03 giugno 2015 | 18:10

Sanzioni fino a 120mila euro per i siti che non rispettano la ‘cookie law’ in vigore dal 3 giugno

Dal 3 giugno i siti web che non si sono adeguati alla cosiddetta cookie law rischiano sanzioni molto pesanti, da 6mila fino a 120mila euro. Entra in vigore infatti il provvedimento del Garante della privacy n. 229 del 2014  sulle modalità per informare gli utenti dei siti e acquisire il loro consenso sull’uso dei cookie, diffusissimi strumenti che servono sia per migliorare le funzionalità dei siti web, sia per profilare gli utenti dei siti stessi a scopo statistico e pubblicitario.

Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali

Come spiega il Garante nella privacy nelle Faq sul provvedimento, i cookie (letteralmente ‘biscottini’) sono “piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva”. I cookie possono essere impostati anche da terze parti, cioè da siti web diversi da quello che l’utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, link a pagine web di altri domini, eccetera) che risiedono su server diversi da quello del sito visitato.
Anche se l’editore di un sito non utilizza personalmente i cookie per profilare i propri utenti è tenuto quindi a rispettare gli obblighi previsti dalla cookie law: basta che nel sito ci sia qualche servizio di terze parti che fanno appunto uso di cookie. È un caso molto più diffuso di quanto si possa pensare: basta infatti che ci sia un pulsante per i ‘like’ di Facebook o sia stato ‘embeddato’ un video di YouTube (pratiche diffusissime, in particolare sui blog) e scatta l’obbligo anche per un semplice sito amatoriale.
Il nuovo obbligo non è visto di buon occhio dai titolari dei siti a causa dei costi necessari per mettersi in regola, ma non piace neppure agli utenti, che saranno invasi da avvisi, sotto forma di banner o pop-up, in ogni nuovo sito che visiteranno e dovranno dare il proprio consenso per continuare a navigare.
Perché allora il Garante ha adottato questo provvedimento? Per dare attuazione a una direttiva europea del 2009 che si proponeva di arginare la diffusione dei cookie di profilazione a scopi pubblicitari, considerando i rischi che essi comporterebbero per la privacy degli utenti.
Le conseguenze della norma possono essere pesanti in particolare per le agenzie pubblicitarie e gli editori, come afferma Nevio Ronconi, presidente nazionale di Federpubblicità (Confesercenti):

L’idea iniziale  era di impedire ai grandi colossi abusi nella profilazione pubblicitaria degli utenti: nel caso in cui l’utente avesse negato il consenso all’utilizzo di cookie, questi sarebbero dovuti essere inibiti dal gestore del sito web. Ma i big della Rete hanno già a disposizione molti strumenti di profilazione che non prevedono l’utilizzo dei cookie e che quindi non rientrano nel merito del provvedimento. A pagare il peso saranno le agenzie pubblicitarie indipendenti attive sul web, che potrebbero perdere risorse informative importanti per creare campagne promozionali mirate sui gusti e gli interessi degli utenti. E anche gli utenti, che sono stati portati a credere che i cookie siano cattivi per natura. Mentre invece tanti servizi utili per i navigatori – come i sistemi che ricordano nome utente e password utilizzati per l’accesso ad un sito – funzionano proprio grazie ai cookie.

Cosa bisogna fare per mettersi in regola? Lo spiega molto chiaramente Ernesto Belisario, avvocato esperto di Internet, in un articolo pubblicato su Che Futuro! e intitolato Le 5 cose da sapere sulla “cookie law”:

Il provvedimento distingue gli adempimenti da porre in essere in relazione tipo di cookie memorizzati dal sito, vale a dire se si tratti di cookie ‘tecnici’ o cookie di profilazione, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (l’editore) o un soggetto terzo che li installi tramite il primo (le terze parti).
Sono tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata (senza cioè raccogliere gli indirizzi Ip), sul numero di utenti e su come questi visitano il sito.
Per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.
Al contrario, oltre all’informativa, sarà necessario acquisire uno specifico consenso per l’utilizzo di cookie di profilazione, quei biscottini che consentono di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.

Ecco come deve essere fornita l’informativa per i cookie:

Nel caso in cui il sito usi cookie di profilazione, il Garante ha previsto modalità semplificate per rendere l’informativa e acquisire il consenso dall’interessato.
L’informativa sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli:
1. una informativa breve, contenuta in un banner presentato all’utente al momento del primo accesso al sito;
2. una informativa estesa, magari contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio.
L’informativa breve dovrà indicare:
– se il sito utilizza cookie di profilazione;
– se il sito consente l’invio di cookie di terze parti;
– il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie;
– che, proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie.
Il gestore del sito dovrà registrare il consenso, eventualmente attraverso un apposito cookie tecnico, in modo da non proporre nuovamente il banner con l’informativa breve alle successive visite dell’utente.
Il Garante ha chiarito che, qualora il sito installi cookie di terze parti (come Google Analytics oppure quelli per la condivisione su Facebook e Twitter), incombe sul gestore del sito rendere l’informativa e acquisire il consenso.
Per questo motivo, l’informativa estesa dovrà contenere i link alle informative delle terze parti.

Oltre a questa informativa, la cookie law obbliga i siti ad adottare un sistema per raccogliere il consenso degli utenti. Ecco come funziona, sempre secondo l’articolo dell’avvocato Belisario:

Il meccanismo definito dal provvedimento del Garante Privacy è un sistema di opt-in, per cui il gestore del sito deve garantire che nessun cookie di profilazione e di terze parti debba essere memorizzato sul terminale dell’utente prima che questi abbia prestato il proprio consenso.
Si tratta, probabilmente, della parte più complessa per l’adeguamento: se scrivere le informative può essere relativamente semplice, sicuramente più complesso è garantire che nessun cookie non tecnico sia installato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza. Tanto più se si tiene conto delle sanzioni previste: per i casi di omessa o incompleta informativa la sanzione prevista è da 6mila a 36mila euro; l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da 10mila a 120mila euro. Insomma, i biscottini possono costare molto cari.

Per aiutare gli editori di siti ad adeguarsi alle disposizioni della cookie law sono nati servizi online in grado di fornire in poche semplice mosse le informative obbligatorie e il sistema per raccogliere il consenso degli utenti. Uno di questi è Iubenda, che fornisce sia servizi gratuiti (per i blog e i siti amatoriali più semplici), sia servizi a pagamento (per i siti commerciali e più complessi), a partire da 19 euro all’anno.