Quante volte aprendo una pagina web vi è capitato di imbattervi in avvisi come “Questo sito utilizza cookie”? Con banner di questo tipo i gestori di siti web adempiono ai loro obblighi legali, informando gli utenti del fatto che vengono memorizzati dati importanti dell’utente. Secondo la direttiva europea ePrivacy (detta anche Cookie Law), salvare queste informazioni è consentito solo se l’utente dà il proprio consenso. Una procedura cosiddetta di opt-in è ora obbligatoria almeno per i cookie di profilazione: così ha infatti stabilito la Corte di giustizia dell’Unione europea in una recente sentenza. Gli utenti devono acconsentire attivamente e dare il proprio permesso all’utilizzo di cookie.
Con l'’entrata in vigore a livello europeo del Regolamento generale sulla protezione dei dati (GDPR) a maggio 2018, sono cambiate le norme in materia di archiviazione dei dati utenti sensibili anche all’interno dell’Unione Europea. In realtà il nuovo regolamento ePrivacy, la cui bozza è stata presentata ufficialmente dall’UE il 10 gennaio 2017, dovrebbe divenire un’integrazione dettagliata al GDPR in materia di cookie, ma al momento la situazione è ferma. Il Parlamento Europeo finora non è riuscito ad accordarsi su una bozza da presentare e non si prevede prossimamente l’entrata in vigore del regolamento. Perciò rimane sempre valida la normativa europea sui cookie. Ma qual è lo stato attuale della giurisprudenza?
In Germania, un consumatore aveva intentato una causa contro un sito web di giochi d’azzardo in cui veniva posta la domanda relativa all’impostazione dei cookie, ma la casella corrispondente era già spuntata. Per opporsi alla memorizzazione dei cookie gli utenti erano costretti a revocare il consenso con un opt-out. La Corte di giustizia europea, che si è pronunciata su questo tema, si è schierata a favore della protezione dei dati. La procedura deve essere quella dell’opt-in, per cui sono gli stessi utenti a selezionare la casella. Inoltre, il tribunale ha ribadito che gli utenti devono essere informati dei cookie utilizzati. Gli amministratori del sito web dovrebbero pertanto fornire informazioni sulla durata di validità dei file e sullo scopo per cui vengono memorizzati.
Nel frattempo la questione è stata riproposta altre volte e una sentenza del tribunale tedesco ha stabilito che il consenso degli utenti deve avvenire in modo attivo, volontario ed essere dato previa informazione. Ciò significa prima di tutto che un visitatore deve inserire la spunta di consenso autonomamente (in modo attivo), ma qualora non venisse dato questo assenso, ciò non deve andare a discapito della navigazione sul sito (volontario). Infine al visitatore deve essere chiaro quali informazioni sta accettando, in maniera esplicita e senza nascondere nulla in lunghi testi giuridici (previa informazione). Così facendo, si perseguono ora per vie legali anche i cosiddetti dark pattern, nei quali viene utilizzato prevalentemente un web design poco chiaro per costringere gli utenti a compiere una determinata azione (ad esempio dare il proprio consenso a cookie pubblicitari).
Nelle sentenze di questo tipo ci si riferisce ai cookie impiegati per scopi pubblicitari o ai fini di ricerche di mercato. I cookie che sono indispensabili per il funzionamento del sito (ad esempio per i carrelli degli online shop) non rientrano in questa casistica.
I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web sul computer dell’utente. Salvano i dati dell’utente durante la visita di un sito web e aumentano la sua usabilità, ad esempio memorizzano i vostri dati di login sul browser e le preferenze linguistiche, cosicché non dobbiate re-inserirle ogni volta. Di contro a questo aspetto positivo, c’è la critica che spesso i cookie non sono conciliabili con la protezione dei dati personali, visto che molti vengono inseriti per tracciare precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Soprattutto i cookie di tracciamento (tracking cookies) e quelli di targeting sono una vera spina nel fianco.
Un cookie contiene l’indicazione sulla sua durata di vita e un numero, generato in maniera casuale, attraverso il quale viene riconosciuto il vostro computer. Di regola la memorizzazione dei dati dei cookie avviene in maniera anonima.
I dati personali possono essere raccolti solo se si effettua un login sulla pagina e i dati contenuti in una stringa di testo possono essere interpretati solo dal server web che ha posizionato il cookie.
Nell’Unione Europea la direttiva 2009/136/CE dovrebbe garantire e rafforzare la tutela dei dati personali dei visitatori dei siti web. Tale direttiva emanata nel 2009 avrebbe dovuto essere attuata al più tardi nel 2011 da tutti gli stati dell’Unione, ma questo non è accaduto.
La direttiva sui cookie prevede in sostanza che i visitatori di un sito web vengano informati sull’uso di cookie in una forma comprensibile e semplice e per la cui memorizzazione è necessario l’esplicito consenso degli utenti. Secondo la direttiva, i cookie possono essere inseriti senza chiedere il consenso, solo se sono necessari per motivi tecnici: quindi ad esempio per implementare un servizio desiderato dall’utente. Tra questi si contano i cookie di sessione per la memorizzazione delle preferenze linguistiche, quelli che salvano i dati di login e del carrello, oltre che i cookie Flash per la riproduzione dei contenuti multimediali.
Ma per l’uso della maggior parte dei cookie il gestore di un sito web ha bisogno del consenso dell’utente. Questo vale per tutti i cookie che non sono tecnicamente necessari per il funzionamento del sito inclusi quelli pubblicitari, che vengono usati per il retargeting, ma anche quelli analitici e di social media. La direttiva europea non stabilisce però chiaramente come questi obblighi siano da applicare. Soprattutto per quanto concerne il consenso del visitatore regna ancora una grande incertezza.
Con la direttiva sui cookie l’Unione Europea intende proteggere maggiormente i dati personali degli utenti di Internet. A tal fine l’UE fa una distinzione tra cookie tecnici e cookie di profilazione:
Secondo la direttiva sui cookie i cookie necessari possono essere impostati fin dall’inizio, vale a dire anche senza previo consenso dell’utente. D’altro canto, però, i visitatori del sito web devono acconsentire che i cookie salvino dati non necessari. Pertanto la direttiva UE richiede una cosiddetta soluzione di opt-in per i cookie non necessari.
La principale differenza tra opt-out e opt-in è la seguente:
La sentenza della Corte di giustizia europea ha però scosso questa distinzione: infatti l’obbligo di opt-in si applica anche ai cookie riferiti a dati personali. È ancora in discussione se debbano essere approvati anche i cookie tecnicamente rilevanti.
In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie. Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web. Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia a una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengono utilizzati. Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.
In Italia la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014, chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.
Le direttive restano però confuse e non chiarite in via definitiva; inoltre, l’evolversi delle tecnologie richiede normative più recenti, in cui sono contenute indicazioni più esaustive. Per questo motivo molti garanti della privacy europei stanno prendendo delle proprie iniziative per venire incontro alle nuove esigenze degli utenti. Rimane però tutto ancora in via di definizione e in Italia non c’è ancora nessuna nuova linea ufficiale da seguire.
In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito rimane l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina. Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero. Il banner deve contenere le seguenti informazioni:
L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare:
È importante che i cookie tecnici necessari presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti. Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare. Al posto di un banner potete anche usare una finestra pop-up o un lightbox. Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.
In caso di dubbi in materia vi invitiamo a consultare il sito web del Garante della Privacy o a rivolgervi a dei professionisti.
Le bozze attuali del regolamento ePrivacy prevedono un divieto di tutti i cookie tecnicamente non necessari, a meno che gli utenti acconsentano in anticipo al loro utilizzo. La prima bozza parlava solo di applicazioni web. La versione del 22 marzo 2018 include tutti i tipi di comunicazione automatica, come app, e-mail e la raccolta di metadati per le chiamate VoIP. Questo vale anche per la comunicazione tra due macchine, la cosiddetta comunicazione M2M.
Il regolamento ePrivacy dovrebbe interessare anche i fornitori internazionali di servizi di comunicazione. Il regolamento stabilisce che le norme si applichino non appena un terminale si trova all’interno dei confini dell’UE. È irrilevante indicare il momento in cui il trattamento dei dati di un servizio controllato ha luogo.
Se si guarda agli Stati Uniti, la tutela dei dati è meno rigida. Poiché l’ambito di applicazione del regolamento sulla ePrivacy si applica non appena un dispositivo situato in Europa accede ai servizi di comunicazione, le aziende statunitensi dovranno valutare se localizzare per l’Europa le proprie offerte relative ai cookie e quindi inserire pubblicità meno mirata o se azzardarsi a proporre ai clienti un paywall.
La prima bozza del regolamento ePrivacy prevedeva che le impostazioni del browser del produttore fossero generalmente impostate al massimo livello di riservatezza. Ciò significa che il browser non accetta cookie da terze parti. In questo modo verrebbero eliminati i banner attualmente molto diffusi, in quanto gli utenti dovrebbero decidere attivamente di accettare i cookie ogni volta che installano un software. Tale requisito si basava sul principio della “privacy by design” (tutela della privacy fin dalla progettazione) stabilito anche già nel GDPR. La nuova bozza emessa recentemente allenta invece le regole per le impostazioni del browser, lasciando agli utenti il compito di decidere dominio per dominio se accettare o meno i cookie.
Il divieto di abbinare più consensi stabilisce che la visita di un sito web non può essere subordinata all’accettazione da parte dell’utente dell’utilizzo dei cookie. Tuttavia vi sono anche scopi legittimi che possono richiedere l’uso di cookie. Ad esempio sono spesso necessari quando un utente deve autenticarsi con l’home banking o quando desidera utilizzare il carrello di un negozio online. Se i gestori del sito web informano gli utenti in modo chiaro e comprensibile circa lo scopo dei cookie, il consenso e l’uso possono essere combinati.
I gestori di siti web dovrebbero seguire attentamente gli ulteriori sviluppi sull’applicazione delle direttive europee sui cookie perché la situazione giuridica cambierà sicuramente con il regolamento ePrivacy, anche se non è ancora chiaro quanto sarà rigoroso. Il regolamento generale dell’UE sulla protezione dei dati contiene ulteriori disposizioni per la sicurezza dei dati personali degli utenti. Finché il regolamento ePrivacy non sarà ancora giuridicamente vincolante, i cookie rientrano nella sfera d’influenza della Cookie Law italiana, nella misura in cui raccolgono dati che consentono di identificare un utente in qualsiasi modo (numero di identificazione, profilo dell’utente, ecc.).
Negli ultimi anni i siti web italiani si sono orientati maggiormente alla direttiva sui cookie, a maggior ragione se, ad esempio, vendevano merci in altri paesi dell’UE tramite un negozio online e in mercati di destinazione che interpretavano le normative europee in modo più restrittivo. In più la politica in materia di cookie nell’Unione Europea ha avuto un impatto anche sul cosiddetto retargeting (retargetizzazione), in cui gli esperti di marketing online cercano di incoraggiare gli acquirenti a effettuare ulteriori transazioni utilizzando cookie di rilevamento.
Ma con l’introduzione del Regolamento generale sulla protezione dei dati si applicheranno norme più severe per il trattamento dei dati personali anche nel nostro paese. A beneficiare dall’attuazione di tali norme saranno gli stessi gestori di siti web, che potranno risparmiarsi molto lavoro se successivamente la “nuova direttiva sui cookie” diventerà giuridicamente valida sotto forma di regolamento ePrivacy.
Vi preghiamo di osservare la nota legale relativa a questo articolo.
Dal 25 maggio 2018 è entrata in vigore la nuova legge europea in materia di protezione dei dati. Vi riassumiamo tutte le informazioni più importanti del RGPD. Quali leggi sono state cambiate? Quali misure è necessario adottare per mantenere una gestione dei dati conforme alla legge? E che cosa pensano gli esperti di queste regole?
Siete intenzionati a comprare un articolo online, lo avete aggiunto al carrello, ma non siete ancora sicuri al 100% e ci volete dormire sopra? Grazie ai cookie il giorno successivo non sarà necessario eseguire da capo l’operazione. Ma ci sono cookie e cookie e non tutti servono solo a facilitarvi la navigazione in Internet. Alcuni infatti hanno come unico obiettivo quello di raccogliere dati e...
Quando si parla di cookie è necessario distinguerli tra first party e third party. I primi servono a migliorare l’usabilità del sito Internet memorizzando le preferenze degli utenti e le loro informazioni e mettendole automaticamente a disposizione quando necessario. I dati sono a disposizione solamente di chi gestisce il sito e inaccessibili a terze parti. Ma come funzionano i first party cookies...
Con la crescente importanza della privacy è sempre più frequente imbattersi in norme a tutela di questo importante diritto dei cittadini: da gennaio anche la California ha una propria normativa grazie al California Consumer Privacy Act (CCPA). Ma di che cosa si tratta nello specifico? E quali saranno gli effetti sui siti statunitensi e su quelli europei? Vi forniamo le informazioni principali al...
I plug-in per cookie sono di fondamentale importanza per gli amministratori dei progetti WordPress quando si tratta di utilizzare cookie in conformità alla legge. Chiunque utilizzi cookie che non sono tecnicamente necessari deve ora utilizzare l’“opt-in” per ottenere il consenso attivo dei visitatori del sito web. Vi presentiamo i migliori plug-in per creare un’informativa per i cookie di...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Dominio gratis Certificato SSL Wildcard incluso Assistenza clienti 24/7