Quante volte aprendo una pagina web vi è capitato di imbattervi in avvisi come “Questo sito utilizza cookie”? Con banner di questo tipo i gestori di siti web adempiono ai loro obblighi legali, informando gli utenti del fatto che vengono memorizzati dati importanti dell’utente. Secondo la direttiva europea ePrivacy (detta anche Cookie Law), salvare queste informazioni è consentito solo se l’utente dà il proprio consenso. Una procedura cosiddetta di opt-in è ora obbligatoria almeno per i tracking cookie: così ha infatti stabilito la Corte di giustizia dell’Unione europea in una nuova sentenza. Gli utenti devono acconsentire attivamente e dare il proprio permesso all’utilizzo di cookie.
Con l'entrata in vigore a livello europeo del regolamento generale sulla protezione dei dati (GDPR) a maggio 2018, sono cambiate le norme in materia di archiviazione dei dati utenti sensibili anche all’interno dell’Unione Europea. In realtà il nuovo regolamento sulla ePrivacy, la cui bozza è stata presentata ufficialmente dall'UE il 10 gennaio 2017, dovrebbe divenire vincolante a partire dal 2020 sostituendo la Direttiva UE sui cookie e integrando le nuove normative. Ma qual è lo stato attuale della giurisprudenza?
In Germania, un consumatore aveva intentato una causa contro un sito web di giochi d’azzardo in cui veniva posta la domanda relativa all’impostazione dei cookie, ma la casella corrispondente era già spuntata. Per opporsi alla memorizzazione dei cookie gli utenti erano costretti a revocare il consenso con un opt-out. La Corte di giustizia europea, che si è pronunciata su questo tema, si è schierata a favore della protezione dei dati. La procedura deve essere quella dell’opt-in, per cui sono gli stessi utenti a selezionare la casella. Inoltre, il tribunale ha ribadito che gli utenti devono essere informati dei cookies utilizzati. Gli operatori del sito web dovrebbero pertanto fornire informazioni sulla durata di validità dei file e sullo scopo per cui vengono memorizzati.
Tuttavia non c’è ancora chiarezza riguardo alla gestione dei cookie: esistono cookie senza i quali un sito web non può funzionare senza errori. I carrelli degli shop online, ad esempio, funzionano grazie a questi file di piccole dimensioni. In realtà la Corte di giustizia dell’Unione europea nella sentenza afferma che non soltanto i cookie che si riferiscono alla persona devono essere approvati dall’utente. Tuttavia sulla lettura di questa sentenza i pareri differiscono; gli esperti concordano unicamente sul fatto che soltanto un regolamento globale sulla e-privacy sarà in grado di dissipare definitivamente i dubbi.
I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web sul computer dell’utente. Salvano i dati dell’utente durante la visita di un sito web e aumentano la sua usabilità, ad esempio memorizzano i vostri dati di login sul browser e le preferenze linguistiche, cosicché non dobbiate re-inserirle ogni volta. Di contro a questo aspetto positivo, c’è la critica che spesso i cookie non sono conciliabili con la protezione dei dati personali, visto che molti vengono inseriti per tracciare precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Soprattutto i cookie di tracciamento (tracking cookies) e quelli di targeting sono una vera spina nel fianco.
Un cookie contiene l’indicazione sulla sua durata di vita e un numero, generato in maniera casuale, attraverso il quale viene riconosciuto il vostro computer. Di regola la memorizzazione dei dati dei cookie avviene in maniera anonima.
I dati personali possono essere raccolti solo se si effettua un login sulla pagina e i dati contenuti in una stringa di testo possono essere interpretati solo dal server web che ha posizionato il cookie.
Nell’Unione Europea la direttiva 2009/136/EG dovrebbe garantire e rafforzare la tutela dei dati personali dei visitatori di un sito web. Tale direttiva emanata nel 2009 avrebbe dovuto essere attuata al più tardi nel 2011 da tutti gli stati dell’Unione, ma questo non è accaduto.
La direttiva sui cookie prevede in sostanza che i visitatori di un sito web vengano informati sull’uso di cookie in una forma comprensibile e semplice e per la cui memorizzazione è necessario l’esplicito consenso degli utenti. Secondo la direttiva, i cookie possono essere inseriti senza chiedere il consenso, solo se sono necessari per motivi tecnici: quindi ad esempio per implementare un servizio desiderato dall’utente. Tra questi si contano i cookie di sessione per la memorizzazione delle preferenze linguistiche, quelli che salvano i dati di login e del carrello, oltre che i cookie Flash per la riproduzione dei contenuti multimediali.
Ma per l’uso della maggior parte dei cookie il gestore di un sito web ha bisogno del consenso dell’utente. Questo vale per tutti i cookie che non sono tecnicamente necessari per il funzionamento del sito inclusi quelli pubblicitari, che vengono usati per il retargeting, ma anche quelli analitici e di social media. La direttiva europea non stabilisce però chiaramente come questi vincoli siano da applicare. Soprattutto per quanto concerne il consenso del visitatore regna ancora una grande incertezza.
Il nuovo regolamento sulla ePrivacy è inteso a disciplinare questo aspetto una volta per tutte. L'attuale progetto vieta tutti i cookie tecnicamente non necessari a meno che gli utenti acconsentano in anticipo al loro utilizzo. La prima bozza parlava solo di applicazioni web. La versione del 22 marzo 2018 include tutti i tipi di comunicazione automatica, come app, e-mail e la raccolta di metadati per le chiamate VoIP. Questo vale anche per la comunicazione tra due macchine, la cosiddetta comunicazione M2M.
Il regolamento relativo alla privacy elettronica dovrebbe interessare anche i fornitori internazionali di servizi di comunicazione. Il regolamento stabilisce che le norme si applichino non appena un terminale si trova all'interno dei confini dell'UE. È irrilevante indicare il momento in cui il trattamento dei dati di un servizio controllato ha luogo.
Se si guarda oltreoceano, la tutela dei dati è meno rigida. Nel cosiddetto caso Irlanda un tribunale distrettuale statunitense ha voluto costringere Microsoft a rendere accessibili i dati relativi ai suoi clienti cittadini dell'UE presenti negli Stati Uniti. Siccome Microsoft ha la propria sede centrale a Redmond, nello stato di Washington, è soggetta alla legge ivi in vigore.
Tuttavia i dati dei clienti europei sono conservati e protetti in Germania da un’azienda affiliata di Deutsche Telekom, T-Systems. Poiché la legge americana si applica solo sul territorio americano, la sentenza è stata rinviata in primo grado. Ma il processo è ancora in corso. Resta da vedere in che misura la legislazione europea e quella americana continueranno a mettersi i bastoni tra le ruote a vicenda.
Poiché l'ambito di applicazione del regolamento sulla ePrivacy si applica non appena un dispositivo situato in Europa accede ai servizi di comunicazione, le aziende statunitensi dovranno valutare se localizzare all'Europa le proprie offerte relative ai cookie e quindi inserire pubblicità meno mirata o se azzardarsi a proporre ai clienti con un paywall.
Con la direttiva sui cookie l’Unione Europea intende proteggere maggiormente i dati personali degli utenti di Internet. A tal fine l’UE fa una distinzione tra cookie tecnici e cookie di profilazione:
Secondo la direttiva sui cookie i cookie necessari possono essere impostati fin dall’inizio, vale a dire anche senza previo consenso dell’utente. D’altro canto, però, i visitatori del sito web devono acconsentire che i cookie salvino dati non necessari. Pertanto la direttiva UE richiede una cosiddetta soluzione di opt-in per i cookie non necessari.
La principale differenza tra opt-out e opt-in è la seguente:
La nuova sentenza della Corte di giustizia europea ha però scosso questa distinzione: infatti l’obbligo di opt-in si applica anche ai cookie non personali. È ancora in discussione se debbano essere approvati anche i cookie tecnicamente rilevanti.
La prima bozza del regolamento ePrivacy prevedeva che le impostazioni del browser del produttore fossero generalmente impostate al massimo livello di riservatezza. Ciò significa che il browser non accetta cookie da terze parti. In questo modo verrebbero eliminati i banner di cookie attualmente molto diffusi, in quanto gli utenti dovrebbero decidere attivamente di accettare i cookie ogni volta che installano un software. Tale requisito si basava sul principio della "privacy by design" (tutela della privacy fin dalla progettazione) stabilito anche già nel GDPR. La nuova bozza emessa recentemente allenta invece le regole per le impostazioni del browser, lasciando agli utenti il compito di decidere dominio per dominio se accettare o meno i cookie.
Il divieto di abbinare più consensi stabilisce che la visita di un sito web non può essere subordinata all'accettazione da parte dell'utente dell'utilizzo dei cookie. Tuttavia vi sono anche scopi legittimi che possono richiedere l'uso di cookie. Ad esempio sono spesso necessari quando un utente deve autenticarsi con l'home banking o quando desidera utilizzare il carrello della spesa di un negozio online. Se i gestori del sito web informano gli utenti in modo chiaro e comprensibile circa lo scopo dei cookie, il consenso e l'uso possono essere combinati.
Nella direttiva europea sui cookie rimane aperta la questione se gli utenti debbano acconsentire all’uso dei cookie prima che queste stringhe di testo registrino i dati dell’utente (opt-in) o se il gestore del sito web possa usarli fin dall’inizio e l’utente può opporsi solo in seguito (opt-out). Nell’opt-in è necessario in via preliminare il consenso dell’utente per la memorizzazione dei dati, l’opt-out offre la possibilità al visitatore del sito web di non dare il consenso solo a posteriori.
Poiché la politica sui cookie non definisce esattamente se l’archiviazione dei dati possa essere autorizzata dall’inizio, è stata implementata diversamente in Europa fino all’introduzione del GDPR. La maggior parte dei paesi dell’Unione Europea ha incorporato i requisiti nelle rispettive legislazioni nazionali, anche se in alcuni paesi è stato prescritto l’opt-in e in altri l’opt out. Altri hanno persino lasciato le loro disposizioni completamente aperte. Nel complesso, l’attuazione della politica sui cookie nell’Unione Europea è stata tutt’altro che uniforme.
In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie. Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web. Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia ad una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengano utilizzati. Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.
In Italia la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014, chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.
Nonostante le direttive restino confuse e non chiarite in via definitiva, la Commissione Europea si dice soddisfatta dalla politica italiana sull’uso dei cookie. Dal 2 giugno 2015 se un sito web italiano non si è adeguato alla EU Cookie Law può incorrere in sanzioni anche molto salate.
Inoltre dal 25 maggio 2018 il codice in materia di protezione dei dati personali viene applicato conformemente al regolamento GDPR dell'UE. Sebbene il codice nazionale non entri ancora nei dettagli per quanto riguarda i cookie come fa invece il regolamento ePrivacy, la giurisdizione italiana stabilisce che la memorizzazione dei dati personali è consentita solo con il consenso (vale a dire l'opt-in) della persona fisica interessata. La raccolta e l'elaborazione dei dati possono servire solo allo scopo per il quale l’utente ha acconsentito. Infine i siti web hanno l'obbligo di ricordare ciclicamente ai propri visitatori che essi possono avvalersi in ogni momento del diritto di ottenere la cancellazione dei propri dati.
In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito è l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina. Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero. Il banner deve contenere le seguenti informazioni:
L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare:
È importante che i cookie tecnici necessari (quelli per cui l’utente non deve dare il consenso) presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti. Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare. Al posto di un banner potete anche usare una finestra pop-up o un lightbox. Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.
In caso di dubbi in materia, vi invitiamo a consultare il sito web del Garante della Privacy o a rivolgervi a dei professionisti, visto che questo articolo ha scopo puramente informativo e non sostituisce in alcun modo una consulenza legale.
I gestori di siti web dovrebbero seguire attentamente gli ulteriori sviluppi sull’applicazione delle direttive europee sui cookie la situazione giuridica cambierà sicuramente con il regolamento ePrivacy, anche se non è ancora chiaro quanto sarà rigoroso. Il regolamento generale dell'UE sulla protezione dei dati contiene ulteriori disposizioni per la sicurezza dei dati personali degli utenti. Finché il regolamento ePrivacy non sarà ancora giuridicamente vincolante, i cookie rientrano nella sfera d'influenza della Cookie Law italiana, nella misura in cui raccolgono dati che consentono di identificare un utente in qualsiasi modo (numero di identificazione, profilo dell'utente, ecc.).
Negli ultimi anni i siti web italiani si sono orientati maggiormente alla direttiva sui cookie, a maggior ragione se, ad esempio, vendevano merci in altri paesi dell'UE tramite un negozio online e in mercati di destinazione che interpretavano le normative europee in modo più restrittivo. In più la politica in materia di cookie nell'Unione Europea ha avuto un impatto anche sul cosiddetto retargeting (retargetizzazione), in cui gli esperti di marketing online cercano di incoraggiare gli acquirenti a effettuare ulteriori transazioni utilizzando cookie di rilevamento.
Ma con l'introduzione del Regolamento generale sulla protezione dei dati si applicheranno norme più severe per il trattamento dei dati personali anche nel nostro paese. A beneficiare dall’attuazione di tali norme saranno gli stessi gestori di siti web, che potranno risparmiare molto lavoro se successivamente la "nuova direttiva sui cookie" diventerà giuridicamente valida sotto forma di regolamento ePrivacy.
Vi preghiamo di osservare la nota legale relativa a questo articolo.
Dal 25 maggio 2018 è entrata in vigore la nuova legge europea in materia di protezione dei dati. Vi riassumiamo tutte le informazioni più importanti del nuovo RGPD. Quali leggi sono state cambiate? Quali misure è necessario adottare per mantenere una gestione dei dati conforme alla legge? E che cosa pensano gli esperti delle nuove regole?
L’UE sta pianificando di rafforzare significativamente la protezione dei dati online: con il Regolamento sull’ePrivacy la raccolta di dati personali dovrebbe essere permessa solo previo consenso esplicito da parte degli utenti. Fino a ora c’è però poca certezza riguardo al contenuto della ePrivacy Regulation. Per questo motivo abbiamo riassunto in questo articolo le informazioni trapelate fino a...
Siete intenzionati a comprare un articolo online, lo avete aggiunto al carrello, ma non siete ancora sicuri al 100% e ci volete dormire sopra? Grazie ai cookie il giorno successivo non sarà necessario eseguire da capo l’operazione. Ma ci sono cookie e cookie e non tutti servono solo a facilitarvi la navigazione in Internet. Alcuni infatti hanno come unico obiettivo quello di raccogliere dati e...
Quando si parla di cookie è necessario distinguerli tra first party e third party. I primi servono a migliorare l’usabilità del sito Internet memorizzando le preferenze degli utenti e le loro informazioni e mettendole automaticamente a disposizione quando necessario. I dati sono a disposizione solamente di chi gestisce il sito e inaccessibili a terze parti. Ma come funzionano i first party cookies...
Con la crescente importanza della privacy è sempre più frequente imbattersi in norme a tutela di questo importante diritto dei cittadini: da gennaio anche la California ha una propria normativa grazie al California Consumer Privacy Act (CCPA). Ma di che cosa si tratta nello specifico? E quali saranno gli effetti sui siti statunitensi e su quelli europei? Vi forniamo le informazioni principali al...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Dominio gratis Certificato SSL Wildcard incluso Assistenza Clienti 24/7