L’applicazione della normativa europea sui cookie in Italia
Quante volte aprendo una pagina web vi è capitato di imbattervi in avvisi come “Questo sito utilizza cookie”?
Con banner di questo tipo i gestori di siti web adempiono ai loro obblighi legali, informando gli utenti del fatto che vengono memorizzati dati importanti dell’utente.
Secondo la direttiva europea ePrivacy (detta anche Cookie Law), salvare queste informazioni è consentito solo se l’utente dà il proprio consenso.
Una procedura cosiddetta di opt-in è ora obbligatoria almeno per i tracking cookie: così ha infatti stabilito la Corte di giustizia dell’Unione europea in una nuova sentenza.
Gli utenti devono acconsentire attivamente e dare il proprio permesso all’utilizzo di cookie.
Con l’entrata in vigore a livello europeo del regolamento generale sulla protezione dei dati (GDPR) a maggio 2018, sono cambiate le norme in materia di archiviazione dei dati utenti sensibili anche all’interno dell’Unione Europea.
In realtà il nuovo regolamento sulla ePrivacy, la cui bozza è stata presentata ufficialmente dall’UE il 10 gennaio 2017, dovrebbe divenire vincolante a partire dal 2020 sostituendo la Direttiva UE sui cookie e integrando le nuove normative.
Come si applica la direttiva europea sui cookie in Italia
In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie.
Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web.
Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia ad una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengano utilizzati.
Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.
In Italia la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012.
Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014, chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.
Nonostante le direttive restino confuse e non chiarite in via definitiva, la Commissione Europea si dice soddisfatta dalla politica italiana sull’uso dei cookie.
Dal 2 giugno 2015 se un sito web italiano non si è adeguato alla EU Cookie Law può incorrere in sanzioni anche molto salate.
Inoltre dal 25 maggio 2018 il codice in materia di protezione dei dati personali viene applicato conformemente al regolamento GDPR dell’UE.
Sebbene il codice nazionale non entri ancora nei dettagli per quanto riguarda i cookie come fa invece il regolamento ePrivacy, la giurisdizione italiana stabilisce che la memorizzazione dei dati personali è consentita solo con il consenso (vale a dire l’opt-in) della persona fisica interessata.
La raccolta e l’elaborazione dei dati possono servire solo allo scopo per il quale l’utente ha acconsentito.
Infine i siti web hanno l’obbligo di ricordare ciclicamente ai propri visitatori che essi possono avvalersi in ogni momento del diritto di ottenere la cancellazione dei propri dati.
La soluzione più comune in Italia: il banner
In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito è l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina.
Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero.
Il banner deve contenere le seguenti informazioni:
si informa l’utente che il sito web fa uso di cookie di profilazione, al fine di inviare messaggi pubblicitari personalizzati sulla base delle preferenze dell’utente;
il link all’informativa estesa;
si specifica che nell’informativa estesa si può negare il consenso all’uso di cookie;
l’indicazione che proseguendo la navigazione si dà il consenso automatico all’uso dei cookie;
si informa l’utente che i cookie vengono inviati anche a terze parti (qualora questo accada).
L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare:
gli elementi di cui all’art. 13 d.lgs;
cosa sono i cookie e come gestirli sui browser;
come dare o negare il consenso all’uso;
descrizione dei cookie tecnici suddivisi per finalità;
descrizione dei cookie di profilazione di terze parti (se ci sono);
link all’informativa e al modulo di consenso dei siti di terze parti che fanno uso di cookie (se ci sono).
È importante che i cookie tecnici necessari (quelli per cui l’utente non deve dare il consenso) presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti.
Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare.
Al posto di un banner potete anche usare una finestra pop-up o un lightbox.
Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.