La EU Cookie Law nei siti web: dal 3 Giugno nuove regole, il tuo sito è a norma?

Pubblicato in data 15 maggio 2015 Categoria Siti internet

EU Cookie Law

Il 3 giugno 2015 scadrà il termine per mettere in regola i siti web secondo la Cookie Law emessa dal Garante della Privacy Italiano l’anno scorso con il provvedimento n. 229/2014 (“Cookie law“).
Tutti i siti web che utilizzano i cookie devono adeguarsi alla nuova direttiva e obbligatoriamente informare gli utenti della loro presenza nel modo più semplice possibile.

I siti web che utilizzano cookies di profilazione, file cioè che raccolgono informazioni sulla nostra navigazione a fini pubblicitari, devono ottenere esplicito consenso da parte degli utenti prima di inviarli ai loro pc, tablet e smartphone. Per chi non si adegua alle nuove norme sono previste multe salatissime : da 6.000 euro a 36.000 euro per omessa informativa sulla privacy e da 10.000 a 120.000 euro nel caso in cui venga dimostrata l’installazione di cookie di profilazione senza l’autorizzazione degli utenti.

Per rispettare la nuova normativa, è necessario implementare un banner con una informativa breve da mostrare all’utente alla sua prima visita, preparare una pagina con l’informativa completa sulla privacy e richiedere all’utente il consenso all’installazione dei cookie “di profilazione”.

Nella Cookie law assume particolare importanza la distinzione tra cookie tecnici e cookie di profilazione: i primi sono in pratica quelli che permettono alla nostra applicazione di svolgere le funzioni per la quale essa è stata concepita (ad esempio memorizzare i prodotti aggiunti in uno shopping cart o navigare un’area riservata senza la necessità di doversi autenticare nuovamente); i secondi sono essenzialmente degli strumenti di marketing utili a raccogliere informazioni sulle abitudini degli utenti con fini legati all’advertising.

Da questo punto di vista assumono particolare importanza i cosiddetti cookie di terze parti, motivo per il quale anche un sito che non effettua attività di profilazione ma che dovesse presentare nelle sue pagine banner AdSense, il codice di Analytics, widget di Twitter o LinkedIn, embedding di tool forniti da YouTube o anche il semplice pulsante “Mi piace” di Facebook, dovrebbe essere obbligato all’adeguamento.

La normativa prevede che al primo accesso di un browser su un sito, i cookie tecnici possano essere rilasciati, mentre i cookie di profilazione dovranno essere bloccati attraverso un intervento a carico del codice; va precisato che il titolare del sito potrebbe anche rilasciare cookie di profilazione, senza commettere alcuna violazione, a condizione che la profilazione stessa avvenga soltanto a seguito del consenso informato dell’utente che potrà essere revocato in qualsiasi momento.

Tale consenso è quindi legato ad un’informativa (cookie policy), quest’ultima potrà essere “breve”, comparendo immediatamente sulla pagina a cui l’utente accede, o “estesa”, disponibile tramite link posizionato nell’informativa breve nonché attraverso un link in calce ad ogni pagina aggiornata; la versione estesa potrà essere anche una pagina a sé stante o una sezione dedicata alle policy sulla privacy.

Un sito che utilizzi unicamente cookie tecnici non sarà obbligato a fornire l’informativa breve, dovrà invece essere sempre disponibile quella estesa con tutte informazioni riguardanti l’impiego e le finalità dei cookie adottati. Da ricordare che la Cookie law prevede anche una comunicazione al Garante riguardante il trattamento operato sui cookie finalizzati alla profilazione nel caso in cui questi vengano utilizzati dal sito.