• HOME
  • Blog
  • Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali
Avv. Marco Maglio
15 Settembre 2016
Tempo di lettura: 3 min

Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali

Grazie ai migliori esempi di grandi editori americani – dal New York Times al Daily Beast –, Guida all’Email Advertising ti accompagna tra i metodi, gli strumenti e le best practice per aggiungere inserzioni pubblicitarie nelle email.

Premessa: l’impatto del nuovo regolamento europeo sulle norme in materia di cookies

Come molti sanno la normativa in materia di dati personali è interessata da un’importante modifica: il 25 maggio 2018 tutti i paesi membri dell’Unione Europea dovranno applicare il Regolamento Europeo (2016/679) approvato lo scorso 27 aprile 2016.

Questa riforma cambia profondamente le regole del gioco in materia di raccolta di dati, soprattutto on line.  Cambieranno tra le altre cose l’informativa, il consenso, i diritti degli interessati, i ruoli nel trattamento dei dati con l’introduzione del Data Protection Officer. Verrà introdotta la necessità di introdurre i nuovi canoni della Privacy by Design e della Privacy by Default e di condurre adeguati Privacy Impact Assessment. Si dovranno affrontare nuovi rischi sanzionatori e bisognerà introdurre nuove regole di organizzazione per gestire il flusso dei dati documentando le attività svolte dai soggetti preposti al trattamento.

Vuoi approfondire le novità introdotte dal nuovo Regolamento Europeo? Guarda i video!

Come si è detto non cambiano solo le norme, cambia il processo di trattamento dei dati e diventa essenziale dotarsi di un modello organizzativo adeguato.

Ma di fronte a questo nuovo approccio che fine fanno le norme che disciplinano l’uso dei cookies vigenti in Italia solo dal 2 giugno 2015?  La risposta può sembrare sorprendente, ma le regole non cambieranno molto, e questo per un fatto molto semplice: il regolamento europeo interviene sulla direttiva generale del 1995 che si occupa della data protection mentre la disciplina dei cookies è regolata dalla  direttiva 2009/136/CE del 25 novembre 2009, recepita in Italia con il Decreto Legislativo n. 69 del 2012 cui è stata data piena esecuzione con il provvedimento del Garante per la protezione dei dati personali dell’8 maggio 2014 che è diventato efficace e vincolante dal 2 giugno 2015.

Questo permette di dire che le regole oggi vigenti non cambieranno a seguito delle nuove norme europee. Cambia semmai il quadro di riferimento delle norme generali diventando più coerente con le norme che riguardano i cookies. Vale quindi la pena condurre un ripasso rapido per ricordare queste norme e vedere in concreto cosa bisogna fare per trattare dati personali mediante cookies.

256x218
Al tuo fianco per crescere, ogni giorno

Dallo sviluppo di integrazioni al supporto strategico, dalla creazione di concept creativi all’ottimizzazione dei risultati.

I cookies e la raccolta di dati personali

cookies sono strumenti fondamentali per il funzionamento dei siti perché permettono di gestire alcune funzioni essenziali (per esempio il riconoscimento di un utente o la gestione del un carrello degli acquisti nelle attività di commercio elettronico). Ma sono anche un mezzo formidabile per la raccolta di informazioni personali sulle modalità di navigazione delle persone nei siti internet e permettono azioni di marketing diretto molto efficaci.

Grazie ai cookies, per esempio è possibile proporre ad una persona pubblicità mirate, in funzione delle ricerche effettuate in altri siti che ha visitato prima di accedere ad una nuova pagina internet. È ancora grazie ai cookies si possono svolgere quelle azioni di marketing che ripropongono un medesimo messaggio durante la navigazione in rete nei vari siti che si visitano (è il cosiddetto retargeting).

Ma ancora è grazie ai cookies o comunque a meccanismi che si basano sul medesimo principio, se è possibile sapere che esito ha avuto una campagna di email marketing, se un messaggio di posta elettronica è stato letto, quante volte è stato aperto o se è stato inoltrato ad altre persone.

I cookies e le normativa di data protection in Europa ed in Italia

Per molto tempo questi strumenti sono stati usati nella sostanziale inconsapevolezza della maggioranza degli utilizzatori del web, ma qualcosa è cambiato nel 2009, quando è stata emanata una direttiva dell’Unione Europea (la n. 136) che ha imposto anche per la raccolta dei dati personali mediante cookies le consuete regole che si basano sulla fornitura di un’informativa all’interessato e all’ottenimento di un consenso.

Dal 2009 ad oggi il dibattito sul modo attraverso il quale dare l’informativa e ottenere il consenso è stato molto acceso. Alcuni paesi europei (Regno Unito ed Olanda su tutti) hanno affrontato la questione con particolare attivismo imponendo pop up e banner per evidenziare la “cookie policy” dei siti richiedendo un consenso espresso al loro uso; altri hanno preferito assumere un atteggiamento attendista e poco incisivo per non modificare troppo l’esperienza consolidata di navigazione che mal si concilia con questi “avvisi ai naviganti”.

Anche in Italia il dibattito è stato vivace e già nel 2012 il nostro Codice in materia di protezione dei dati personali è stato modificato per recepire la direttiva, affidando al Garante il compito di definire come dovesse essere fornita l’informativa e con che modalità dovesse essere acquisito il consenso.

Il 4 giugno 2014 il Garante ha rotto gli indugi ed ha emanato un provvedimento generale, al termine di una consultazione pubblica, nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge. Questo provvedimento è diventato applicabile dal 2 giugno 2015 ed oggi è la normativa di riferimento.

Le regole in sintesi

In estrema sintesi il Garante ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui devono essere chiariti alcuni elementi essenziali.

In particolare:

  1. occorre precisare se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. occorre precisare se il sito prevede anche l’uso di cookie di “terze parti”, ossia di cookie che raccolgono dati che verranno utilizzati da un sito diverso da quello che si sta visitando;
  3. occorre indicare un link che permette di leggere un’ informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, precisando che è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  4. occorre infine evidenziare che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Il Garante ha anche chiarito che è comunque permesso utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente, tenendo così traccia del suo consenso espresso in occasione della visita precedente.

Infine occorre fare in modo che l’utente mantenga, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere consultabile da ogni pagina del sito.

I chiarimenti del Garante sull’applicazione del provvedimento

Il Garante stesso ha ritenuto di formulare alcune precisazioni successivamente alla pubblicazione del suo provvedimento per chiarire alcuni aspetti applicativi che è bene ricordare per avere un quadro esatto della situazione normativa:

a) Ambito di applicazione

Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

  • I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
  • Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
  • I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
  • Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi qualora:
    • A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
    • B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
  • Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
  • Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
  • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
  • Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

b) Utilizzo di cookie analitici di terze parti

Nell’ottica della semplificazione che l’Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

c) Uso di piattaforme che installano cookie

In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widget.

d) Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte

Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.

e) Modalità di acquisizione del consenso

Nel Provvedimento del Garante è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie” (cfr. punto 1, lett. e), del dispositivo).

Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.

f) Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU

In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).

In concreto cosa bisogna fare per trattare dati mediante cookies

Vediamo delle ipotesi pratiche di come può essere strutturato un banner per cookies, anche alla luce dell’esperienza già maturata all’estero.

1) Esempio di banner o pop up all’ingresso del sito

Il testo presente nel banner può essere più o meno lungo. Un testo completo e descrittivo ha l’effetto di poter essere più rassicurante e di spiegare i termini essenziali di una materia che molti non conoscono affatto. Qui ovviamente ognuno deve fare le sue valutazioni ed individuare la soluzione che ritiene più adatta anche tenendo conto della tipologia di sito e delle caratteristiche di chi si troverà a consultarlo.

Ad esempio un testo sintetico da inserire in un banner può essere questo:

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e per aiutarci migliorare il nostro sito. Per maggiori dettagli  consulta la cookie policy qui. Proseguendo nella navigazione si accetta l’uso dei cookies in caso contrario è possibile abbandonare il sito.

Bisogna poi prevedere una scelta tra due tasti:

  1. “Configura Cookies” che permette di accedere ad una sezione del sito che consente di abilitare o disabilitare le varie tipologie di cookies che il sito utilizza;
  2. “Accetta e prosegui” che dà immediatamente accesso al sito.

Occorrerà poi prevedere un testo specifico ed ampio, la cosiddetta Cookie policy, per illustrare in dettaglio i cookies e permettere le disattivazioni per le singole tipologie di questi strumenti.

2) Esempio di disclaimer da inserire in messaggi di posta elettronica nel caso di campagne di email marketing

Per quanto riguarda gli strumenti che permettono di raccogliere i dati di apertura, lettura ed inoltro di un’email, nel rispetto del provvedimento del Garante sarà bene inserire nel messaggio email alcune informazioni utili.

Nel footer dell’email può trovare spazio questo disclaimer:

E-mail e Cookies

*Il mittente di questo messaggio utilizza i cookies e tecnologie simili (che chiamiamo collettivamente cookies) in questa e-mail. Se avete attivato le immagini, i cookies possono essere impostati sul vostro computer o dispositivo mobile. I cookies verranno impostati anche se fate clic su qualsiasi link all’interno di questa e-mail. Se le impostazioni della vostra e-mail hanno disattivato i link in questo messaggio, potete incollare l’indirizzo all’interno del vostro navigatore senza attivare o accettare i cookies: ____________________________.

Questi esempi concreti danno un’idea delle scelte che occorre fare per gestire al meglio l’impatto di queste norme.

Raccomando di non praticare la tecnica del “copia e incolla”. Quello che è adeguato per un sito non va bene per un altro. Ognuno deve cimentarsi con questo problema per fare in modo che i cookies siano presentati correttamente agli utenti di ogni sito permettendo di scegliere consapevolmente se accettarli o rifiutarli. Solo così verrà rispettato il principio in base al quale ognuno di noi può esercitare un controllo sulle informazioni che lo riguardano, anche se vengono raccolte per effetto dei suoi comportamenti di navigazione.

Share this article

80x80
Avv. Marco Maglio

Avvocato, fondatore di Lucerna Iuris, Network Giuridico Internazionale formato da studi legali specializzati in diritto del marketing e della comunicazione. Presiedo il Giurì per l'Autodisciplina del direct marketing e del commercio elettronico e l’Osservatorio Italiano Privacy. Partecipo alle attività dei principali Gruppi di lavoro formati da Esperti Internazionali in materia di Data Protection e Marketing Law e sono Componente del Legal Affairs & Ethics Committee di FEDMA (Federazione Europea del Direct Marketing) in rappresentanza dell'Italia. Sono Membro dell'International Privacy Professionals Association e sono Senior Certified Privacy Auditor.

    Ricevi aggiornamenti e novità con la nostra newsletter!