Il 2 giugno 2015 l'Italia ha adottato la direttiva Ue 2009/136/CE. Una sigla che ai più dirà poco e che invece tocca almeno il 71% della popolazione italiana (oltre 40 milioni di nostri conterranei). Si tratta, infatti, della cosiddetta cookie law, una norma che regola l'utilizzo dei cosiddetti cookie di profilazione da parte di tutti i siti web italiani ed europei: dal 3 giugno 2015 gli internauti dovranno ricevere tutte le informazioni possibili sull'eventuale raccolta di cookie da parte dei portali che stanno visitando e sul loro utilizzo. Nelle intenzioni del Garante della privacy, tra i primi promotori dell'iniziativa, gli internauti dovranno essere pienamente consapevoli di come saranno utilizzati i loro dati personali così da poter decidere se continuare nella navigazione o negare il loro consenso alla profilazione tramite cookie.
Cookie tecnici e cookie di profilazione
Non tutti i cookie sono uguali. Così come esistono decine di tipologie di biscotti sugli scaffali del supermercato, anche nel web è possibile incrociare la strada di diverse specie di biscotti virtuali. Due le categorie principali: da un lato i cookie tecnici, dall'altra i cookie di profilazione. I primi, come lascia intendere anche il nome, hanno natura e funzioni tecniche, permettendo di automatizzare alcune operazioni che altrimenti richiederebbero l'intervento dell'utente (come, ad esempio, inserire nome utente e password in un sito visitato frequentemente). I secondi, invece, hanno scopi prettamente pubblicitari e, secondo alcuni esperti, metterebbero a rischio la privacy e i dati personali degli utenti. Questo il motivo che ha spinto l'Unione europea e il Garante della Privacy a intervenire.
A loro volta, i cookie tecnici si dividono in tre sottocategorie:
-
Cookie di navigazione (o sessione). Necessari al funzionamento del sito, garantiscono all'utente una migliore esperienza di navigazione (permettono, ad esempio, di ricordare le credenziali di accesso ai siti o mantengono in memoria il carrello dei siti di e-commerce)
-
Cookie funzionali. Pur non essendo necessari, permettono di migliorare ulteriormente l'esperienza di utilizzo dei portali. Servono, ad esempio, per ricordare le impostazioni persistenti come la lingua di navigazione e altri aspetti legati al mondo del web
-
Cookie analytics. Come lascia intendere il nome, si tratta di strumenti che permettono di raccogliere dati statistici sugli internauti che accedono al portale. In questo modo è possibile conoscere, in maniera aggregata, il numero di utenti che hanno visitato il sito e quali le pagine più viste
I cookie di profilazione, come si legge nel provvedimento del Garante , sono “volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete".
Pubblicitari sull'attenti
Come si intuisce dalla stessa definizione contenuta nel provvedimento dell'Autorità per la Privacya pagare il dazio più pesante potrebbero essere i pubblicitari e le agenzie di marketing. Nella gran parte dei casi, infatti, i cookie di profilazione sono utilizzati per creare profili di navigazione degli internauti. In parole povere, permettono di archiviare le preferenze commerciali degli utenti e offrire loro pubblicità mirate e tarate sui loro gusti. Se, ad esempio, si fosse alla ricerca di un nuovo smartphone e si visitassero siti di recensioni o portali di e-commerce, nei giorni seguenti potrebbe capitare di visualizzare diverse pubblicità a tema.
I cookie di profilazione, dunque, si traducono in banner e annunci pubblicitari che, in qualche modo, forniscono informazioni legate agli ultimi portali visitati e alle ultime ricerche effettuate. Negando il proprio consenso – e impedendo di fatto ai cookie di accedere al sito e fare il loro lavoro – non si metterà un freno alle pubblicità: molto più semplicemente i banner visualizzeranno pubblicità generiche che nulla hanno a che vedere con i propri interessi e le proprie abitudini di navigazione.
Chi deve mettere in atto il provvedimento del Garante
In linea del tutto teorica, non tutti i portali web sono obbligati a implementare quanto previsto dalla legge sul loro portale. Nel caso in cui si utilizzino solo cookie tecnici o non si utilizzino cookie non c'è alcun obbligo. Ma si tratta, di fatto, di una situazione puramente teorica: sarà sufficiente utilizzare Google Analytics o inserire pulsanti per la condivisione social per rientrare nelle fattispecie della legge.
In particolare, devono adeguarsi alla cookie law tutti quei portali che:
-
Incorporano annunci pubblicitari di Google AdSense o altri provider pubblicitari web
-
Utilizzano servizi di terze parti per la rilevazione statistica delle visite (il già citato Google Analytics e simili)
-
Sfruttano plugin social per la condivisione dei contenuti o per il login
-
Incorporano un sistema di terze parti per la gestione dei commenti (Disqus, ad esempio)
-
Visualizzano mappe tratte da Google o altri servizi analoghi
-
Hanno all'interno delle proprie pagine video e altri contenuti multimediali che rimandano a terze parti
Le sanzioni
Il provvedimento del Garante della privacy prevede multe che vanno da un minimo di 6.000 euro a un massimo di 36.000 euro per i gestori dei portali web che non dovessero adeguarsi nei tempi previsti. Nel caso in cui i cookie dovessero entrare in funzione anche se l'utente avesse negato il consenso, le sanzioni sono ancora più elevate: si va da un minimo di 10.000 a un massimo di 120.000 euro. La mancata notificazione al Garante, infine, prevede una sanzione da 20.000 a 120.000 euro.
Come creare un'informativa per la privacy
Nel caso si gestisse un portale web – anche amatoriale – o un'applicazione che faccia uso dei cookie, si è dunque obbligati a implementare un'informativa privacy e un'informativa cookie per evitare di essere segnalati e sanzionati dal Garante. Diversi gli strumenti a disposizione dei webmaster. Il portale Google cookie choices, ad esempio, fornisce informazioni sull'informativa e alcuni strumenti e script utili a implementare l'informativa (breve ed estesa) nel proprio portale; CookieCuttr, invece, mette a disposizione un plugin per WordPress in linea con la direttiva Ue; Iubenda, infine, è un sito italiano che permette di creare un'informativa breve e un'informativa estesa adattabili al portale che si gestisce.