mercoledì 2 dicembre 2015

Cookies per il sito web del tuo studio: sei a norma?

Ecco le nuove regole, le scadenze, le sanzioni

Introduzione

In data 8 maggio 2014 il Garante per la protezione dei dati personali (Garante Privacy) ha emanato il provvedimento n. 229, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, in materia di “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. Tale provvedimento recepisce la direttiva europea 2002/58/CE (c.d. direttiva e-Privacy) così come modificata dalla direttiva europea 2009/136/CE. La direttiva europea ha introdotto il principio dell’“opt-in” che si applica a tutti i casi in cui si registrano o si accede a “informazioni” (compresi quindi i cookie) sul terminale dell’utente o dell’abbonato. Pertanto, affinché i cookie possano essere archiviati sul terminale dell’utente nel corso della sua navigazione in Internet, è necessario -di regola- che l’utente stesso esprima un valido consenso, preliminare al trattamento (cfr. nuovo art. 5, paragrafo 3, della direttiva 2002/58/CE), sempre sulla base di un’informativa chiara e completa in merito alle modalità e finalità del trattamento dei suoi dati.
Il provvedimento del Garante è generale, si applica cioè a tutti i siti (anche a quelli degli amministratori di condominio), e, cosa ben più importante, è direttamente sanzionabile. Questo significa che il Garante, a seguito di una verifica (tecnicamente molto semplice), potrà sanzionare chiunque non sia in regola con gli adempimenti previsti. Il Garante stesso, consapevole dell’impatto assai significativo del provvedimento (soprattutto legato alla sua sanzionabilità), ha posticipato l’entrata in vigore dello stesso ad un anno dalla sua pubblicazione sulla Gazzetta Ufficiale datata 3 giugno 2014. Il termine ultimo per adeguare il proprio sito è, quindi, il 2 giugno 2015.

Ma cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie di siti o di web server diversi (c.d. cookie di “terze parti”). Ciò accade perché sul sito web visitato sono presenti elementi come, ad esempio, immagini, mappe, suoni, specifici link a pagine web di altri domini, che risiedono su server diversi da quello sul quale si trova la pagina richiesta. In altre parole, sono quei cookie che sono impostati da un sito web diverso da quello che si sta visitando in quel momento.
I cookie sono anche usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server e di norma sono presenti nel browser di ciascun utente in numero molto elevato. Alcune operazioni non potrebbero essere compiute senza l’uso dei cookie che, in alcuni casi, sono tecnicamente necessari: a titolo esemplificativo, l’accesso all’home banking e le attività che possono essere svolte sul proprio conto corrente online (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc…) sarebbero molto più complesse da svolgere e meno sicure senza la presenza di cookie che consentono di identificare l’utente e mantenerne l’identificazione nell’ambito della sessione. I cookie possono rimanere nel sistema anche per lunghi periodi e possono contenere anche un codice identificativo unico. Ciò consente ai siti che li utilizzano di tenere traccia della navigazione dell’utente all’interno del sito stesso, molto spesso con finalità statistiche o pubblicitarie, creando un profilo personalizzato dell’utente che tiene in considerazione le pagine che lo stesso ha visitato per mostrargli pubblicità mirate (c.d. Behavioural Advertising).

Quali sono gli adempimenti richiesti?

Il Garante italiano prevede adempimenti differenti a seconda che si utilizzino solamente cookie tecnici e Analytics o anche cookie di profilazione e tracciamento.
Nel primo caso è necessario fornire un’informativa contenente tutti gli elementi previsti dall’art. 13 del D.Lgs. 196/03 (c.d. Codice Privacy) consentendo agli utenti di poter scegliere se abilitare o disabilitare gli elementi non necessari al corretto funzionamento del sito: gli Analytics, ad esempio. Nel caso in cui, invece, siano utilizzati anche cookie di profilazione e tracciamento sarà necessario richiedere un consenso preventivo tramite un banner e, solo a seguito di tale consenso sarà possibile inviare tali cookie al dispositivo dell’utente. 
Ma non è finita qui.Il banner deve rinviare anche ad un’informativa estesa (contenente sempre tutti gli elementi dell’art. 13) nella quale, anche successivamente, l’utente potrà abilitare o disabilitare ogni singolo cookie non necessario. Se poi si utilizzano quelli di terze parti (soggetti diversi dall’editore del sito web) è necessario indicare, all’interno dell’informativa, il link all’informativa della terza parte dove sarà possibile per l’utente, o esprimere il consenso, o esercitare il diritto di opt-in/opt-out. In tal caso, l’editore dovrà, tramite apposite clausole, acquisire i link in fase contrattuale.
Sia che si utilizzino solamente cookie tecnici e analytics, sia che si utilizzino anche quelli di profilazione o tracciamento, si può sfruttare un apposito cookie tecnico per tracciare il consenso e/o le scelte operate dagli utenti. Da ultimo, è necessario notificare al Garante il trattamento di profilazione effettuato.

Quali sanzioni si rischiano?

Le potenziali sanzioni previste dal provvedimento e dal D.Lgs. 196/03 (Legge sulla Privacy) possono anche essere molto onerose:
  1. per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, è prevista la sanzione amministrativa del pagamento di una somma da 6.000 a 36.000 euro
  2. l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da 10.000 a 120.000 euro (art. 162, comma 2-bis, del Codice); 
  3. l’omessa o incompleta notificazione al Garante, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d, del Codice, è sanzionata con il pagamento di una somma da 20.000 a 120.000 euro (art. 163 del Codice);
  4. in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 30.000 a 180.000 euro (art. 162, comma 2-ter, del Codice).
sullo stesso argomento:

Nessun commento:

Posta un commento

Commenti, critiche e correzioni sono ben accette e incoraggiate, purché espresse in modo civile. Scrivi pure i tuoi dubbi, le tue domande o se hai richieste: il team dei nostri esperti ti risponderà il prima possibile.

Related Posts Plugin for WordPress, Blogger...