò che comunque caratterizza tutti i cookie è la memorizzazione dei dati sulla nostra navigazione. Nel caso dei cookie tecnici però questa caratteristica potrà tornarci utile, come per esempio per il riconoscimento automatico della nostra lingua: quando entriamo nella pagina di ricerca di Google accediamo direttamente alla versione italiana; nel caso invece dei cookie di profilazione, questa memorizzazione potrebbe rappresentare un tracciamento indesiderato dei propri interessi, soprattutto perché svolto per lo più a scopi pubblicitari.

 

no cookies

 

Disciplina Giuridica

In Italia questa tematica è sempre stata regolata dal codice Privacy (d.lgs.196/2003 art.122) che ha però subito, proprio recentemente, alcune modifiche in seguito alla trasposizione italiana (d.lgs69/2012) della direttiva 136/2009/CE detta European Cookie Law.

Cerchiamo quindi di capire meglio come si è evoluta la disciplina del trattamento dei dati online alla luce soprattutto delle importanti novità introdotte dal Garante Privacy.

Il Garante Privacy è l’autorità amministrativa indipendente istituita per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. La sua figura è stata istituita dalla legge n. 675 del 31 dicembre 1996 (cosiddetta legge sulla privacy) in cui ne sono descritti ed elencati anche i compiti e le sanzioni che essa può applicare.

Tra i provvedimenti sul tema ricordiamo in particolare:

– Le Linee guida in materia di trattamento di dati personali per profilazione on line – 19 marzo 2015 (Pubblicato sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015) e consultabili al sito:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3881513
– Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014) e consultabili al sito:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878

La disciplina per i cookie in Italia passa da un regolamento “opt-out“, in cui i cookie venivano liberalizzati senza discriminazioni, a una legislazione di tipo “opt-in” in cui è ora necessario richiedere un consenso espresso per l’attivazione dei cookie a meno che non si tratti di cookie tecnici, essenziali per la prestazione del servizio richiesto (cfr. Art. 2- 5 della Direttiva). Cerchiamo quindi di analizzare l’evoluzione della disciplina.

 

CookieLaw-Article

 

Pre-cookie law

Va premesso anzitutto come sia diverso il panorama italiano da quello europeo e ciò è in gran parte dovuto alla particolare interpretazione che l’Italia ha dato della legge.

In particolare nel nuovo comma 2 dell’art. 122 del Codice della Privacy si prevede che l’utente, per esprimere consenso all’uso dei cookie, possa utilizzare “specifiche configurazioni di programmi informatici o di dispositivi”: è questo un diretto riferimento alle impostazioni dei browser o dei client di posta elettronica che permettono o non permettono di memorizzare i cookie.

Si demanda quindi all’utente, che si presuppone sia sufficientemente competente per effettuare il blocco dei cookie nei varie applicazioni e siti che utilizza, l’opzione di scegliere se permettere o meno il rilascio di cookie di profilazione.

Prima della legge erano diversi gli strumenti a disposizione: pop-up, barre di stato o lightbox, in cui i visitatori potevano, ma non dovevano, essere avvisati dell’uso di cookie.

Post cookie law

Dopo l’emanazione del d.lgs 69/2012 la trasposizione della European Cookie Law rimane però a lungo inattuata.

– Il 6 Maggio 2015, viene allora pubblicato in gazzetta ufficiale il provvedimento del Garante “Linee guida in materia di trattamento di dati personali per profilazione on line” che prevede invece l’obbligo per i siti di mettersi in regola entro il 3 Giugno 2015 con la nuova normativa. Lo stop all’installazione dei cookie ai fini di marketing e profilazione dell’utenza da parte dei gestori dei siti, senza prima averne informato e ottenuto il consenso da parte degli utenti, deve essere applicato dai siti italiani istituzionali e non. L’importanza di questo provvedimento sta anche nell’aver presentato nuove modalità semplificate per informare l’utenza del web sull’uso dei cookie e per aver fornito precise indicazioni per acquisire il consenso al loro uso, nei casi richiesti dal d.lgs 69/2012.

“Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea.

“La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole”. (Antonello Soro, presidente del Garante Privacy)

Il garante, quindi, ha stabilito che quando si accede a una qualunque pagina di un sito web, deve immediatamente comparire un banner o una lightbox, ben visibile, in cui sia indicato chiaramente che (il testo di seguito riportato è preso direttamente da l sito del Garante Privacy):

  1. Se nel sito internet è previsto l’uso di cookie di profilazione ai fini di invio di messaggi pubblicitari mirati.
  2. Se il sito utilizza cookie di “terze parti”, i cookie installati da servizi diversi dal sito che si sta visitando.
  3. Che sia presente un link a informazioni più dettagliate, con le indicazioni dei cookie inviati dal sito dove sia possibile negare l’installazione degli stessi mediante check-box o mediante link alle pagine di impostazione dei siti che forniscono questi cookie, nel caso di cookie di “terze parti”.
  4. L’indicazione che proseguendo nella navigazione del sito si presta il consenso all’uso dei cookie.

 

E’ consentito al sito internet installare un cookie tecnico per tenere traccia del consenso dell’utente e non dover riproporre l’informativa nel caso di nuove visite da parte dello stesso, ma è necessario linkare in tutte le pagine del sito l’informativa estesa in cui dar possibilità all’utenza di modificare anche in seguito le proprie scelte.

– Da ultimo, il nuovo documento presentato l’8 maggio 2014 dal titolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” rappresenta invece una sorta di ulteriore chiarimento successivo alle “linee guida” e prevede che si crei (anche se non viene specificato in che modo), all’interno del sito internet, una pagina in cui l’utenza possa scegliere quali cookie disattivare o attivare e che questa pagina sia raggiungibile mediante un link da tutte le altre pagine del sito.

 FAQ

Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

L’uso dei cookie va notificato al Garante?

I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all’obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

Ma cosa rischio se non adeguo il mio sito internet?

Le sanzioni sono tutte di tipo amministrativo e variano in funzione di cosa non viene rispettato. Alcuni esempi:

– Da € 6.000 a € 36.000 per omessa informativa o informativa non idonea.
– Da € 10.000 a € 120.000 per installazione di cookie senza il consenso degli utenti (mancanza del popup).
– Da € 20.000 a € 120.000 per omessa o incompleta notificazione al Garante (nel caso si utilizzino cookie di profilazione è necessario effettuare una notifica al Garante secondo l’ex articolo 37, comma 1, lettera d).

 

L’informativa va impostata su due livelli. Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali specifici cookie autorizzare. L’informativa deve:

– contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.

– includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.

– richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante. Esso deve:

– specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;

– contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie;

– precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente implicitamente all’uso dei cookie.

Attenzione però: il consenso online all’uso dei cookie non può essere chiesto solo tramite l’uso del banner: i titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

di Roberta Zappalà

 

Linkografia:

http://www.garanteprivacy.it/cookie

http://www.massacritica.eu/cosa-pensa-di-noi-un-computer/9897/

http://www.massacritica.eu/il-contagio-emotivo-insieme-ma-da-soli/8195/

Commenti (0)

Advertise Here

Foto da Flickr

Guarda tutte le foto

Advertise Here

LINK