Cookie – cerchiamo di fare chiarezza

Il tuo sito è conforme alla normativa vigente?

3 Giugno 2015, la normativa Europea prevede che tutti i siti web devono informare i visitatori se e come vengono utilizzati i cookies. Inoltre vi ricordo che sussiste l’obbligo di inserire nel vostro sito l’informativa privacy.
Le sanzioni previste in caso di inottemperanza sono molto pesanti: da 206 a 120.000 euro.

Cosa prevede la nuova norma?

Per i COOKIE TECNICI:

  • link all’informativa estesa su tutte le pagine del sito (mergono dei dubbi).
  • Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). non l’informativa estesa

ok: solo informativa circa l’uso dei cookie, non è necessario acquisire il consenso.

Nell’informativa estesa spieghi, in generale, cosa sono i cookie, la loro durata, la loro finalità etc

Spieghi che il tuo sito utilizza SOLO cookie tecnici e nessun cookie di profilazione né di prima né di terza parte. 

Per i COOKIE di PROFILAZIONE e/o di TERZE PARTI:

  • Banner con informativa breve e richiesta consenso preventivo dei relativi cookie, in quanto il consenso deve essere formale (si attendono ragguagli per capire se per i cookie di terze parti serve o meno il blocco preventivo).

I cookie di profilazione devono essere bloccati preventivamente oppure, seppur non rappresenta un documento ufficiale del Garante della privacy, il titolare del sito potrebbe optare per l’alternativa indicata a pag. 6 del kit di implementazione diffuso dalle Associazioni di categoria.

  • il banner con l’informativa breve DEVE potersi distinguere dal resto del sito

Ma non deve essere eccessivamente invasivo tale da impedire la navigazione all’utente e costringere lo stesso a dover necessariamente esprimere il consenso.

CONTATTAMI PER METTERE A NORMA IL TUO SITO

  • DEVE essere PRESENTE su TUTTO il sito (fino a quando non si da il consenso)

Su ogni pagina del sito web e non solo sulla home page. DEVE esser presente SOLO al primo accesso. Una volta acquisito il consenso – di cui il titolare del sito dovrà mantenere traccia – dal secondo accesso non sarà più necessario mostrare il banner. Resta inteso che laddove l’utente dovesse disattivare i cookie tramite browser o modulo gestione del consenso presente nel testo dell’informativa estesa, sarà poi necessario al successivo accesso mostrare di nuovo il banner. 

  • deve indicare se utilizza cookie di profilazione per messaggi pubblicitari in linea con le sue preferenze raccolte durante la navigazione in rete ok 
  • deve indicare se utilizza cookie di terze parti ok 
  • deve contenere link all’informativa estesa e soprattutto indicare che nell’informativa estesa viene data la possibilità di selezionare quali cookie autorizzare o meno ok 
  • deve indicare che con il proseguimento della navigazione (sullo scroll come consenso ho dei dubbi in quanto l’utente potrebbe non accorgerse) premendo su un apposito elemento del banner si da il consenso all’utilizzo dei cookie

concordo in pieno sullo scroll che ritengo “eccesivo” come metodo di acquisizione del consenso.

  • la selezione/pressione del link per la cookie policy non deve considerarsi come consenso all’utilizzo dei cookie

 esatto

Informativa ESTESA:

  • occorre dare spiegazione su cosa siano i cookie

esatto

  • l’informativa DEVE descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito

esatto

  • deve consentire all’utente di selezionare/deselezionare i singoli cookie (a mio avviso tranne i cookie strettamente tecnici per utilizzare correttamente il sito)

i cookie tecnici NON possono essere deselezionati altrimenti il sito non funzionerebbe, quindi se il sito utilizza solo cookie tecnici non è necessario fornire questa possibilità all’utente. Per i tecnici non è necessario il consenso ma solo informativa. 

  • deve contenere i link / guide per modificare le impostazioni dei propri browser esatto
  • deve contenere i link di policy privacy/cookie ed eventualmente se fosse possibile di opt-out dei vari servizi di terze parti

esatto.

 Deve specificare i tipi di cookie di profilazione utilizzati dal sito, sia di prima che di terza parte, ed indicare i link che indirizzano l’utente al sito del terze per eventuale deselezione.

Pagamento dei diritti di segreteria (150€):

  • al garante si deve notificare e quindi pagare i diritti di segreteria SOLO nel caso in cui si utilizzino COOKIE di PROFILAZIONE PROPRI ovvero cookie del titolare atti all’invio di messaggi publicitari in linea con le preferenze durante la navigazione dell’utente (pagamento che può avvenire tramite questo link https://web.garanteprivacy.it/rgt/NotificaTelematica.php);

esatto

  • NON sono da pagare nel caso in cui i COOKIE siano di TERZE PARTI.

Non sono da pagare e non vi è alcun obbligo di notifica al garante in caso di cookies di terze parti 

 

Per quali siti si Applica la normativa Europea

 La normativa Europea che ogni stato membro ha recepito va applicata tenendo conto dei seguenti casi:

  1. dove si svolge l’attività prevalente che sottostà al sito;
  2. questa cosa la si può dedurre dalla partita iva e dalla sede legale dell’attività;

Art. 5. (Codice privacy) Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

 

Non centra nulla dove sia hostato il sito, per cui fermo restando i due punti di cui sopra se il sito è Hostato al Polo Sud, la normativa va comunque applicata.

 

Quesiti:

1) Ogni lingua del sito deve avere la policy corretta (quindi se il sito è monolingua basta la policy solo in italiano, al contrario se è multilingua, deve essere tradotta per ogni relativa lingua)

  • L’utente deve essere informato. Se il tuo sito ha solo contenuti in italiano perché è rivolto solo ad italiani la tua policy sarà in italiano. Se il tuo sito usa diverse lingue e i contenuti sono puntualmente tradotti nelle rispettive lingue, significa che i tuoi utenti sono anche stranieri e quindi devi informare anche loro traducendo i testi. 

2) Il sito rilascia dei cookie? allora devi mettere in regola il sito. Il sito NON rilascia cookie (ma ne sei sicuro?) allora sei esente (ricordati però la privacy che quella ci deve essere SEMPRE se hai anche solo un form di contatto)

  • Non sono un tecnico, ma credo che ogni sito web rilasci almeno 1 cookie tecnico per poter funzionare. In questo caso, trova applicazione la normativa. Discorsi form di contatto etc rientrano in altri ambiti non inerenti alla materia cookie, ma alla privacy. Gli adempimenti anche in quel caso (non solo per il form contatto) sono indispensabili perché le sanzioni previste sono analoghe a quelle previste per i cookie (oltre anche a sanzioni penali).

 

3) Analytics sembrerebbe che anonimizzarlo lo renda un cookie tecnico in quanto “dovrebbe” raccogliere dati in forma aggregata ovvero numero di visitatori, pagine visitate e modo/browser/os con cui si naviga quindi come da punto 1 lettera a il cookie analytics anonimo “dovrebbe” essere considerato come tecnico

  •  Se si ha la certezza che le finalità sono quelle di cui sopra (anonimi, forma aggregata etc), confermo che è da considerarsi tecnico. In caso contrario è un non tecnico.

 

4) (Fare attenzione a script che modificano anche il tag

5) nel caso di iframe o altro, dovreste assicurarvi che non carichino cookie, altrimenti sarebbero da inibire fino al consenso (nel caso di youtube => suggerisco l’opzione “Abilita modalità di privacy avanzata” in quanto non memorizza nessun dato sino alla visione del video, oppure testare www.youtube-nocookie.com)

6) Google Maps, utilizzando le nuovi API non genera cookie => https://developers.google.com/maps/documentation/javascript/examples/marker-simple

7) Per capire se effettivamente un sito deve sottostare alla Cookie Law occorre identificare la SEDE del Trattamendo dei Dati, non importa se l’host è in italia/Europa o fuori…. se la sede è in italia deve essere messo a norma, se la sede è in Brasile ad esempio dovrà sottostare ad eventuali norme brasiliane.

  • Risposto sopra

8) Come tener traccia (documentazione) dei consensi degli utenti? tramite cookie e penso sia inteso con il cookie tecnico che non ti fa comparire più il banner con l’informativa breve

9) le sanzioni arrivano dirette o si riceve prima una notifica?

  • non ti arriva direttamente la sanzione. Ti arriverà una comunicazione da parte del Garante il quale ti chiederà delucidazioni e chiarimenti circa il trattamento dei dati personali effettuato all’interno del tuo sito. Non credo proprio che si limiterà ad un mero controllo dei cookie, ma chiederà tutta la documentazione lato privacy (in generale) e lato cookie. Avrai un termine per rispondere. Dopodichè il garante valuterà le tue risposte, eventualmente chiederà integrazione di documenti e poi si regola di conseguenza 

10) NON prendete in considerazione siti online, per fare dei paragoni, ci possono essere n motivi per il quale sembrano non essere a norma:

 – attendono il 2 giugno
 – sono pronti in ambiente di test e pubblicheranno tutto all’ultimo
 – attendono in quanto considerano gli eventuali blocchi troppo rischioso (perderebbero introiti o altro)
 – hanno interpretato in modo differente dal nostro il provvedimento
 – varie ed eventuali 😉
11) Occhio all’utilizzo di CDN varie… anch’esse possono creare cookies!!

 

Voci di corridoio:

 in altri gruppi utenti affermano di aver avuto conversazione con riferimenti del Garante i quali affermano che stanno “lavorando” per risolvere i dubbi in materia (più che altro fino a quando non rendono ufficiale qualcosa è come se non ci stessero lavorando).

 

Provvedimento dell’8 Maggio 2014:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

 

Domande Frequenti (con risposta) sul sito del Garante :

  1. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
  2. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2142939
  • Sono assolutamente attendibili dato che pubblicati sul sito del Garante della privacy.Cosa deve confermare il Garante oltre ad averli pubblicati sul suo sito? 

 

ELENCO COOKIE E LORO FUNZIONE RILASCIATI DA ALCUNI DEI PRINCIPALI SERVIZI

(Google Analytics, Google Calendar, Google Maps, Youtube, Disqus, Slideshare, Issuu, Viemeo, etc.)

In questo link si trovano alcuni dei principali servizi che utilizziamo sui siti, con indicati i cookie che rilasciano, la descrizione e quando scadono.

  • Questi sono tutti cookie di terze parti. In aggiunta sotto alcuni servizi, c’è oltre al link di rimando alla loro cookie policy anche il link per l’Opt out

http://www.ed.ac.uk/about/website/privacy/third-party-cookies

  • Questi sono di Performance

http://www.ed.ac.uk/about/website/privacy/performance-cookies

  • Questi strettamente Necessari

http://www.ed.ac.uk/about/website/privacy/necessary-cookies

 

ELENCO SERVIZI TERZI PARTI che è possibile ANONIMIZZARE in modo da evitare di doverli bloccare preventivamente

 

Kit Cookies/Guida Cookies (il presente documento non è legge):

https://www.facebook.com/download/1071765236185724/GUIDA_COOKIES.pdf

  • Non è un documento ufficiale del Garante (anche se presentato in sua presenza). E’ un documento di ausilio predisposto dalle Associazioni di categoria, ma non è la normativa di riferimento, né provvedimento né linea guida del garante.

 

Esempi (personali) di policy Cookie & Privacy (tralasciando l’aspetto estetico del sito):

http://bruzzano.com/privacy-policy/ => PRIVACY

http://bruzzano.com/cookies-policy/ => COOKIE (no analytics, ma piwik)http://www.giulianiautomilano.it/cookies.html => COOKIE (utilizzando Analytics)

  • IMPORTANTE nelle Cookie Policy NON vanno inseriti link o altri riferimenti a servizi che non utilizzate, nel senso non state larghi e pensate metto i link anche degli altri servizi, in quanto questo renderebbe la vostra policy ambigua e non corretta (rischio sanzioni anche in questo caso)

ESEMPIO PRATICO:  aggiornare il documento inserendo un:
elenco dei Cookie che rilasciano i principali servizi (Analytics, Gmaps, Calendar, Youtube, Vimeo, Issue, Slideshare etc.,) dove oltre ai nomi dei cookie, è indicata descrizione, alias a cosa servono, scadenza, link rimando a policy terzi e eventuale link per Opt out.

Dr. Leonardo Calabresi Dr. Leonardo Calabresi (91 Posts)

ESPERTO IN: realizzazione siti internet | grafico pubblicitario | indicizzazione e posizionamento siti   Fornisco servizi di consulenza a grandi e piccole imprese, pubbliche amministrazioni e privati coinvolgendo i più innovativi media realizzo siti internet, eCommerce e grafica pubblicitaria. La mia esperienza decennale in studi grafici italiani ed esteri mi permette di Impartire lezioni in: grafica, web, fotografia digitale, video editing e marketing.   CONTATTAMI QUI - Tel. 348.76.23.486


Posted in Strategie e risorse, Uncategorized.

Leave a Reply

Your email address will not be published. Required fields are marked *

I'm not a spammer This plugin created by memory cards