Ultimi progetti web

Tutti i clienti ITALA in regola con l'obbligo per l'informativa alla Privacy sui Cookie

Domani, 2 giugno 2015, entra in vigore l'obbligo di inserire su tutti i siti web l'informativa alla Privacy sui Cookie. Itala ha provveduto alle soluzioni tecniche necessarie per mettere in regola tutti i suoi clienti, integrando la funzionalità in automatico nel suo CMS. Uno dei punti di forza di affidarsi ad un'azienda, come Itala, che produce soluzioni tecniche, è la possibilità di poter affrontare con serenità qualsiasi nuova esigenza, con la certezza di avere sempre a disposizione le soluzioni ai propri problemi.

Ma tra le incongruenze della legge, e le più fantasiose applicazioni che si vedono in circolazione, gira parecchia confusione. Facciamo un po' di ordine.

Obblighi di legge

Secondo la schematizzazione del legislatore, esistono tre tipi di cookie:

  1. Cookie di terze parti
  2. Cookie tecnici
  3. Cookie di profilazione

Se si utilizza anche una sola di queste tre tipologie, è obbligatorio avvisare l'utente con una Informativa breve, tramite un banner ben visibile. Nell'informativa breve deve essere presente un link/invito alla pagina della Informativa estesa, dove sarà possibile avere più dettagli e rifiutare l'uso di alcuni cookie.
Quali cosa e come? Procediamo con calma.

Tipologie di Cookie

I Cookie di terze parti sono quelli usati da servizi esterni, che vengono integrati nel proprio sito web ma di cui noi non siamo responsabili (non possiamo controllare). Per fare alcuni esempi: Google Analytics, Google Maps, Youtube (video integrati nel sito), etc.
I Cookie tecnici sono tipicamente quelli di sessione, che sono necessari al corretto funzionamento del sito dal punto di vista tecnico. Per fare degli esempi: il cookie per memorizzare l'impostazione della lingua preferita per la navigazione del sito, o quello per memorizzare il carrello di un ecommerce prima di aver fatto un login.
I Cookie di profilazione sono quelli sostanzialmente usati a fini pubblicitari. Nel senso che sono quelli che servono a profilare l'utente per trarne informazioni utili a fini di marketing, proposte commerciali e simili. Per fare un esempio, anche il più stupido cookie usato in un ecommerce per farti vedere il box "Ecco gli ultimi articoli che hai visto", può rientrare nella categoria.

Informativa breve Cookie

Nel caso dei primi due tipi (Cookie di terze parti, e cookie tecnici), nell'informativa breve è sufficiente avvisare l'utente che il sito li usa: in questo momento non è necessario chiedere l'autorizzazione all'uso.
Per i Cookie di profilazione, invece, è necessario chiedere l'autorizzazione all'uso fin dall'informativa breve.
In entrambi i casi è necessario inserire un link all'Informativa estesa.

Il banner per l'informativa breve
L'avviso deve essere fornito alla prima pagina a cui l'utente arriva tramite un banner che, in sostanza, debba essere impossibile da ignorare. Citando esattamente il garante:

deve immediatamente comparire in primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando

Informativa estesa Cookie

Qui si scatena l'inferno. Innanzitutto, il link all'informativa estesa deve essere presente in tutte le pagine del sito web. Inoltre, all'interno dell'informativa estesa dovete:

  1. Spiegare cosa sono i cookie e a cosa servono.
  2. Per i cookie di terze parti, visto che non siete voi i responsabili, dovete fornire i link alle aziende presso le quali esercitare il proprio diritto (per andare sul comico, se usate Google Analytics dovete proprio mettere un bel link a Google).
  3. Per i cookie tecnici e di profilazione, dovete chiedere il permesso all'utilizzo (Sì, No), oltre a spiegare per quali finalità li usate.
  4. Informare che è possibile disabilitare i cookie direttamente dalle impostazioni del browser.
  5. Spiegare come si fa (il Garante chiede addirittura un "link" alle impostazioni del browser)

Il punto a favore dell'informative estesa, è che può essere anche esterna al sito web. Quindi la web agency può sviluppare un modulo software su una sua area clienti e gestire tutto da lì. Certo... rimane da stabilire come farà da lì ad abilitare o disabilitare i cookie dell'utente sul sito del suo cliente... ma questa è un'altra storia.

I punti controversi

Era necessario?

Non mancano le controversie. La prima tra tutte è: a parte i cookie di profilazione, era proprio necessario tutto questo balletto?

Si tratta di meri elementi tecnici necessari al corretto funzionamento del software. Sono del tutto impersonali da parte del proprietario del sito (che non può sapere che quei cookie appartengono a Mario Rossi). Non carpiscono dati da riutilizzare a qualsivoglia fine, se non a dare un servizio più efficiente e veloce.

E' come se in una gelateria fosse obbligatorio un "banner" con scritto "Attenzione: indicando i gusti per il tuo cono, la barista potrebbe utilizzare questa informazione per ricordarsi i gusti preferiti dai clienti"

Diversa, e corretta, la valutazione per i cookie di profilazione, che invece vengono usati a fini di marketing personalizzato, e quindi possono risultare invasivi rispetto alla propria privacy.

Le impostazioni del browser

Ad un certo punto il Garante ci chiede addirittura di inserire un "link alle impostazioni del browser per disabilitare i cookie". Ok, per Google Chrome possiamo risolvere... e per gli altri browser?

Inoltre, la richiesta di spiegare e dare indicazioni su come fare a disabilitare i cookie per tutti i browser è, ovviamente, ingestibile. Da un lato, queste indicazioni possono cambiare ogni mese. Da un altro lato, di browser al mondo ce ne potrebbero essere anche infiniti, volendo. Ok quelli più noti (ma quali sono? Opera ci rientra? Chromium? Maxthon?), ma qualcuno può dire con coscienza di conoscere tutti i browser esistenti al mondo? E quelli integrati nelle Smart TV?

I paradossi logici

I programmatori lo sanno, ma a tutti gli altri forse non risulterà così scontato che, per salvare le impostazioni dell'utente che vuole rifiutare l'uso dei cookie, ovviamente, si usa un cookie. Il Garante lo sa e ci ha gentilmente concesso una deroga. A parte questo simpatico paradosso, se ne apre anche un altro: per non tediare l'utente che naviga, e far apparire il banner informativo solo alla prima pagina di navigazione del sito, ovviamente, si usa un cookie.

Ecco, se l'utente raccogliesse davvero l'invito a disabilitare l'uso dei cookie direttamente dal browser, si ritroverebbe quindi ad avere il banner informativo ad ogni apertura di nuova pagina per qualsiasi sito web. Considerando che il banner deve essere in primo piano ed interrompere la "fruizione dei contenuti", si tratterebbe di una vera e propria condanna per il malcapitato utente.

In sintesi

Lo spirito del provvedimento è piuttosto chiaro e, volendo, condivisibile. Senza entrare nel merito dell'utilità del provvedimento attuale, dimostrare di essere in regola è relativamente semplice (se si ha il pieno controllo del codice del sito web). Senza dubbio, sarebbe auspicabile che il Garante andasse oltre il buono spirito del provvedimento, e semplificasse gli obblighi dell'adempimento con quel pizzico in più di buon senso (sempre utile).

L'ironia

Oggi, 1 Giugno 2015, il sito del Garante della Privacy NON è in regola con la sua norma (manca il banner informativo per l'uso di cookie tecnici).

Fonti e normative originali

Il provvedimento e gli obblighi di legge spiegati dal garante:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

La legge sulla Privacy completa, aggiornata ai nuovi adempimenti sui cookie:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248