Il parlamento Europeo ha emanato nel maggio 2011 una nuova legge sulla privacy che obbliga i siti internet a richiedere il permesso degli utenti ad utilizzare i cookies relativi ai servizi offerti. La EU Cookie Law (legge europea sui cookies) è stata approvata anche in Italia entrando in vigore un anno dopo, il 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012.

Cosa sono i Cookie?
I cookie sono delle piccole stringhe di testo utilizzate per memorizzare preferenze, dati e informazioni relative alla navigazione e all'uso di un sito internet (autenticazioni utente, lingua, età). Essi sono usati sia per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti (chiamati "Cookies Tecnici"), sia per  raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili dei  consumatori (chiamati "cookies di profilazione").

Ciascuna di queste informazioni utili alla navigazione o a fini di analisi statistiche viene utilizzata ad ogni visita. I cookie hanno una scadenza e verranno distrutti in funzione di come sono stati impostati dai proprietari del sito.


Quali sono le disposizioni di questa nuova legge?
La giurisdizione italiana passa da un regolamento "opt-out", in cui i cookie venivano liberalizzati senza discriminazioni, a una legislazione di tipo "opt-in" in cui è necessario richiedere alla propria utenza un consenso espresso, senza il quale i cookies non possono essere attivati, a meno che i "biscottini" (Cookie in italiano) non siano necessari alla prestazione del servizio richiesto (ovvero cookies "tecnici" articolo 2-5 della Direttiva).

Quali sono i soggetti sottoposti a queste disposizioni?
Tutti i siti internet comunitari in cui la persona/organizzazione cade sotto la giurisdizione europea, indipendentemente da dove risiede fisicamente il server che utilizza i cookies, devono sottostare a questa normativa. E' tuttavia necessario distinguere due macro-categorie di cookies (fermo restando l'obbligo di legge):
Cookies Tecnici:  sono quelli che vengono usati per fornire il servizio in modo migliore. In genere sono i cookie necessari a raccogliere informazioni statistiche sull'esperienza dell'utente (durata della visita, numero di click, etc.) e quelli relativi alla personalizzazione della navigazione (form di login, personalizzazione della grafica, lingua preferita etc)
Cookie di profilazione:  sono quelli volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In genere sono salvati sul computer dell'utente da soggetti terzi, come i social network e le agenzia di pubblicità.

Come mettersi in regola?
Per l'installazione dei cookies "tecnici" non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà  fornire con le modalità  che ritiene più idonee.
 Per mettersi in regola, pertanto, sarà  necessario in primo luogo predisporre appena l'utente entra nel sito web un pop-up, un banner o un lightbox che avverta il visitatore dell'uso dei cookie da parte del sito (informativa "breve") con un link che rimandi ad una adeguata e approfondita informativa ("informativa estesa"), anche al fine di rendere più comprensibile tale avviso a chi non è esperto del settore.
Per l'installazione dei cookies di "profilazione", in ragione della particolare invasività  che possono avere nell'ambito della sfera privata, la legge richiede che il soggetto utente, adeguatamente informato sulla natura e l'uso degli stessi, presti il proprio consenso.

Per mettersi in regola è necessario in primo luogo predisporre appena l'utente entra nel sito web un pop-up, barre di stato o lightbox in cui il visitatore venga avvisato dell'uso di cookie di profilazione  (informativa "breve"), sia presente un link che rimandi ad una adeguata informativa ("estesa" ) e la richiesta di un valido consenso per il loro utilizzo.
La buona notizia (non dal mero punto di vista del marketing ma proprio per buon senso) è che non è richiesto un opt-in cioè un click palese per l'accettazione dei cookie di profilazione ma basta continuare la navigazione per accettare implicitamente i contenuti dell'informativa.
Il garante della privacy ha dettato queste linee guida da seguire in relazione all'utilizzo dei cookie di profilazione
Nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità  nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
b) che il sito consente anche l'invio di cookie "terze parti", ovvero installati da soggetto differente dal gestore del sito (laddove ciù ovviamente accada);
c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:
    •  uso dei cookie tecnici e analytics;
    •  possibilità  di scegliere quali specifici cookie autorizzare;
    • possibilità  per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie;

Solo ed esclusivamente per l'utilizzo dei cookie di profilazione, vi è l'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, laddove esso sia sia finalizzato a "definire il profilo o la personalità  dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".

Nota bene: i banner per entrambe le tipologie di cookie devono essere presenti in tutte le pagine del sito, non solo nella home page perché l'utente potrebbe avere come entry page qualsiasi contenuto del sito

Entro quando mettersi in regola?
La pubblicazione sulla Gazzetta Ufficiale è del 3 Giugno 2014 quindi fino al 2 Giugno 2015 possiamo metterci in regola.

Quali sono le sanzioni?
Le sanzioni vanno da 6.000 a 36.000 € per informativa non idonea o mancante ai quali si aggiungono da 10.000 a 120.000 € per l'inserimento di un cookie non autorizzato!

Serve un avvocato?
Il consiglio è di far leggere tutto anche a un avvocato. Comunque, puoi passare al tuo legale questo link dove è spiegato tutto con i riferimenti alle normative pregresse e richiamate: Provvedimento del Garante per la Privacy dell'8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 dello scorso 3 giugno http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884


Disclaimer dell'autore
Questo articolo è l'interpretazione della legge da parte di consulenti informatici non esperti in materiale legale, pertanto l'articolo va inteso come "consigli e considerazioni" di quello che abbiamo visto e analizzato. Consigliamo di rivolgervi al vostro consulente legale per ogni eventuale dubbio o domanda che abbia valore a tutti gli effetti di legge. La nostra eventuale consulenza è limitata quindi alla nostra comprensione della legge, possiamo tuttavia avvalerci di consulenti legali esperti in materia, qualora il cliente ce ne faccia richiesta.