Telefono: +39 392 33 73 731

Privacy e Cookie per i siti web entro 3 giugno 2015

Restano pochi giorni per adeguare i siti web alle nuove regole del Garante Privacy, chi resta irregolare rischia sanzioni molto salate: da 6 mila a 36 mila euro.
Oggi mancano 20 giorni al termine e vedo ancora molti siti non conformi, secondo me non è stata fatta una buona comunicazione sull'argomento, e ci sono ancora delle imprecisioni e dubbi. Oggi cerco di chiarire alcuni aspetti e trovare una soluzione valida per il 90% dei siti web.

Le informazioni ufficiali del Garante Privacy

Iniziamo dalla legge e dal sito del Garante, le modalità sono descritte nel provvedimento n. 229 dell'8 maggio 2014. Leggibile in questa pagina e pubblicato nella Gazzetta Ufficiale n. 126 del 3 giugno 2014.

Hanno preparato anche un video esplicativo in questa pagina http://www.garanteprivacy.it/cookie, è diffuso in Youtube ma devo notare che oggi conta solo 20.000 visite, una inezia se pensiamo ai numeri che riescono a fare certi video stupidissimi.

Cosa bisogna controllare sul proprio sito

Prima di tutto bisogna sapere se il sito ha solo cookies tecnici e temporanei, oppure se usa anche cookies di profilazione, persistenti e/o cookies di terze parti. La distinzione è importante perché determina obblighi differenti.

  • Nel primo caso non c'è obbligo di avvisare preventivamente l'utente tramite banner, basta una piccola integrazione nella pagina Privacy Policy, e non c'è obbligo di notificazione al Garante.
  • Nel secondo caso bisogna inserire il banner in alto nella pagina, con l'informativa breve ed integrare la pagina Privacy Policy con l'informativa estesa. In caso di cookies di profilazione gestiti dal proprio sito è anche obbligatoria la notificazione al Garante. Questo deve essere fatto prima di iniziare il trattamento dati.

Qualunque sia il caso, bisogna correggere la pagina dell'informativa sulla privacy. Tale pagina dovrebbe già essere presente nel sito poiché è obbligatoria da anni. Deve essere mostrata ogni volta che si chiedono i dati agli utenti (tipicamente alla fine dei form viene messo un checkbox di consenso ed un link alla pagina Privacy, il checkbox deve essere abilitato dall'utente).

Se tale pagina non è raggiungibile facilmente, suggerisco di aggiungere un link "Privacy Policy" nel menu principale oppure nel footer del sito (come fa il Garante stesso). Infatti con questi nuovi obblighi non è necessario che l'utente compili un form, basta che siano presenti i cookies, quindi per trasparenza bisognerebbe rendere accessibile la pagina.

Normalmente i siti statici non hanno cookies, e quelli dinamici ne hanno di tecnici e temporanei, strettamente necessari al funzionamento. Rispettando queste condizioni il sito non ha obbligo di avvisare gli utenti con il banner, infatti vediamo che il sito del Garante ne è sprovvisto, questo perché: ha solo cookies tecnici, e per le statistiche usa Piwik (un sistema che raccoglie dati presso il server interno), non usa servizi di terze parti come Google Analytics.
Analizzando ulteriormente il codice sorgente della pagina trovo un meta "google-site-verification" ma oltre a questo non c'è un codice di monitoraggio di Google, quindi forse era presente ma è stato rimosso. Credo abbiano cercato per primi di non avere obblighi per l'utilizzo di cookies terze parti.

Se non riuscite a rispettare le condizioni richieste bisogna preparare il banner con l'informativa breve, deve apparire almeno la prima volta che l'utente entra nel sito, da qualsiasi pagina arrivi. Deve essere visibilmente separato dal resto della pagina. Deve contenere una frase che indica che state usando cookie di profilazione, e/o di terze parti, e deve contenere un link all'iformativa estesa (cioè la pagina Privacy Policy). Deve inoltre avvisare l'utente che una qualsiasi sua azione, interagendo con il sito, o chiudendo il banner, equivale a prestare il consenso.

Fatto questo dovete occuparvi dell'informativa estesa contenuta nella Privacy Policy, questa deve essere sempre presente, anche se quella breve è assente. Deve indicare cosa sono i cookie e come l'utente può disattivarli (indicazioni fornite dai browser, oppure un link ad un sito che fornisce modalità per riconoscerli e disattivarli http://www.youronlinechoices.com/it/le-tue-scelte). Si ripete la frase su come l'utente presta il consenso (cioè continuando a navigare). Poi bisogna elencare i cookie tecnici, di profilazione, di terze parti, e per ognuno indicare le finalità. In caso di cookie proprietari di profilazione, cioè rilasciati dal vostro sito, bisogna dare possibiità di disattivarli singolarmente tramite un modulo, inoltre avete anche l'obbligo di notifica al Garante (se non ottemperate si parla di sanzioni da 20 mila a 120 mila euro). In caso di cookie di profilazione di terze parti invece bisogna mettere link al sito che li gestisce, infatti l'onere di notifica e gestione di tali cookie ricade sulla terza parte.

Una ambiguità irrisolta: i cookies analytics sono tecnici o di profilazione?

La prima ambiguità nella legge riguarda i cookies analytics, infatti viene detto: "cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;"

Poi nelle F.A.Q. viene detto ancora:

4. I cookie analytics sono cookie "tecnici"?

No. Il Garante (cfr. provvedimento dell'8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.


Il soggetto nelle frasi è "il gestore del sito", e "il titolare del sito stesso", quindi una persona fisica o giuridica. Appare indifferente che il soggetto utilizzi tecnologie proprie o di terze parti, e che i dati li raccoga nel proprio server o altrove. Inoltre i dati raccolti consistono in informazioni che non consentono l'identificazione personale degli utenti. A queste condizioni i cookies di Google Analytics sarebbero da considerare assimilati ai tecnici.

Però il Garante è ambiguo perché sempre nella legge, tende a confondere il soggetto da persona a software/server, infatti quando parla di cookies tecnici scrive "Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web." Ovviamente nessuna persona installa cookies a tutte le ore, ci sono script programmati a farlo automaticamente. Questa frase ha senso se cambiamo il soggetto da "il titolare" a "il software/sito/server del titolare". Inoltre dicendo che sono "normalmente installati", non si fa un assoluto, si ammette che possano essere installati "anche" da terzi.

Se accettiamo che il legislatore tratta indistintamente i soggetti, e commette la stessa imprecisione anche nelle frasi sui cookies analytics, ne risulta che stava parlando del software/server/sito, e non della persona, quindi l'uso di Google sarebbe irregolare.

Uso il condizionale perchè è ancora una questione di interpretazione, perché Google non installa cookies, ma fornisce lo script per generarli. E' il titolare del sito ad avere inserito il codice di monitoraggio nelle proprie pagine web, inoltre il cookie viene tecnicamente generato dal sito appena viene visitata una pagina (dettagli sul cookie di Google qui: https://developers.google.com/analytics/devguides/collection/analyticsjs/domains), quindi lo scenario cambia ancora: i cookies Google Analytics sono creati dal sito per effetto dell'installazione del gestore. Quindi usare Google è regolare.

Queste cavillose disquisizioni vanno a sommarsi al fatto che il sito del Garante rinuncia a Google Analytics in favore di Piwik, quindi mi fa pensare che loro stessi abbiano qualche scrupolo su come interpretare le parole del legislatore a riguardo dei Cookies Analytics.

Cosa suggerisco di fare in caso di Google Analytics

Quando parlo di Google Analytics intendo il servizio semplice. Quindi attenzione che escludo i servizi aggiuntivi quali AdSense, AdWords e Remarketing. In tali casi si tratta di cookie di profilazione.

Considerati i dubbi sui cookie analytics, e finché non faranno chiarezza in modo ufficiale. Al momento suggerisco di ottemperare al meglio delle possibilità. Ho in mente tre possibili azioni.

A) Rimuovere Google Analytics e rinunciare interamente alle statistiche web. Niente cookie, niente terzi, fine del problema.

B) Sostituire Google Analytics con Piwik, che è una applicazione web Open Source installata presso il proprio server. Elabora praticamente tutte le statistiche utili, dettagli nel loro sito web: piwik.org
E' la soluzione adottata dal sito del Garante. In questo caso si rientra facilmente a norma di legge perché si esclude l'incertezza su come interpretare le terze parti, e i dati non vengono inviati a server esterni. Praticamente si gioca in casa.

C) Tenere Google Analytics, però aggiungere il banner di avviso nel proprio sito web, in cui si indica l'uso di cookie terze parti. Nella legge viene detto che non si può essere responsabili per le azioni dei terzi, tuttavia si funge da intermediari, quindi nella nota estesa alla pagina Privacy Policy bisogna fornire i link alle informazioni di Google cioè:
Policy protezione dei dati di Google: https://www.google.com/analytics/learn/privacy.html?hl=it
Tipi di cookie usati da Google: https://www.google.com/intl/it/policies/technologies/types/
Istruzioni per disabilitare il cookie Google Analytics: https://tools.google.com/dlpage/gaoptout

Altri obblighi sulla privacy, facciamo un riassunto

Visto che controlli la pagina, perché non verifichi se stai ottemperando anche agli altri obblighi di legge?

Quando si chiedono i dati anagrafici all'utente è obbligatorio che l'utente dia il consenso informato al trattamento dei dati personali. Ciò si esprime con un checkbox che deve attivare. La legge risale al 2003 (art. 161, D.Lgs. 196/2003).
Nella pagina della Privacy Policy bisogna indicare:

  • scopi e modalità del trattamento cui sono destinati i dati
  • obblighi dell'informato nel fornire o meno i dati
  • conseguenze cui va incontro l'interessato in caso di rifiuto
  • nominativo delle persone, enti o società a cui possono essere forniti i dati
  • diritti riconosciuti all'interessato
  • nominativo del titolare e del responsabile del trattamento dei dati e relativi contatti

Oltre a quanto previsto dal codice sulla privacy, il sito di una azienda o un professionista deve indicare altre informazioni obbligatorie, scopri quali in questo articolo

 

Martedì 12 Maggio 2015
(0 commenti)

Aggiungi un commento

Nome
E-mail (non verrà pubblicata)
Sito Web
Commento