Cookie: Biscottini un po’ indigesti per le aziende
Molto spesso mi trovo a dover spiegare a startup e gestori di siti web come applicare correttamente la normativa sui cookie (cd. cookie law).
Il più delle volte, i clienti mi chiedono:
Avvocato, ci scusi, ma non basta inserire il bannerino sul sito?
La risposta è ovviamente negativa. Infatti, uno dei consigli che mi sento di rivolgere a qualsiasi impresa che operi sul web è quello di effettuare, in prima battuta, una rigida catalogazione di tutti i cookie installati sui computer degli utenti.
Perché una “catalogazione”? Perché la disciplina legale sui cookie (contenuta nei due noti Provvedimenti del Garante Privacy del 2014 e del 2015) si applica in modo differenziato a seconda della tipologia di cookie coinvolti.
Vediamo quali sono gli aspetti che dovete considerare:
- Il vostro sito installa solo “cookie tecnici e/o analitici di prima parte”? Non dovete necessariamente pubblicare il banner e richiedere il consenso, vi è sufficiente dare atto dell’installazione di questi cookie nell’informativa privacy (o nella Cookie Policy, se prevista).
- Utilizzate Google Analytics? (mi auguro di sì, perché è un ottimo strumento!) Vi suggerisco di chiedere al vostro webmaster o al vostro di CTO di attivare l’anonimizzazione dell’indirizzo IP e la sottoscrizione dell’emendamento di Google sull’elaborazione dei dati. In mancanza, sareste tenuti addirittura ad effettuare la notificazione al Garante (150 euro di spese vive e sanzioni salate per il caso di omissione)
- Volete “profilare” i vostri utenti? Utilizzate il pulsante “mi piace”, “retweet”, “+1” e similari? Utilizzate adsense per far visualizzare ai vostri utenti messaggi pubblicitari in linea con le loro preferenze? Occorre analizzare le regole dettate dal Garante per l’utilizzo dei “cookie di profilazione”. Se si tratta di cookie installati da terze parti (i.e. Google), sarà sufficiente darne atto nell’informativa, inserire il banner e richiedere il consenso ai visitatori. Nel secondo caso (cookie profilanti di prima parte) sarà inevitabile la notificazione al Garante.
Ciò detto, si pone un secondo problema, di pura natura tecnico-giuridica.
Supponiamo che un’azienda si comporti diligentemente ed effettui la catalogazione. Supponiamo che si renda conto che, tramite il proprio sito, si installano cookie tecnici e cookie di profilazione di prima parte (es. cookie traccianti propri). A questo punto l’azienda, installando il bannerino, richiedendo il consenso ed effettuando la notificazione al Garante dovrebbe essere a posto, giusto?
E anche in questo caso, la risposta è negativa!
Nel provvedimento del Garante (2014), infatti, si legge espressamente che l’utente dovrebbe avere la possibilità di selezionare/deselezionare i singoli cookie e di negare il consenso all’installazione di qualsiasi cookie (anche tramite le impostazioni del browser).
Inoltre, occorre adottare soluzioni tecniche che impediscano l’installazione di cookie fino a quando non sia stato espresso un valido consenso nelle forme di legge.
Ad esempio, per chi utilizza WordPress, consiglio di installare l’ottimo WeePie Cookie Allow, un plugin che, se customizzato a dovere (e con il necessario supporto di un legale) consente effettivamente di inibire l’installazione di cookie fino all’effettiva manifestazione del consenso dell’utente (N.B. con altri plugin, questo NON avviene).
In alternativa, vi suggerisco un ottimo esempio di best practice: Virgin Active. In questa pagina troverete una perfetta espressione pratica del mio ragionamento. L’utente è finalmente messo in condizione di decidere quali cookie accettare e quali, invece, rifiutare.
In conclusione, vi invito a prestare attenzione alla normativa che regola il web e a comunicare costantemente sia con il vostro referente tecnico sia con quello legale per assicurare la massima compliance e la minimizzazione dei rischi.
Cookie: Biscottini un po’ indigesti per le aziende