Come utilizzare i cookie nel rispetto della normativa sulla protezione dei dati

Cookie e raccolta di dati personali

I cookie sono strumenti essenziali per il funzionamento del sito web, che consentono di gestire alcune funzioni di base (ad esempio, riconoscere un utente o gestire un carrello della spesa nelle attività di e-commerce). Ma hanno anche un grande potenziale per la raccolta di informazioni personali su come le persone navigano sui siti web, consentendoti di implementare campagne di marketing diretto altamente efficaci. Grazie ai cookie, ad esempio, puoi offrire a una persona pubblicità mirata, basata sulle sue ricerche su altri siti che ha visitato prima di entrare in una nuova pagina web. Consentono inoltre di attuare azioni di marketing che riproducono lo stesso messaggio durante la navigazione nei vari siti web visitati (c.d. retargeting).

I cookie (o i meccanismi basati sullo stesso principio) consentono di sapere se una campagna di email marketing è andata a buon fine, se un messaggio di posta elettronica è stato letto , quante volte è stato aperto o inoltrato ad altre persone.

Cookie, legislazione sulla protezione dei dati in Europa e impatto sul resto del mondo

Per molto tempo questi strumenti sono stati utilizzati sostanzialmente inconsapevolmente dalla maggior parte degli utenti del web, ma le cose sono cambiate nel 2009 quando diversi paesi (in particolare nell'UE) hanno emanato regolamenti che imponevano regole per la raccolta di dati personali tramite cookie, basate sul fornire all'interessato una comunicazione e l'ottenimento del loro consenso .

Alcuni Paesi (Regno Unito e Paesi Bassi in particolare) hanno affrontato la questione con un approccio particolarmente proattivo, imponendo pop up e banner per evidenziare la “cookie policy” dei siti web e richiedendo il consenso espresso per il loro utilizzo. Altri hanno optato per tenere a bada e non apportare grandi cambiamenti all'esperienza di navigazione consolidata, che non si adattava bene a questi "avvisi ai browser".

Coloro che inviano i contenuti dei propri siti web a residenti in Europa sono pertanto tenuti a conoscere tali norme per prevenire eventuali contestazioni da parte dell'Autorità europea.

Le regole in sintesi

In estrema sintesi, le regole essenziali prevedono che quando si accede alla home page o ad un'altra pagina di un sito web, deve comparire un banner ben visibile , che chiarisce alcuni elementi di base.

Nello specifico:

1. va specificato se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2. va specificato se il sito utilizza anche “cookie di terze parti” , cioè cookie che raccolgono dati che verranno utilizzati da un sito diverso da quello che si sta visitando;
3. deve fornire un link che permetta al browser di prendere visione dell'informativa più estesa , indicando le modalità di utilizzo dei cookie inviati dal sito, e specificando che è disponibile la possibilità di negare il consenso alla loro installazione diretta sia direttamente sia collegandosi ai vari siti web nel caso di “cookie di terze parti”;
4. deve, infine, indicare che proseguendo la navigazione (ad esempio, accedendo ad altra area del sito o selezionando un'immagine o un link), l'utente acconsente all'uso dei cookie.

È comunque consentito l'uso dei cookie tecnici, in modo che l'informativa breve non riappaia alla seconda visita dell'utente, tenendo traccia del consenso prestato in occasione della visita precedente.

Infine, deve garantire che l'utente conservi, in ogni caso, la possibilità di modificare le proprie scelte in merito ai cookie mediante l'informativa estesa, che deve essere disponibile in ogni pagina del sito.

Aspetti specifici della normativa sui cookie

Da un punto di vista pratico, vale la pena tenere a mente questi aspetti pratici per avere una panoramica accurata della normativa :

a) Ambito di applicazione

Resta inteso che i siti web che non consentono l'archiviazione di informazioni nell'apparecchio terminale dell'utente o l'accesso a informazioni già archiviate – e quindi che non utilizzano i cookie – non sono soggetti agli obblighi previsti dalla normativa . Per l'utilizzo dei cookie esclusivamente tecnici l'informativa deve essere fornita solo nella forma ritenuta più opportuna (es. richiamandola nella privacy policy del sito) senza la visualizzazione del banner previsto dalla normativa.

• I siti web che non utilizzano i cookie non sono soggetti ad alcun obbligo
• Per utilizzare i cookie tecnici, ad esempio, è sufficiente fornire informazioni nella privacy policy del sito. Non è necessario visualizzare un banner specifico.
• I cookie analitici sono assimilati ai cookie tecnici solo se realizzati e utilizzati direttamente dal sito web della prima parte per migliorarne la fruibilità.
• Qualora i cookie analitici siano messi a disposizione da terze parti, i titolari non sono soggetti agli obblighi ove:
  • A) sono adottati strumenti che riducono la capacità identificativa del cookie (ad es. occultando ampie parti dell'indirizzo IP);
  • B) la terza parte si impegna a non far corrispondere le informazioni contenute nei cookie con altre informazioni di cui già dispone.
• Qualora il sito contenga collegamenti a siti web di terze parti (es. banner pubblicitari, collegamenti a social network) che non richiedono l'installazione di cookie di profilazione, non è necessario l'informativa e il consenso.
• Nell'informativa estesa può essere richiesto il consenso all'uso dei cookie di profilazione per categoria (es. viaggi, sport).
• Puoi visualizzare un'unica notifica per tutti gli altri siti web gestiti con lo stesso dominio.
• Gli obblighi si applicano a tutti i siti web che installano cookie sui terminali degli utenti, indipendentemente dal fatto che abbiano sede in Italia.

b) Utilizzo di cookie analitici di terze parti

In linea con l'approccio semplificativo dell'Autorità, il regolamento chiarisce già come i cookie analitici – che servono a monitorare l'utilizzo del sito da parte dei browser a fini di ottimizzazione – possano essere assimilati ai cookie tecnici quando sono realizzati e utilizzati direttamente dalla prima parte sito web (quindi senza intervento di terzi).

In molti casi, tuttavia, i siti web utilizzano cookie analitici prodotti e resi disponibili da terze parti per meri fini statistici. In questi casi, i siti sopra citati non sono soggetti agli adempimenti e alle formalità previsti dalla normativa qualora siano adottati strumenti idonei a ridurre l'identificabilità dei cookie analitici di cui si avvalgono – ad esempio occultando ampie parti dell'indirizzo IP .

Inoltre, l'utilizzo di tali cookie deve essere subordinato anche a rapporti contrattuali tra siti web e soggetti terzi , nei quali si fa espresso riferimento all'impegno del terzo ad utilizzarli esclusivamente per l'erogazione del servizio, a tenerli separati, e a non "arricchirli" o "abbinarli" con altre informazioni che potrebbero avere.

c) Utilizzo di piattaforme che installano cookie

In alcune richieste è stato evidenziato come sia difficile apportare le modifiche necessarie per recepire la normativa sui cookie alle piattaforme, ampiamente utilizzate per realizzare siti web, che talvolta contengono già strumenti preconfigurati per la gestione di cookie o widget.

d) Soggetti tenuti alla visualizzazione del banner: il ruolo dei siti web di prima parte

Quanto alla responsabilità dei gestori di siti web di prima parte rispetto all'installazione di cookie di profilazione da domini di “terze parti” , tali soggetti svolgono il ruolo di mero intermediario tecnico per l'installazione di tali cookie.

Si segnala, tuttavia, che per la “caratteristica distribuita” di tale trattamento, che ha comunque coinvolto nel processo il sito web della prima parte, il consenso all'uso dei cookie di terze parti comporta due elementi entrambi necessari . In primo luogo, la presenza del banner , che produce l'evento opportuno per fornire il consenso documentato (a carico del primo). In secondo luogo, la presenza di link aggiornati a siti web gestiti da terze parti dove l'utente può effettuare le proprie scelte sulle categorie e sui soggetti dai quali ricevere i cookie di profilazione.

Si precisa inoltre che se i banner pubblicitari del sito oi link ai social network sono basici collegamenti a siti web di terze parti che non installano cookie di profilazione, non è necessaria l'informativa e il consenso.

e) Modalità di acquisizione del consenso

Le soluzioni per acquisire il consenso basate sulla modalità dello “scroll” , ossia continuando a navigare nella stessa pagina web – largamente utilizzate e particolarmente significative nel caso dei dispositivi mobili – sono considerate in linea con i requisiti di legge purché chiaramente indicate nell'informativa e sono in grado di generare un evento registrabile e documentabile nel server del gestore del sito web (prima parte), qualificabile come azione positiva da parte dell'utente.

Come possono essere elaborati i dati utilizzando i cookie in pratica

Vediamo alcuni esempi pratici di come può essere strutturato un banner per i cookie , vista anche l'esperienza già maturata all'estero.

1) Esempio di banner o pop up entrando in un sito web

Il testo nel banner può variare in lunghezza . Un testo completo e descrittivo è più rassicurante e spiega i termini essenziali di un argomento che molte persone non conoscono affatto. Qui ovviamente ognuno deve fare le proprie valutazioni e soppesare la soluzione che trova più adatta, tenendo conto del tipo di sito web e delle caratteristiche di chi lo visita.

Ad esempio, un testo sintetico da inserire in un banner potrebbe essere:

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e per aiutarci a migliorare il nostro sito web. Per maggiori dettagli, consulta la nostra cookie policy qui. Continuando la navigazione acconsenti all'uso dei cookie. Altrimenti, hai la possibilità di lasciare il sito web.

Dovrebbe quindi essere fornita una scelta di due pulsanti:

1. “Set up Cookies” che permette di accedere ad una sezione del sito per abilitare o disabilitare i vari tipi di cookies utilizzati dal sito;
2. “Accetta e continua”, che dà accesso istantaneo al sito web.

Dovrà poi essere fornito un testo specifico ed esteso , la c.d. “Cookie policy” per delineare nel dettaglio i cookie e consentirne la disabilitazione per ciascuna tipologia.

2) Esempio di disclaimer da inserire nei messaggi di posta elettronica nel caso di una campagna di email marketing

Per quanto riguarda gli strumenti che consentono di raccogliere i dati relativi all'apertura, alla lettura e all'inoltro di una mail, è bene inserire all'interno del messaggio alcune informazioni utili .

Lo spazio per questo disclaimer può essere trovato nel footer dell'email:

Email e cookie

* Il mittente di questo messaggio utilizza cookie e tecnologie simili (collettivamente denominati cookie) in questa email. Se hai abilitato le immagini, puoi configurare le impostazioni dei cookie sul tuo computer o dispositivo mobile. I cookie verranno impostati anche se fai clic su qualsiasi collegamento all'interno di questa e-mail. Se le tue impostazioni email hanno disabilitato i link in questa email, puoi incollare l'indirizzo nel tuo browser senza attivare o accettare i cookie: ____________________________.

Questi esempi specifici ti danno un'idea delle scelte che devi fare per gestire l'impatto di queste regole nel modo più efficace.

Si consiglia di non utilizzare la tecnica del “copia e incolla” . Ciò che potrebbe essere adatto per un sito potrebbe non funzionare per un altro. Tutti si trovano di fronte a questo problema di garantire che i cookie siano presentati correttamente agli utenti di ogni sito Web, consentendo loro di fare una scelta consapevole se accettarli o rifiutarli . Questo è l'unico modo per rispettare il principio di base, secondo il quale tutti gli utenti possono avere il controllo sulle proprie informazioni, anche se raccolte a seguito del proprio comportamento di navigazione.