[#cookielaw] Chi deve fare cosa per essere in regola con la Cookie Law?

Cookie Law: la nuova normativa italiana sull'utilizzo di cookie nei siti web

In questi giorni nel mondo del web si sente molto parlare di Cookie Law. Ci sono molte risorse sul web, ma anche molta confusione e incertezza da parte degli addetti ai lavori che si trovano a dover mettere a norma il proprio sito o il sito dei propri clienti.
Ma andiamo con ordine e vediamo, cosa sono questi cookie e chi si deve occupare di cosa nel dettaglio.

Cosa sono i cookie

In termini pratici, i cookie sono dei file che vengono memorizzati nei computer di chi naviga siti web. Questi file hanno la funzione di raccogliere dati al fine di: migliorare la navigabilità, le prestazioni del sito, le preferenze di navigazione ecc.
A seconda del tipo di cookie che viene inviato dal sito, si possono raccogliere dati più o meno sensibili ed è in questo frangente che il Garante della Privacy è intervenuto a tutela di questi dati, imponendo ai possessori di siti web di informare i propri utenti di quali dati il sito sta raccogliendo durante la navigazione e in alcuni casi far scegliere all’utente se permettere al sito di raccogliere questi dati o meno.

I tipi di cookie

Senza scendere troppo nel tecnico possiamo dire che i cookie si dividono in:

cookie temporanei di sessione (anche chiamati session cookie o temporary cookie): come dice lo stesso termine sono cookie che rimangono temporaneamente nel computer e vengono eliminati nel momento in cui viene chiuso il browser. Servono a gestire le sessioni di login o sessioni temporanee.

cookie permanenti (anche chiamati persistent cookie): sono cookie che rimangono nel computer dell’utente fino a una data definita di scadenza o fino quando non vengono cancellati dall’utente. Servono a raccogliere dati e preferenze di navigazione e fornire informazioni sulla navigazione.

Oltre ad avere una tipologia i cookie hanno anche una provenienza ovvero ci sono:

cookie di terze parti (anche chiamati cookie third-party): che sono cookie inviati da siti esterni ma collegati al sito che si sta visitando (esempio Google Analytics, Google Adsense ecc.).

cookie di prima parte (first-party): che sono semplicemente i cookie inviati dal sito che si sta navigando.

Chi deve fare cosa?

Dopo aver definito in modo basilare cosa sono i cookie e che tipi di cookie esistono, dobbiamo capire cosa bisogna fare per uniformare il proprio sito alla cookie law (artt. 13 e 122 del D. Lgs. 196/2003) e chi deve occuparsi di questa procedura.
Dopo un primo momento di confusione generale, di recente il garante della privacy ha fatto chiarezza su come vanno trattati i vari tipi di cookie nello specifico.

schema del garante della privacy per il trattamento dei cookie

Come possiamo vedere dall’immagine a seconda del tipo di cookie che ha il nostro sito, abbiamo più o meno obblighi nei confronti dell’utente e della legge. Ma passiamo ad analizzare caso per caso:

Nessun cookie: può capitare in siti semplici, in puro HTML che non siano presenti cookie. Ovvero il sito in realtà non invia file e non raccoglie nessun tipo di dato. In questo caso specifico, non c’è bisogno di fare nulla, in quanto non si sta raccogliendo nessun tipo di dato e nessun sito intercede attraverso il nostro per raccogliere dati, quindi ad esempio, non ci sono banner pubblicitari o codici collegati ad altri siti.

Cookie tecnici o analitici di prima parte: sono presenti in quei siti che hanno ad esempio un login o che comunque raccolgono dati non sensibili o di profilazione, in modo temporaneo o permanente.
In questo caso è necessario inserire all’interno del sito, un’informativa estesa (la nostra è qui) che spieghi che tipo di cookie utilizza il sito e il modo per disattivarli nel proprio browser.

Analitici di terze parti “se sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”: fondamentalmente sono una copia del secondo punto, solo che sono cookie provenienti da terze parti. Se questi cookie non raccolgono dati sensibili o utilizziamo strumenti per limitare questi cookie all’utilizzo di dati NON sensibili, vanno trattati esattamente con i precedenti. Ad esempio se utilizziamo Google Analitycs ma anonimizziamo gli IP, questi cookie non tracciano dati sensibili (come un indirizzo IP ad esempio) e basta quindi inserire un’informativa estesa.

[Update] Ecco una guida su come rendere anonimi gli indirizzi in Google Analytics.

Analitici di terze parti “se NON sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”: in questo caso siamo di fronte a cookie di terze parti, ma che raccolgono dati sensibili. Per richiamare l’esempio precedente, se utilizziamo il codice Google Analitycs così come ci viene dato di base da Google, allora dobbiamo inserire l’informativa estesa come nei punti precedenti, l’informativa breve (il banner su ogni pagina del sito) con il link all’informativa estesa e un pulsante di accettazione per l’utente e bisogna infine notificare al Garante con realtiva spesa di segreteria di € 150,00.

Cookie di profilazione di prima parte: nel caso in cui ci sono cookie di profilazione che ci siamo creati noi. Vanno trattati come gli Analitici di terze parti normali, ovvero, informativa breve (banner), informativa estesa e notifica (a pagamento) al Garante.

Cookie di profilazione di prima parte: se ci sono invece dei cookie che tracciano una profilazione dell’utente ma sono provenienti da siti esterni, il nostro obbligo consiste nell’informare l’utente con l’informativa estesa e breve, segnalando che ci sono appunto cookie di profilazioni di terze parti, tuttavia, la notifica al Garante è un onere della terza parte.

Conclusioni

In questo articolo abbiamo introdotto l’argomento cookie e come affrontarlo nel migliore dei modi. Nei prossimi articoli approfondiremo questo tema e vedremo alcuni strumenti per ridurre il potere di profilazione dei cookie di terze parti e alcuni plugin utili e ben fatti per i principali CMS (WordPress, Joomla, ecc.).
Se avete suggerimenti, dubbi, domande o necessità di ulteriori chiarimenti, commentate pure.