Avendo creato diversi siti ed essendo particolarmente attivo su facebook (complice il fatto di essere in alcuni gruppi riguardandi Web Design e Web in generale), nell’ultimo periodo mi son mosso nella direzione di cercare di fare chiarezza riguardo il provvedimento dell’8 Maggio 2014 del Garante sulla Privacy, sulla questione dei cookie e del loro consenso a farli rilasciare o eventualmente bloccare.

Tutti gli utenti probabilmente inizieranno a vedere su TUTTI (o quasi) i siti, un banner/popup che avvisa che il sito fa utilizzo di cookie e per tanto occorre il loro consenso per fruire a pieno della corretta navigazione del sito.

Premesso che:

questo articolo non rappresenta in alcun modo una consulenza legale ma esclusivamente un contributo volto a chiarire alcuni aspetti della normativa. Per maggiori ed ulteriori chiarimenti circa la normativa in materia di cookie e l’eventuale conformità del proprio sito web alla normativa, si rileva la necessità di richiedere apposita consulenza legale

Questo è quanto da me riportato in alcuni gruppi:

Cookie – cerchiamo di fare chiarezza

[#cookie #chiarezza] In attesa delle comunicazioni ufficiali che rilascerà il Garante (ma le rilascerà?!), facciamo un po’ di chiarezza per EVITARE di aprire ogni giorno 1000 post sullo stesso argomento.
In merito a questa mia affermazione, il Garante il giorno 29 Maggio ha provveduto a rilasciare notizie, che però non hanno di certo portato chiarimenti sui dubbi emersi

Cosa prevede la nuova norma?

Per i COOKIE TECNICI:

  • link all’informativa estesa su tutte le pagine del sito (mergono dei dubbi).
  • è necessario dare l’informativa (art. 13 del Codice privacy) (a mio avviso dare l’informativa su cosa siano i cookie e altro, come se fosse un’informativa estesa…. libera interpretazione)
    1. ok: solo informativa circa l’uso dei cookie, non è necessario acquisire il consenso.
      Nell’informativa estesa spieghi, in generale, cosa sono i cookie, la loro durata, la loro finalità etc
      Spieghi che il tuo sito utilizza SOLO cookie tecnici e nessun cookie di profilazione né di prima né di terza parte. (postilla di un legale)


    Per i COOKIE di PROFILAZIONE e/o di TERZE PARTI:

  • Banner con informativa breve e richiesta consenso preventivo dei relativi cookie, in quanto il consenso deve essere formale (si attendono ragguagli per capire se per i cookie di terze parti serve o meno il blocco preventivo).
    1. I cookie di profilazione devono essere bloccati preventivamente oppure, seppur non rappresenta un documento ufficiale del Garante della privacy, il titolare del sito potrebbe optare per l’alternativa indicata a pag. 6 del kit di implementazione diffuso dalle Associazioni di categoria. (postilla di un legale)
  • il banner con l’informativa breve DEVE potersi distinguere dal resto del sito
    1. Ma non deve essere eccessivamente invasivo tale da impedire la navigazione all’utente e costringere lo stesso a dover necessariamente esprimere il consenso. (postilla di un legale)
  • DEVE essere PRESENTE su TUTTO il sito (fino a quando non si da il consenso)
    1. Su ogni pagina del sito web e non solo sulla home page. DEVE esser presente SOLO al primo accesso. Una volta acquisito il consenso – di cui il titolare del sito dovrà mantenere traccia – dal secondo accesso non sarà più necessario mostrare il banner. Resta inteso che laddove l’utente dovesse disattivare i cookie tramite browser o modulo gestione del consenso presente nel testo dell’informativa estesa, sarà poi necessario al successivo accesso mostrare di nuovo il banner. (postilla di un legale)
  • deve indicare se utilizza cookie di profilazione per messaggi pubblicitari in linea con le sue preferenze raccolte durante la navigazione in rete
  • deve indicare se utilizza cookie di terze parti
  • deve contenere link all’informativa estesa e soprattutto indicare che nell’informativa estesa viene data la possibilità di selezionare quali cookie autorizzare o meno ok
    deve indicare che con il proseguimento della navigazione (sullo scroll come consenso ho dei dubbi in quanto l’utente potrebbe non accorgerse) premendo su un apposito elemento del banner si da il consenso all’utilizzo dei cookie
    1. concordo in pieno sullo scroll che ritengo “eccesivo” come metodo di acquisizione del consenso. (postilla di un legale)
  • la selezione/pressione del link per la cookie policy non deve considerarsi come consenso all’utilizzo dei cookie
    1. esatto (postilla di un legale)

    Informativa ESTESA:

  • occorre dare spiegazione su cosa siano i cookie
  • l’informativa DEVE descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito
  • deve consentire all’utente di selezionare/deselezionare i singoli cookie (a mio avviso tranne i cookie strettamente tecnici per utilizzare correttamente il sito)
    1. i cookie tecnici NON possono essere deselezionati altrimenti il sito non funzionerebbe, quindi se il sito utilizza solo cookie tecnici non è necessario fornire questa possibilità all’utente. Per i tecnici non è necessario il consenso ma solo informativa. (postilla di un legale)
  • deve contenere i link / guide per modificare le impostazioni dei propri browser
  • deve contenere i link di policy privacy/cookie ed eventualmente se fosse possibile di opt-out dei vari servizi di terze parti
    1. Deve specificare i tipi di cookie di profilazione utilizzati dal sito, sia di prima che di terza parte, ed indicare i link che indirizzano l’utente al sito del terze per eventuale deselezione. (postilla di un legale)

    Pagamento dei diritti di segreteria (150€):

  • al garante si deve notificare e quindi pagare i diritti di segreteria SOLO nel caso in cui si utilizzino COOKIE di PROFILAZIONE PROPRI ovvero cookie del titolare atti all’invio di messaggi publicitari in linea con le preferenze durante la navigazione dell’utente (pagamento che può avvenire tramite questo link https://web.garanteprivacy.it/rgt/NotificaTelematica.php);
  • NON sono da pagare nel caso in cui i COOKIE siano di TERZE PARTI.
    1. Non sono da pagare e non vi è alcun obbligo di notifica al garante in caso di cookies di terze parti. (postilla di un legale)

    Per quali siti si Applica la normativa Europea
    La normativa Europea che ogni stato membro ha recepito va applicata tenendo conto dei seguenti casi:

  • dove si svolge l’attività prevalente che sottostà al sito;
  • questa cosa la si può dedurre dalla partita iva e dalla sede legale dell’attività;
    1. Art. 5. (Codice privacy) Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31. (postilla di un legale)
  • Non centra nulla dove sia hostato il sito, per cui fermo restando i due punti di cui sopra se il sito è Hostato al Polo Sud, la normativa va comunque applicata.
  • Quesiti:

  • 1) Ogni lingua del sito deve avere la policy corretta (quindi se il sito è monolingua basta la policy solo in italiano, al contrario se è multilingua, deve essere tradotta per ogni relativa lingua)
    1. L’utente deve essere informato. Se il tuo sito ha solo contenuti in italiano perché è rivolto solo ad italiani la tua policy sarà in italiano. Se il tuo sito usa diverse lingue e i contenuti sono puntualmente tradotti nelle rispettive lingue, significa che i tuoi utenti sono anche stranieri e quindi devi informare anche loro traducendo i testi. (postilla di un legale)

  • 2) Il sito rilascia dei cookie? allora devi mettere in regola il sito. Il sito NON rilascia cookie (ma ne sei sicuro?) allora sei esente (ricordati però la privacy che quella ci deve essere SEMPRE se hai anche solo un form di contatto)
    1. Non sono un tecnico, ma credo che ogni sito web rilasci almeno 1 cookie tecnico per poter funzionare. In questo caso, trova applicazione la normativa. Discorsi form di contatto etc rientrano in altri ambiti non inerenti alla materia cookie, ma alla privacy. Gli adempimenti anche in quel caso (non solo per il form contatto) sono indispensabili perché le sanzioni previste sono analoghe a quelle previste per i cookie (oltre anche a sanzioni penali). (postilla di un legale)
  • 3) Analytics sembrerebbe che anonimizzarlo lo renda un cookie tecnico in quanto “dovrebbe” raccogliere dati in forma aggregata ovvero numero di visitatori, pagine visitate e modo/browser/os con cui si naviga quindi come da punto 1 lettera a il cookie analytics anonimo “dovrebbe” essere considerato come tecnico
    1. Se si ha la certezza che le finalità sono quelle di cui sopra (anonimi, forma aggregata etc), confermo che è da considerarsi tecnico. In caso contrario è un non tecnico. (postilla di un legale)
  • 4) Fare attenzione a script che modificano anche il tag <script> in quanto alcuni servizi farebbero rischiare il BAN dal loro sistema, in quanto VIETANO qualsiasi modifica al codice
  • 5) nel caso di iframe o altro, dovreste assicurarvi che non carichino cookie, altrimenti sarebbero da inibire fino al consenso (nel caso di youtube => suggerisco l’opzione “Abilita modalità di privacy avanzata” in quanto non memorizza nessun dato sino alla visione del video, oppure testare www.youtube-nocookie.com)
  • 6) Google Maps, utilizzando le nuovi API non genera cookie => https://developers.google.com/maps/documentation/javascript/examples/marker-simple
  • 7) Per capire se effettivamente un sito deve sottostare alla Cookie Law occorre identificare la SEDE del Trattamendo dei Dati, non importa se l’host è in italia/Europa o fuori…. se la sede è in italia deve essere messo a norma, se la sede è in Brasile ad esempio dovrà sottostare ad eventuali norme brasiliane
    1. rivedere la sezione precedente per aver maggiori ragguagli (postilla di un legale)
  • 8) Come tener traccia (documentazione) dei consensi degli utenti? tramite cookie e penso sia inteso con il cookie tecnico che non ti fa comparire più il banner con l’informativa breve
  • 9) le sanzioni arrivano dirette o si riceve prima una notifica?
    1. non ti arriva direttamente la sanzione. Ti arriverà una comunicazione da parte del Garante il quale ti chiederà delucidazioni e chiarimenti circa il trattamento dei dati personali effettuato all’interno del tuo sito. Non credo proprio che si limiterà ad un mero controllo dei cookie, ma chiederà tutta la documentazione lato privacy (in generale) e lato cookie. Avrai un termine per rispondere. Dopodichè il garante valuterà le tue risposte, eventualmente chiederà integrazione di documenti e poi si regola di conseguenza. (postilla di un legale)
  • 10) NON prendete in considerazione siti online, per fare dei paragoni, ci possono essere n motivi per il quale sembrano non essere a norma:
    – attendono il 2 giugno
    – sono pronti in ambiente di test e pubblicheranno tutto all’ultimo
    – attendono in quanto considerano gli eventuali blocchi troppo rischioso (perderebbero introiti o altro)
    – hanno interpretato in modo differente dal nostro il provvedimento
    – varie ed eventuali 😉
  • 11) Occhio all’utilizzo di CDN varie… anch’esse possono creare cookies!!
  • Tool e Script:

  • li si può trovare in questo post (se avete dubbi sui tool o volete avere info, chiedete nei commenti) => https://www.facebook.com/groups/webdesigner/permalink/925339557525649/
  • Voci di corridoio:
    in altri gruppi utenti affermano di aver avuto conversazione con riferimenti del Garante i quali affermano che stanno “lavorando” per risolvere i dubbi in materia (più che altro fino a quando non rendono ufficiale qualcosa è come se non ci stessero lavorando).

    Provvedimento dell’8 Maggio 2014:
    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

    Domande Frequenti (con risposta) sul sito del Garante :
    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2142939


    ELENCO COOKIE E LORO FUNZIONE RILASCIATI DA ALCUNI DEI PRINCIPALI SERVIZI

    (Google Analytics, Google Calendar, Google Maps, Youtube, Disqus, Slideshare, Issuu, Viemeo, etc.)
    In questo link si trovano alcuni dei principali servizi che utilizziamo sui siti, con indicati i cookie che rilasciano, la descrizione e quando scadono.
    Questi sono tutti cookie di terze parti. In aggiunta sotto alcuni servizi, c’è oltre al link di rimando alla loro cookie policy anche il link per l’Opt out
    http://www.ed.ac.uk/about/website/privacy/third-party-cookies
    Questi sono di Performance
    http://www.ed.ac.uk/about/website/privacy/performance-cookies
    Questi strettamente Necessari
    http://www.ed.ac.uk/about/website/privacy/necessary-cookies

    ELENCO SERVIZI TERZI PARTI che è possibile ANONIMIZZARE in modo da evitare di doverli bloccare preventivamente
    Google Analytics: https://support.google.com/analytics/answer/2763052?hl=en
    Video Youtube > Condividi > Codice da Incorporare > Mostra Altro > Abilita modalità di privacy avanzata
    Google Map:https://developers.google.com/maps/documentation/staticmaps/
    AddThis: http://stackoverflow.com/questions/20218458/how-do-i-prevent-addthis-from-using-cookies-on-my-site (testare utilizzando => var addthis_config = {data_use_cookies_ondomain: !1, data_use_cookies: !1};

    Kit Cookies/Guida Cookies (il presente documento non è legge):
    https://www.facebook.com/download/1071765236185724/GUIDA_COOKIES.pdf
    Non è un documento ufficiale del Garante (anche se presentato in sua presenza). E’ un documento di ausilio predisposto dalle Associazioni di categoria, ma non è la normativa di riferimento, né provvedimento né linea guida del garante.

    Esempi (personali) di policy Cookie & Privacy (tralasciando l’aspetto estetico del sito):
    http://bruzzano.com/privacy-policy/ => PRIVACY
    http://bruzzano.com/cookies-policy/ => COOKIE (no analytics, ma piwik)
    http://www.giulianiautomilano.it/cookies.html => COOKIE (utilizzando Analytics)

    IMPORTANTE nelle Cookie Policy NON vanno inseriti link o altri riferimenti a servizi che non utilizzate, nel senso non state larghi e pensate metto i link anche degli altri servizi, in quanto questo renderebbe la vostra policy ambigua e non corretta (rischio sanzioni anche in questo caso)

    La mia Soluzione?! eccola riportata
    => vari colleghi e non, professionisti e non me l’hanno chiesta
    1) banner con ACCETTO e NEGO il CONSENSO
    2) blocco preventivo di tutto tramite PHP
    3) informativa ESTESA con eventuale blocco/sblocco dei vari cookie
    il codice per svolgere questi step lo trovate qui:
    http://paste.ofcode.org/3aE3eYUYL6uDRUXeypbjkJu (old link)
    http://pastebin.com/t0Tv7qg8

    scusate ma non ho avuto modo e tempo di preparare un corretto repository su Github
    risorsa esterna: jquery.cookie.js => https://github.com/carhartl/jquery-cookie/tree/master/src

    la mia soluzione è poi stata rivista e anche migliorata a livello di codice ed è presente a questo link: http://www.marcopanichi.com/tools/cookiekit-soluzione-completa-adeguamento-legge-cookie/

    Il legale che mi ha seguito e consigliato nella vicenda è: Avv. Raffaele Romano
    Continueranno a pensare che per fare un sito ci vogliono 5 minuti??
    Forse qualche sprovveduto si e ci saranno ancora clienti o presunti tali che seguiranno questa politica, voi che dite?

    Pubblicato da Francesco

    Sistemista con la passione per il Web Design e per la tecnologia, sempre al passo con i tempi, cerco le soluzioni a svariati problemi che riguardano i pc, server o web in generale. Cerco di essere sempre aggiornato, creo siti e cerco ispirazioni per migliorare sempre più le loro grafiche.

    Lascia un commento