News

I cookie e la privacy: come coniugare trasparenza, advertising online e servizio

Tempo di lettura 6 minuti

È finalmente entrato in vigore il provvedimento del Garante per la privacy Antonello Soro che vieta la profilazione senza consenso.

Il provvedimento arriva dopo una consultazione pubblica “volta ad individuare modalità semplificate per l’informativa di cui all’art. 13, comma 3, del Codice in materia di protezione dei dati personali”, lanciata dal garante stesso proprio in materia di cookie.

cookiejar

Ammettiamolo: come utenti della rete a nessuno di noi piace l’idea di essere spiati da un invisibile “grande fratello” in grado di sapere quali sono i nostri siti preferiti, le nostre abitudini quotidiane, i nostri spostamenti, orientamenti politici e gusti, che quindi ci “profila” e sceglie quali informazioni o messaggi pubblicitari mostrarci.
Tra di noi, tuttavia, ci sono anche Internet marketer: operatori che proprio attraverso i cookie instaurano con il cliente, attuale o potenziale, un rapporto di conoscenza che non avviene di persona ma mediante un insieme d’informazioni raccolte attraverso le scelte che egli compie in rete e che sono utilizzate per fare campagne promozionali (cioè business), e per fornire a chi naviga sui siti esperienze e servizi più consoni ai suoi interessi.

Come contemperare dunque queste due esigenze? Anzi tutto va riconosciuto che un vuoto legislativo c’era e che le scelte fatte con il provvedimento n.229 dell’8 maggio 2014 pongono l’Italia in linea con gli altri paesi europei. La nuova normativa avrà un forte impatto sul modo in cui siti e applicazioni installeranno i loro cookie sui dispositivi degli utenti: ora non basta più l’autoregolamentazione (o il selvaggio west), ma le modalità sono disciplinate in modo chiaro e, soprattutto, sono previste delle sanzioni per chi non rispetta le regole.

Cosa cambia con la nuova norma

Al primo contatto con un sito, l’utente deve ricevere le seguenti informazioni:

  • che il sito fa uso di cookie con finalità di marketing, anche di terze parti;
  • che è disponibile un’informativa sul tema in una sezione apposita;
  • che proseguendo la navigazione autorizza la loro installazione.

Un esempio è visibile sul sito Immobilmente.

Cookie tecnici o di profilazione?

Un cookie è un piccolo file di testo che un sito salva sul nostro computer usando il nostro browser. I cookie si distinguono in cookie tecnici e cookie di profilazione:

  • i cookie tecnici sono necessari al funzionamento tecnico del sito o alle Analytics;
  • i cookie di profilazione permettono attività di marketing, come ad esempio il retargeting.

Sono i cookie a rendere possibile la personalizzazione della nostra esperienza web. Un cookie può consentire ai siti di registrare le nostre attività di browsing – ad esempio quali pagine e contenuti abbiamo visualizzato, quando le abbiamo visitate, se vi abbiamo cliccato dentro e via dicendo.

I cookie non sono spyware o adware, e non possono installare virus o programmi sul nostro computer.

I cookie possono aiutare i siti a ricordare quali prodotti abbiamo messo nel carrello, il nome con cui effettuiamo il login, e le nostre preferenze, per mostrarci magari le previsioni del tempo nella nostra città, o i nostri punteggi migliori in qualche gioco, anche a distanza di giorni dall’ultimo accesso.
Altri cookie possono essere inseriti nel nostro browser da società di pubblicità terze per tracciare le nostre attività e mostrarci, per esempio, gli annunci online più coerenti con il nostro comportamento.  Sono i cosiddetti “third-party cookies” (cookie di terze parti). Per esempio, se leggiamo un articolo online sulla corsa, potrebbe essere usato un cookie per notare il nostro interesse in questa attività e, mentre continuiamo a navigare nel web, potremmo vedere coupon per risparmiare nell’acquisto di scarpe da running. Il termine “terza parte” sta ad indicare che anziché avere una relazione diretta con l’utente, una società ha una relazione con uno o più dei siti web che l’utente visita. Facciamo un altro esempio: se un utente visita il sito Immobilmente, quel sito web è “prima parte”. Se Immobilmente realizza una partnership con una piattaforma di advertising o con un network pubblicitario, il network o la piattaforma diventano “terza parte”.

Anche il Garante distingue tra cookie “tecnici” e “di profilazione”, con conseguenze importanti rispetto alla necessità di ottenere o meno il consenso al trattamento.

  • L’uso dei cookie tecnici, di solito installati dal titolare o dal gestore del sito, non richiede il consenso dell’interessato, ma solo l’obbligo del titolare di rendere l’informativa privacy. I cookie tecnici sono classificati e suddivisi nelle seguenti categorie:
  • cookie di navigazione o di sessione (quelli che permettono di realizzare un acquisito o l’autenticazione per l’accesso alle aree riservate);
  • cookie analytics (utilizzati dal gestore per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come visitano il sito);
  • cookie di funzionalità (permettono di scegliere la lingua, i prodotti selezionati per l’acquisto).
  • L’uso dei cookie di profilazione, finalizzati a creare profili utente e inviare messaggi pubblicitari sulla base delle preferenze manifestate, richiede invece il consenso dell’utente.

Cookie dell’editore e cookie di terze parti

La normativa e il provvedimento distinguono tra cookie del gestore del sito, definito come “editore”, e cookie di “terze parti”, al fine di individuarne i rispettivi ruoli e responsabilità.

Sotto questo profilo, l’editore è da un lato titolare del trattamento dei cookie installati direttamente e, dall’altro, intermediario tecnico tra le terze parti e gli utenti. L’editore, però, è esonerato dall’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nel proprio sito per quelli installati da “terze parti”.

Come si devono dare all’utente le informazioni sui cookie

L’utente deve essere informato per mezzo di un elemento grafico visibile ma poco invasivo, che “determini una discontinuità, seppur minima, dell’esperienza di navigazione” e superabile “solo mediante un intervento attivo dell’utente”.
In parole povere: un banner o un elemento nella pagina, visibile e sufficiente a contenere le informazioni sintetiche descritte prima.

Il Garante ha anche preparato una bozza di wireframe d’esempio, ma in ogni caso, il consenso rilasciato dall’utente con il suo “intervento attivo”, per esempio un clic su elementi esterni al banner, deve essere tracciato dal sito e dimostrabile da parte del titolare.

Le informative

Ve ne sono due: una breve e una estesa.

L’informativa breve è quella richiamata sopra, con cui si avvisa l’utente all’apertura. In particolare, essa deve:

  • indicare i cookie di profilazione eventualmente utilizzati;
  • specificare se il sito invia cookie di “terze parti”;
  • riportare il link all’informativa estesa (tramite la quale deve essere possibile scegliere quali cookie autorizzare);
  •  indicare che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  • specificare che la prosecuzione della navigazione sul sito comporta l’accettazione all’uso dei cookie.

Inoltre, il provvedimento specifica che la prestazione del consenso dell’utente può essere tracciata mediante un cookie “tecnico”.

Una volta manifestato il consenso, l’editore non è più tenuto a  riproporre l’informativa breve, ferma restando la possibilità per l’utente di negare e/o modificare il proprio consenso.

L’ Informativa estesa elenca tutti i cookie che il sito installa e le relative caratteristiche.

Deve anche linkare le informative e i moduli di consenso dei cookie di terze parti, cioè installati da servizi terzi tramite il sito, come per esempio quelli relativi ai Social plugin. In particolare, deve:

  • “descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito”;
  • “consentire all’utente di selezionare/deselezionare i singoli cookie”;
  • essere “raggiungibile mediante un link nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocata in calce alla medesima”;
  • contenere il link aggiornato alle informative e ai moduli di consenso delle terze parti.

Infine, l’editore deve dare la possibilità all’utente di manifestare le proprie scelte anche attraverso le impostazioni del browser, indicando nell’informativa estesa almeno la procedura da seguire.
Per quanto riguarda l’obbligo di notificazione al Garante (art. 37, comma 1, lettera d, Codice della privacy), esso scatta solo se l’uso dei cookie è finalizzato a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, o a monitorare l’utilizzo di servizi di comunicazione elettronica. È quindi escluso per i trattamenti tecnicamente necessari a fornire servizi agli utenti e per l’utilizzo dei cookie tecnici.

Le sanzioni in caso di violazione

Nel caso di omessa Informativa, è prevista una multa da 6.000 a 36.000 €, mentre per l’installazione di cookie in assenza di preventivo consenso la sanzione sale a un range compreso tra 10.000 e 120.000 €.
Dal momento che il recepimento della norma comporta una serie di modifiche da apportare ai siti web, è stato concesso un periodo transitorio di 1 anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale (3 giugno 2014).

La valutazione

È un provvedimento che segna un notevole passo avanti rispetto alla situazione precedente, dato che mette un po’ d’ordine in una materia di grande rilievo per chi sviluppa progetti sfruttando le potenzialità degli strumenti di marketing online.

Dal punto di vista utente, garantisce maggiore informazione e trasparenza e fornisce la possibilità di avere un controllo sui cookie utilizzati dal gestore del sito.
Dal punto di vista del gestore del sito, invece, la scelta di non chiedere all’utente un consenso esplicito “bloccante” in virtù di un consenso dato dal comportamento di navigazione è equilibrata: permette di usare i cookie ma con una maggiore efficacia e trasparenza.

Per saperne di più

  • Avvio di una consultazione pubblica ai sensi dell’art. 122 volta ad individuare modalità semplificate per l’informativa di cui all’art. 13, comma 3, del Codice in materia di protezione dei dati personali – 22 novembre 2012
    (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012)la consultazione pubblica.
  • Garante per la protezione dei dati personali, Provvedimento 8 maggio 2014, n. 229: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – pubblicato sulla Gazzetta Ufficiale del 3 giugno 2014, n.126)
  • Comunicato stampa. Internet: Garante privacy, no ai cookie per profilazione senza consenso. In un banner le informazioni all’utente e la possibilità di scegliere quali cookie autorizzare

 

Ti è piaciuto questo articolo?

Iscriviti alla Newsletter per non perderti le novità sul mondo del Conversion Marketing

Iscriviti alla Newsletter!