Il 2 giugno 2015 è diventato obbligatorio il Provvedimento del Garante per la protezione di dati personali n. 229/2014 relativo all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.
La legge parte da un concetto molto semplice: fare in modo che gli utenti siano sempre informati circa l’uso dei cookie da parte dei siti che stanno visitando e che abbiano la possibilità di rifiutarne l’installazione.
Se in linea teorica il principio alla base è chiaro, il passaggio alla pratica risulta piuttosto complesso e, nonostante i tentativi di chiarimento in materia, ufficiali e non, la confusione su ciò che deve essere fatto da parte dei gestori dei siti è ancora tanta.
Dato che il provvedimento si applica a tutti i siti e alla loro navigazione da qualsiasi terminale/device utilizzato, e che le sanzioni che possono essere inflitte sono piuttosto elevate, proviamo a ricapitolare cercando di fare un po’ di chiarezza laddove è possibile.
Cosa sono i cookie?
Innanzi tutto cerchiamo di capire cosa sono i cookie e a cosa servono.
I cookie sono piccoli file di testo che i siti web inviano ai terminali dei visitatori, in grado di raccogliere informazioni sul loro comportamento. Possono essere utilizzati per scopi diversi, fra cui permettere il corretto funzionamento dei siti web, raccogliere dati statistici e servire messaggi pubblicitari.
Proprio perchè raccolgono informazioni, l’utilizzo dei cookie ha da sempre sollevato molti interrogativi legati al rispetto della privacy degli utenti. Questo ha portato i Browser ad introdurre tutte le funzioni necessarie per gestire i cookie, bloccandoli, filtrandoli o cancellandoli.
In linea generale, però, è sempre consigliabile valutare quali cookie bloccare o rimuovere per non rischiare di compromettere il funzionameno dei siti a cui vuole accedere: di fatto il blocco totale dei cookie non consentirebbe, per esempio, l’uso di un e-commerce e renderebbe necessario ripetere il login tutte le volte che si accede a servizi con Facebook o Gmail.
Cookie tecnici vs Cookie di profilazione
La legge specifica chiaramente che nessun cookie può essere installato, ad eccezione dei cookie tecnici, prima che l’utente fornisca il proprio consenso all’uso dei cookie.
Cosa significa? Qual è la differenza fra cookie tecnici e cookie di profilazione?
E’ il Garante stesso a chiarire, in questa pagina ( http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077 ) , che cosa intende.
I cookie tecnici "sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall'utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web."
I cookie di profilazione, invece, "sono i cookie utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell'utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online."
- per cookie tecnici si intendono:
- i cookie relatività ad attività strettamente necessarie al funzionamento e all’erograzione del servizio
- i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione
- i cookie di statistica, laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata
- per cookie di profilazione si intendono:
- cookie di profilazione pubblicitaria di prima o di terza parte
- cookie di retargeting
- cookie di social network
- cookie di statistica gestiti completamente dalle terze parti
Sempre nel kit di implementazione viene fatta una precisazione importante e cioè che esistono due strumenti di analytics che possono essere fatti rientrare nella categoria dei cookie tecnici:
- cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazioni da parte di terzi (ad esempio, strumenti come Piwik)
- cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.
Fatte queste premesse, proviamo a rispondere alle domande che con ogni probabilità vi state ponendo?
Nel mio sito utilizzo solo cookie tecnici. Cosa devo fare?
La legge prevede che i cookie tecnici possono essere rilasciati già al primo accesso di un browser al sito e che non è necessario richiedere all’utente il consenso per il loro utilizzo.
In questo caso non è necessario fornire all’utente l’informativa breve ma deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito.
Dunque quello che devi fare è:
- Se hai attivato Google Analytics verificare di aver anonimizzato l’IP: in questo modo anche i cookie relativi a questo servizio vengono considerati tecnici.
- Prepara una Cookie Policy o integra la Privacy Policy del tuo sito con tutte le informazioni relative alla gestione dei cookie. Inserisci il link alla Policy direttamente nel footer del sito in modo che sia raggiungibile da tutte le pagine.
Nel mio sito utilizzo anche cookie di profilazione. Cosa devo fare?
La legge prevede che cookie di profilazione devono essere bloccati fino a che l’utente non ha espresso il consenso al loro utilizzo. In questi casi occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve tramite un banner dinamico. Oltre a questo, dovrà essere sempre presente anche l’informativa estesa.
Dunque quello che devi fare è:
- Blocca il rilascio dei cookie fino a che l’utente non ha espresso il suo consenso.
- Prepara un’informativa breve e fai in modo che venga visualizzata in tutte le pagine di accesso al sito attraverso un banner.
- Prepara una Cookie Policy o integra la Privacy Policy del tuo sito con tutte le informazioni relative alla gestione dei cookie.
- Inserisci il link alla Policy direttamente nel footer del sito in modo che sia raggiungibile da tutte le pagine.
Sul mio sito ho attivato Google Analytics. Come faccio ad anonimizzare l’IP perchè i suoi cookie possano essere considerati tecnici?
Per impostazione predefinita, Google Analytics utilizza l'intero indirizzo IP degli utenti di un Sito Web per fornire dati geografici di carattere generale nei rapporti. Attivando la mascheratura dell'indirizzo IP, Google Analytics rimuove l'ultimo ottetto dall'indirizzo IP dell'utente prima di utilizzarlo e memorizzarlo. In questo modo si riduce leggermente la precisione dei rapporti geografici.
Cookie nel Sito www.pitagorataranto.gov.it
Il sito www.pitagorataranto.gov.it ha attivato l'anonimizzazione dell'indirizzo IP dei visitatori, anche se non ha attivato Google Analytics. Vengono pertanto utilizzati solo cookie tecnici per consentire la navigazione, anche verso altri siti dove vengono reindirizzati gli utenti. Saranno pertanto questi siti se utilizzano cookie di profilazione a richiedere la necessaria autorizzazione agli utenti.
Nel Footer delle pagine del sito è stato inserito un contatore di visite gestito da ShinyStat in modo gratuito.
In base alla nuova normativa in vigore dal 25/05/2018 i siti che usufruiscono di questo servizio devono consentire al visitatore di autorizzare o meno l'utilizzo di cookie di profilazione. Pertanto su indicazioni della società ShinyStat si inserisce il link informativo: