Legge n. 229/2014

La cookie law è una  normativa avviata in Europa che l’Italia ha recepito ed applicato e che entrerà in vigore dal 2 giugno 2015. A giugno 2014,  il Garante Privacy ha pubblicato alcune linee guida  che tuttavia mancavano di indicazioni operative. Subito dopo è stato avviato un tavolo di discussione tra Fedoweb, iab, Netcomm ed UPA.

Il risultato di questo tavolo, che ha interagito con il Garante stesso, è una serie di linee guida che  illustriamo e che chiariscono tutti i dubbi relativi alla cookie law.

Gli adempimenti

Con l’entrata in vigore della cookie law, dal 2 giugno non sarà più possibile installare cookie :

  • Prima di avere predisposto e mostrato all’utente un banner informativo
  • Prima di avere predisposto e mostrato all’utente una cookie policy
  • Prima di avere richiesto il consenso agli utenti

Più specificatamente, per rispettare la cookie law, è necessario che tutti i siti che installano cookie – anche tramite strumenti terzi, statistiche di google, collegamenti e condivisioni con i social network, accessi e/o riconoscimento utenti – mostrino un banner alla prima visita dell’utente, predispongano una cookie policy e permettano all’utente di fornire il consenso secondo le indicazioni fornite dalla legge.

IMPORTANTE: Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.

Informativa breve

L’informativa breve viene fornita tramite un banner (miglior sistema)  o un popup che deve illustrare le finalità di installazione dei cookie di cui il sito fa uso. Il banner deve essere sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente.

Cookie policy

La cookie policy non deve necessariamente prevedere una lista di tutti i cookie – nome per nome – installati dal sito, ma deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.

Consenso

Il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione (incluso lo scrolling) o qualora l’utente visualizzi la cookie policy.

Blocco dei cookie prima del consenso

Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti che verranno illustrate in seguito. Nella pratica, questo significa che ad esempio i codici che richiamano dei banner o anche semplicemente i codici che gestiscono la live chat non possono essere eseguiti prima di aver ottenuto il consenso (lo ricordiamo, ottenibile anche con il semplice scrolling).

Questo adattamento sarà purtroppo impegnativo per molti siti e richiede modifiche al codice del sito stesso. Il Garante è stato su questo punto molto chiaro ed è necessario adeguarsi se si vuole rispettare la legge.

Alcune eccezioni

Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare:

  • I cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing e smili.
  • I cookie di statistica gestiti direttamente dal titolare del sito web (e non di terze parti).

Le Sanzioni per i titolari di siti web sono disponibili a questo indirizzo: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 

Per quanto riguarda le sanzioni, queste vanno da 6 mila a 36 mila euro per informativa omessa o non idonea, da 10 mila a 120 mila euro per l’uso di cookie di profilazione senza consenso dell’utente e, caso più grave, da 20 mila a 120 mila euro per comunicazione omessa o incompleta al Garante.

Comments are closed.