Privacy e Cookie Law dal 2 Giugno 2015 – un poco di chiarezza

A partire dal 2 giugno 2015 entrerà in vigore la norma che obbliga i gestori dei siti internet ad ottenere un consenso esplicito da parte dei visitatori per l’archiviazione dei cookie che non sono strettamente necessari al funzionamento del sito.

Per poter garantire la conformità alla legge è importante visualizzare nel proprio sito web l’informativa, in formato “breve” e completo (la famosa Cookie Policy), e richiedere il consenso all’installazione di cookie.
Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.

Nella pagina prodotto dedicato alla Website Privacy CheckUp si possono trovare alcune delle soluzioni che la nostra azienda offre come servizio ai clienti.


Notizie sulla norma definita Cookie Law che entrerà in vigore il 2 Giugno sta impazzando su tutti i siti internet, mezzi di informazione e newsletter. La stessa associazione degli artigiani CNA invita i suoi iscritti ad adeguarsi e predispone un servizio specifico per i suoi associati.

 

cna-servizio-cookie-law
Ecco la circolare che CNA ha inviato a tutti gli associati

 

La comunicazione, inviata a tutti gli associati, si chiude con questa frase

CNA per far fronte a questa scadenza mette a disposizione consulenti in grado di predisporVi tutta la documentazione necessaria…

Non voglio escludere che un’associazione come la CNA possa svolgere un ottimo servizio anche in un campo come questo, ma sinceramente la prima impressione che mi sono fatto è che si finisca per fare la fine del DPS e della certificazione sulla Privacy relativa alla legge omonima, che tante associazioni e consulenti hanno gestito come mera pratica burocratica, vanificando le finalità primarie del legislatore.

Di privacy e sicurezza informatica, la nostra società si occupa da tanti anni con serietà e professionalità, anche grazie alle collaborazioni di professionisti certificati FederPrivacy come quella con Massimo Castelli che si occupano da anni di consulenza e docenza nel settore, ed offriamo da tempo prodotti come PrivacyLab e servizi quali Privacy CheckUp.

Il processo di messa in sicurezza dei sistemi informatici e la necessità di una formazione tecnica approfondita in materia privacy, sono il primo obbiettivo della norma europea che regola sin dalla legge italiana 196/2003 le problematiche inerenti questa materia: risolvere tutto con una serie di moduli da far firmare ai clienti, un check sul sito da spuntare ed un avviso su di un popup per avvisare della presenza di fantomatici cookie non sono la soluzione!

[su_pullquote align=”right”]Il primo obbiettivo della norma europea è la messa in sicurezza dei sistemi informatici e la formazione tecnica sulla privacy[/su_pullquote]

Purtroppo invece, assistiamo all’esposizione dei dati personali, all’uso di password del tutto insicure e condivise, alla totale mancanza di conoscenza di quelle che sono le più basilari norme di sicurezza e backup dei propri dati, in aziende anche molto strutturate che formalmente sono a norma per gli adempimenti normativi in materia di privacy.

Qualcosa di simile sta succedendo ora con la nuova norma denominata Cookie Law. Su tutti i siti stanno frettolosamente comparendo norme di privacy generate con il copia-incolla (talvolta dimenticandosi pure di cambiare i dati del Titolare al trattamento), campi di autorizzazione consenso (anche dove non servano, ma nel dubbio melius abundare) e popup fastidiosissimi che informano l’utente sull’utilizzo dei cookie, si aprono ogni volta che visitiamo la pagina web (anche se prima magari i cookie non li avevamo neppure, ma ora che abbiamo implementato il plugin anti-cookie sicuramente almeno uno lo stiamo installando).

Il web è pieno di corsi di formazione per utenti e web master (a proposito, in italiano si scrive cookie e non cookies) e PrivacyLab ha realizzato anche un bel corso di certificazione per Privacy Officer.

 

corso-cookie
Il corso organizzato a Bologna dalla fondazione Aldini Valeriani

 

Alcune web agency hanno comunicato ai propri clienti che l’adeguamento alla normativa del proprio sito internet può essere eseguito con “soli 150 Euro”  ma questo è in pieno contrasto con la realtà dei fatti, in quanto in taluni casi non è assolutamente necessario implementare nessuna norma di privacy (ad esempio per i siti che non implementano cookie eseguono statistiche in forma anonima e non raccolgono dati attraverso i form) mentre in altri casi è necessario eseguire una denuncia presso il garante che da sola costa più di 150 euro.

 

Ecco cosa offre una web-agency ai propri clienti
Ecco cosa offre una web-agency ai propri clienti

 

Personalmente ritengo che per fare una giusta valutazione bisogna avere accesso al codice di programmazione del sito, e che i migliori candidati per eseguire questo tipo di incarico siano le web agency che hanno in gestione il sito stesso. Senza questo tipo di competenze tecniche si rischia di applicare incompiutamente la norma e quindi di essere comunque in multa.

Inoltre il processo di assessment non può che essere di tipo periodico, in quanto le condizioni di compliance sono soggette a continue modifiche e richiedono un controllo a scadenze prefissate. Non è un caso che siano nati servizi come PolicyPrivacy che propongono una certificazione periodica della congruità del nostro sito e l’attestano con un apposito bollino.


—  Facciamo un poco di chiarezza sulla normativa

A partire dal 2 giugno 2015 entrerà in vigore la legge n. 229/201 che obbliga i gestori dei siti internet ad ottenere un consenso esplicito da parte dei visitatori per l’archiviazione dei cookie che non sono strettamente necessari al funzionamento del sito.

La norma è uscita a maggio 2014 (vedi comunicato del Garante) e com’è prassi ha fornito a tutti i soggetti ad essa sottoposti, un anno di tempo per adeguarsi. Come succede spesso, in Italia più che in altre parti di Europa, abbiamo aspettato tutti fino all’ultimo giorno, nella speranza che qualcuno rinsavisse ed apportasse qualche cambiamento agli adempimenti.

Per poter garantire la conformità alla legge è importante visualizzare nel proprio sito web l’informativa, in formato “breve” e completo, e richiedere il consenso all’installazione di cookie. L’informativa breve è costituita da un banner ben visibile che verrà mostrato in versione ridotta alla prima apertura della pagina ed, in aggiunta ad indicare alcune informazioni di base, conterrà un link all’informativa estesa (la famosa Cookie Policy).

Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.

 

—  Cookie Policy

La Cookie Policy non deve necessariamente prevedere una lista di tutti i cookie – nome per nome – installati dal sito, ma deve descrivere nel dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva Privacy Policy, alla Cookie Policy e agli eventuali Moduli di consenso.

  • Consenso

Il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina.

  • Blocco dei cookie prima del consenso

Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti che verranno illustrate in seguito. Nella pratica, questo significa che ad esempio i codici che richiamano dei banner o anche semplicemente i codici che gestiscono la live chat non possono essere eseguiti prima di aver ottenuto il consenso (lo ricordiamo, ottenibile anche con il semplice scrolling).

Questo adattamento sarà purtroppo impegnativo per molti siti e richiede modifiche al codice del sito stesso. Il Garante è stato su questo punto molto chiaro ed è necessario adeguarsi se si vuole rispettare la legge.

  • Cookie esenti dall’obbligo di consenso

Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare:

  • cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing ecc…
  • cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik
  • (ancora in fase di discussione) cookie statistici di terze parti (es. Google Analytics), qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo

 

—  In quali casi è necessaria la notifica al Garante?

Si ricorda che l’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Pertanto, nel caso in cui il titolare/gestore del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo, disponibile al seguente link web.garanteprivacy.it.

Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti.

[su_pullquote]Se utilizzi solo cookie di profilazione di terze parti non sarà necessario provvedere alla notificazione[/su_pullquote]

Nel caso in cui, tuttavia, il titolare/ gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione.

Per un approfondimento più dettagliato si consiglia di scaricare la guida messa a punto da Iubenda, il servizio che Farnedi ICT ha deciso di adottare per se e per propri clienti.

[su_icon_text color=”#e81448″ icon=”icon: file-pdf-o” icon_color=”#e81448″ icon_size=”18″ url=”http://andrea.s3.iubenda.com/gkHRyw3pg6/GUIDA-COOKIES.pdf“]Guida Kit per uso Cookie Policy[/su_icon_text]

Qui sotto un video nel quale Ernesto Belisario spiega cosa sono i cookie e per quali finalità vengono usati:
 
Republica-Ernesto-Belisario-Cookie 

 


—  Concludendo come mi devo comportare?

Il problema non è di secondaria importanza, e va affrontato con serietà e professionalità, se si è titolari di un sito internet.

Nel corso delle prossime settimana i tecnici di Farnedi ICT contatteranno tutti i proprietari di siti internet sviluppati con il nostro supporto ed attualmente su di Servizi hosting per WordPress da noi gestiti, offrendo supporto per valutare lo stato di conformità del proprio sito rispetto alla norma e per consigliare gli interventi più adeguati.

Nella pagina Website Privacy CheckUp si possono trovare alcune delle soluzioni che la nostra azienda offre come servizio ai clienti.

Puoi anche provare il nostro semplice on-line wizard che ti dirà se il tuo sito necessita di un intervento: [su_open_form] oppure guarda sul nostro forum la Video-guida per determinare se il vostro sito contiene dei cookie.

In ogni caso, non esitare a contattare il nostro servizio Helpdesk per chiedere una consulenza gratuita.