lunedì 7 luglio 2014

Le nuove regole per l'uso dei cookies e le prospettive future per il loro utilizzo. Cosa cambia con il provvedimento del 4 giugno 2014 del Garante per la protezione dei dati personali.

di Marco Maglio 
Avvocato in Milano  - Presidente dell'Osservatorio Italiano Diritto del Marketing

  1. I cookies e la raccolta di dati personali
  2. I cookies e le normativa di data protection in Europa ed in Italia
  3. Le regole in sintesi
  4. Gli effetti del provvedimento: cosa bisogna fare

Parliamo di Cookies. Non occorre una conoscenza approfondita della lingua inglese per sapere che la parola, entrata nel linguaggio informatico, non evoca solo biscotti e dolci da forno ma indica anche quegli strumenti attraverso i quali i siti web possono riconoscere gli utenti e raccogliere informazioni puntuali sul loro modo di utilizzare la rete.

1. I cookies e la raccolta di dati personali

Sono strumenti fondamentali per il funzionamento dei siti perché permettono di gestire alcune funzioni essenziali (per esempio il riconoscimento di un utente o la gestione del un carrello degli acquisti nelle attività di commercio elettronico). Ma sono anche un mezzo formidabile per la raccolta di informazioni personali sulle modalità di navigazione delle persone nei siti internet e permettono azioni di marketing diretto molto efficaci. Grazie ai cookies, per esempio è possibile proporre ad una persona pubblicità mirate, in funzione delle ricerche effettuate in altri siti che ha visitato prima di accedere ad una nuova pagina internet. E' ancora grazie ai cookies si possono svolgere quelle azioni di marketing che ripropongono un medesimo messaggio durante la navigazione in rete nei vari siti che si visitano (è il cosiddetto retargeting).

Ma ancora è grazie ai cookies o comunque a meccanismi che si basano sul medesimo principio, se è possibile sapere che esito ha avuto una campagna di email marketing, se un messaggio di posta elettronica è stato letto, quante volte è stato aperto o se è stato inoltrato ad altre persone.

2. I cookies e le normativa di data protection in Europa ed in Italia

Fino a qualche tempo fa questi strumenti venivano usati nella sostanziale inconsapevolezza della maggioranza degli utilizzatori del web ma qualcosa è cambiato nel 2009 quando è stata emanata una direttiva dell'Unione Europea (la n. 136) che ha imposto anche per la raccolta dei dati personali mediante cookies le consuete regole che si basano sulla fornitura di un 'informativa all'interessato e all'ottenimento di un consenso.

Dal 2009 ad oggi il dibattito sul modo attrvaerso il quale dare l'informativa e ottenere il consenso è stato molto acceso. Alcuni paesi europei (Regno Unito ed Olanda su tutti) hanno affrontato la questione con particolare attivismo imponendo pop up e banner per evidenziare la “cookie policy” dei siti richiedendo un consenso espresso al loro uso; altri hanno preferito assumere un atteggiamento attendista e poco incisivo per non modificare troppo l'esperienza consolidata di navigazione che mal si concilia con questi “avvisi ai naviganti”.

Anche in Italia il dibattito è stato vivace e già nel 2012 il nostro Codice in materia di protezione dei dati personali è stato modificato per recepire la direttiva, affidando al Garante il compito di definire come dovesse essere fornita l'informativa e con che modalità dovessse essere acquisito il consenso.

Il 4 giugno 2014 il Garante ha rotto gli indugi ed ha emanato un provvedimento generale, al termine di una consultazione pubblica, nel quale ha individuato modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

3. Le regole in sintesi

In estrema sintesi il Garante ha stabilito che quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui devono essere chiariti alcuni elementi essenziali.

In particolare:

1) occorre precisare se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) occorre precisare se il sito prevede anche l'uso di cookie di "terze parti", ossia di cookie che raccolgono dati che verranno utilizzati da un sito diverso da quello che si sta visitando;

3) occorre indicare un link che permette di leggere un' informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, precisando che è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";

4) occorre infine evidenziare che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.

Il Garante ha anche chiarito che è comunque permesso utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente, tenendo così traccia del suo consenso espresso in occasione della visita precedente.

Infine occorre fare in modo che l'utente mantenga, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l'informativa estesa, che deve essere consultabile da ogni pagina del sito.

4. Gli effetti del provvedimento: cosa bisogna fare

I gestori di siti web devono dare attuazione alle disposizioni di cui al riportato provvedimento del Garante entro il 3 giugno 2015. C'è quindi un lungo arco di tempo a disposizione per adeguarsi ma è bene iniziare da subito ad occuparsene, sia per condurre opportunamente dei test sule modifiche da intrrodure, sia per avere il tempo di approfondire la conoscenza di una materia che spesso resta dominio esclusivo dei tecnici informatici che, come è naturale, si occupano della mera funzionalità del sito. Qin invece il tema ha una rilevanza strutturale e strategica ed è quindi essenziale che si valuti, non solo da un punto di vista tecnico, se l'uso di determinati tipi di cookies sia davvero necessario e come proporre concretamente agli utenti i banner che il Garante ha previsto.

Vediamo delle ipotesi pratiche di come può essere strutturato un banner per cookies, anche alla luce dell'esperienza già maturata all'estero.

1) Esempio di banner o pop up all'ingresso del sito

Il testo presente nel banner può essere più o meno lungo. Un testo completo e descrIttivo ha l'effetto di poter essere più rassicurante e di spiegare i termini essenziali di una materia che molti non conoscono affatto. Qui ovviamente ognuno deve fare le sue valutazioni ed individuare la soluzione che ritiene più adatta anche tenendo conto della tipologia di sito e delle caratteristiche di chi si troverà a consultarlo.

Ad esempio un testo sintetico da inserire in un banner può essere questo:

Questo sito fa uso di cookies per migliorare l'esperienza di navigazione degli utenti e per raccogliere informazioni sull'utilizzo del sito stesso. Utilizziamo sia cookies tecnici che cookis di parti terze per inviare messaggi promozionali sulla base dei comportamenti degli utenti. Può conosce i dettagli consultando la nostra privacy policy qui.Proeguendo nelal navigazione si accetta l'uso dei cookies in caso contrario è possibile abbandonare il sito.

Invece un esempio di testo esplicativo è questo

Un Cookie è una piccola quantità di dati, che vengono inviati al tuo browser da un server Web e che vengono successivamente memorizzati sul disco fisso del tuo computer. Il Cookie viene poi riletto e riconosciuto dal sito Web che lo ha inviato ogni qualvolta effettui una connessione successiva. Come parte dei servizi personalizzati per i suoi utenti, il nostro sito utilizza dei Cookies per memorizzare e talvolta tenere traccia di alcuni dei dati personali forniti dagli utenti stessi.
Ti ricordiamo che il browser è quel software che ti permette di navigare velocemente nella Rete tramite la visualizzazione ed il trasferimento delle informazioni sul disco fisso del tuo computer. Se le preferenze del tuo browser sono settate in modo da accettare i Cookie, qualsiasi sito Web può inviare i suoi Cookie al tuo browser, ma - al fine di proteggere la tua privacy - può rilevare solo ed esclusivamente quelli inviati dal sito stesso, e non quelli invece inviati al tuo browser da altri siti. Se vuoi saperne di più poi consultare la nostra privacy policy qui. . Puoi accettare i cookies e proseguire, oppure puoi configurare i singoli cookies, utilizzando i tasti qui sotto
Bisogna poi prevedere una scelta tra due tasti:

un tasto 1) “Configura Cookies” che permette di accedere ad una sezione del sito che permette di abilitare o disabilitare le varie tipologie di cookies che il sito utilizza;

e

un tasto 2) “Accetta e prosegui” che dà immediatamente accesso al sito.


2) Esempio di disclaimer da inserire in messaggi di posta elettronica nel caso di campagne di email marketing

Per quanto riguarda gli strumenti che permettono di raccogliere i dati di apertura, lettura ed inoltro di un' email, nel rispetto del provvedimento del Garante sarà bene inserire nel messaggio alcune informazioni utili.

In particolare nell'header dell'email

Se si attivano le immagini o si fa clic su un link, si accetta di concedere il permesso al mittente di utilizzare cookies* attraverso questa e-mail. I cookies ci aiutano a capire se avete aperto l'e-mail e se l'avete condivisa. Possono essere utilizzati anche se avete già attivato delle immagini, oppure se siamo inseriti all'interno del vostro elenco dei mittenti sicuri o simile. Per ulteriori informazioni leggere la parte finale di questa e-mail.

Nel footer dell'email può trovare spazio questo disclaimer

E-mail e Cookies

*Il mittente di questo messaggio utilizza i cookies e tecnologie simili (che chiamiamo collettivamente cookies) in questa e-mail. Se avete attivato le immagini, i cookies possono essere impostati sul vostro computer o dispositivo mobile. I cookies verranno impostati anche se fate clic su qualsiasi link all'interno di questa e-mail. A seconda di come impostate la configurazione del vostro computer e software, queste tecnologie possono funzionare se siamo inseriti all'interno del vostro elenco dei mittenti sicuri o simile. I cookies ci aiutano a capire come interagite con le vostre e-mail, e ciò ci aiuta a migliorare le nostre comunicazioni per e-mail future. Potete disattivare i cookies nelle impostazioni del vostro browser per evitare che altre tecnologie possono funzionare, non attivando immagini, oppure eliminando il nostro sito www._________________dal vostro elenco degli utenti sicuri. Per ulteriori informazioni sui cookies e su queste tecnologie in generale, potete entrare nel link qui sotto. Se le impostazioni della vostra e-mail hanno disattivato i link in questo messaggio, potete incollare l'indirizzo all'interno del vostro navigatore senza attivare o accettare i cookies: ____________________________.


Questi esempi concreti danno un'idea delle scelte che occorrerà fare per gestire al meglio l'impatto, potenzialmente alto, che questa modifica normativa può avere sull'uso del web e della posta elettronica a fini pubblicitari. Anche per questo il tempo, apparentemente lungo, che ci separa dall'entrata in vigore delle nuove regole, va usato con cura per fare in modo che tutti i soggetti interessati ( l'informatico, il marketing manager, il content manager, il legale) possano confrontarsi e far emergere la soluzione migliore e più adatta alle esigenze specifiche del sito. Occorre infatti diffidare, in particolare in questo ambito, delle tecniche “taglia e incolla”. Quello che è adeguato per un sito non va bene per un altro. Ognuno deve trovare la propria strada per fare in modo che i cookies non siano irrimediabilmente “bruciati” e “sbriciolati” da questa normativa ma mantengano, intatti, la consueta fragranza e consistenza che tanto piacciono ai web marketers.