Il regolamento per l"Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" emanato dal Garante per la Protezione dei Dati Personali, la cosiddetta Legge Cookie o Cookie Law, prevede una serie di obblighi informativi in capo agli editori di siti web (quindi anche in capo ai commercianti elettronici). Questi obblighi informativi mirano ad assicurarsi che i navigatori siano resi edotti delle modalità e delle finalità del trattamento dei loro dati personali, in particolare di quelli contenuti nei cookie.

Uno di questi obblighi è l'informativa estesa o cookie policy. Nella cookie policy si dovranno indicare le informazioni che riguardano proprio questi aspetti: le modalità del trattamento, le finalità, più alcune altre informazioni utili ai navigatori.

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Lo scopo della Cookie Law è la migliore tutela dei dati personali dei navigatori, ancora oggi ancora troppo poco informati su come i propri dati siano usati, collegati ed incrociati per costruire profili che le aziende usano per veicolare in modo mirato i propri messaggi pubblicitari.

Con le prescrizioni sull'informativa estesa, il Garante mira a mitigare il rischio di un uso indiscriminato e scorretto dei dati personali degli utenti.

Dunque, vediamo in cosa consista questa Cookie policy e quali informazioni essa debba contenere affinché risulti conforme alla Cookie Law.

L'Informativa estesa sui cookie o Cookie Policy

Il Garante Privacy parla espressamente della Cookie policy e la descrive nel dettaglio, evidenziando non solo le informazioni che essa deve contenere, ma anche le funzionalità che deve offrire e i "luoghi" da cui essa deve essere linkata.

4.2. L'informativa estesa.

L'informativa estesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

All'interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l'eventualità che tali collegamenti con le terze parti siano raccolti all'interno di un unico sito web gestito da un soggetto diverso dall'editore, come nel caso dei concessionari.

Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all'informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Nel medesimo spazio dell'informativa estesa deve essere richiamata la possibilità per l'utente (alla quale fa riferimento anche l'art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall'utente, l'editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Quindi, nella cookie policy dobbiamo indicare:

  1. Quali cookie installiamo, che informazioni ci salviamo dentro, perché le salviamo e per quanto tempo le salviamo;
  2. I link alle informative specifiche dei singoli servizi terzi che usiamo e che installano o leggono propri cookie attraverso il nostro sito (Facebook, Twitter, Google Analytics, ecc.);
  3. La possibilità, per il navigatore, di decidere quali cookie intende siano installati, e, eventualmente, di cancellare quelli già installati.

L'elenco precedente si basa sull'ordine seguito dal Garante. Nello spiegarti i tre punti, però, seguirò l'ordine inverso, dal terzo punto al primo, perché proprio il terzo punto è quello più scocciante e credo sia meglio affrontarlo subito e toglierci il pensiero.

Punto 3: Permettere al navigatore di scegliere di quali cookie autorizzare l'installazione

Andiamo a ritroso e partiamo dal terzo punto che è quello più "impiccioso": infatti, ad esso, in questo momento, allo "stato attuale dell'arte e della tecnica" (per usare un gergo caro ai giuristi) non possiamo adempiere. Semplicemente. Cito quanto ho scritto in un altro post sulla Cookie Law:

[...] allo stato attuale della tecnica sono ragionevolmente certo che non sia possibile, usando una semplice estensione, adeguare al 100% alla Legge Cookie gli E-commerce Management System(s) open source in circolazione; per quelli closed source è necessario uno sforzo che ragionevolmente sarà abbastanza impegnativo; per quelli offerti in modalità SaaS, se erogati da aziende statunitensi, è possibile che l'adeguamento non ci sarà mai.

In altre parole? A Giugno 2015, quando la Cookie Law sarà pienamente operativa, se il Garante Privacy non farà un passo indietro su questo specifico punto, saremo tutti nella cacca! 🙂
Ma io confido che il Garante si ravveda per tempo e che sia clemente (o che gli Americani ascoltino la nostra Italietta e adeguino i sistemi, è pur sempre una possibilità! Alla fin fine siamo pur sempre europei e l'Europa è un mercato: i conti torneranno?).

Ma per il momento è inutile affliggerci per questo problema: tanto comunque 1) Giugno 2015 è lontano (... e fu così che morì il commercio elettronico in Italia per indigestione di "biscotti"...) e 2) magari nel frattempo il punto viene chiarito e la normativa migliorata, o comunque si troverà una soluzione.
Nel frattempo non dobbiamo fare altro che aspettare e vedere che possiamo fare per raggiungere il massimo livello di conformità normativa possibile.

Quindi, bando alle ciance e ai piagnistei e andiamo avanti!

Punto 2: I link alle informative dei singoli servizi terzi

Passiamo al secondo punto, il più facile dei tre: i link alle informative dei singoli servizi.

Da premettere: ai sensi dell'art. 13 del Codice in materia di protezione dei dati personali, questi link dovrebbero essere già presenti nella tua privacy policy. La normativa ne parla in modo molto generico, e certo non c'è lo specifico obbligo dei link (come, invece, c'è ora nel caso dei cookie). Tuttavia, almeno una menzione dei servizi terzi che usi e che trattano i dati personali dei tuoi navigatori dovresti averla già messa nella tua privacy policy.

Non lo sapevi? Lo immagino. Ma fidati che è così. A dimostrarlo c'è un unico fatto che possiamo tranquillamente definire "emblematico": Google, per il servizio AdSense, da sempre prevede che chi pubblica annunci pubblicitari del network deve aggiungere una nota a riguardo alla propria privacy policy. San Tommaso voleva verificare, e quindi ecco un estratto di un post del 2008 pubblicato sul blog ufficiale di Google AdSense:

[...] publishers must notify their users of the use of cookies and/or web beacons to collect data in the ad serving process [...]

[...] gli editori devono informare i propri utenti dell'uso di cookie e/o web beacons per raccogliere dati durante il processo di erogazione della pubblicità [...]

Fonte: http://adsense.blogspot.it/2008/02/updated-terms-and-conditions.html

Ripeto, eravamo nel 2008. La Direttiva dell'UE che ha dato origine a questa rivoluzione normativa sui cookie è stata emanata solo nel 2009. Il Codice privacy, italiano, però, prevede quest'obbligo, ripeto, comunque in modo molto generico, già da prima del 2008. Quindi, a quest'obbligo avresti già dovuto adempiere.

Chiarito che siamo in ritardo, passiamo al pratico.

Adempiere a questo punto non è difficile e non serve certamente un genio (e probabilmente nemmeno un avvocato - superfluo aggiungere che comunque già dovresti averne uno, vero?): si tratta, semplicemente, di cercare le privacy policy dei vari Facebook, Twitter, Pinterest, Google, ecc. e linkarle nella nostra privacy policy (non necessariamente nella cookie policy). Niente di complicato: richiede solo un po' di tempo da dedicare alla ricerca e da dedicare all'inserimento dei link nella cookie policy. Forse è scocciante e noioso, ma non è complicatissimo. Si può fare! 🙂

Rimane l'ultimo punto: capire quali sono i cookie che installa il nostro e-commerce e a cosa servono.

Punto 1: Identificare i cookie che installa il nostro e-commerce

E ora il primo punto: l'identificazione dei cookie installati dal nostro sito e-commerce e il loro fine.

Eh eh, la parte "divertente" (si nota l'ironia?! 🙂 ).

Questo punto, in realtà, è il più scocciante dei tre perché richiede competenze tecnico-informatiche e competenze tecnico-giuridiche, ma soprattutto richiede un po' di tempo da dedicare alla ricerca.

Il punto è questo: il nostro e-commerce installa più di un cookie e, come fa il nostro e-commerce, anche gli altri servizi che usiamo installano più di un cookie.

E come li troviamo?

Ho fatto una ricerca su Google e il risultato è una lista di strumenti che ci possono tornare utili per capire quali sono i cookie che installa il nostro e-commerce.

Se non vuoi installare niente sul tuo computer o nel tuo browser, puoi usare uno di questi due servizi: CookieBot e OnlineCookieAudit.

Il primo, CookieBot, è un servizio freemium: significa che puoi scansionare il tuo sito gratis, ma devi pagare per avere le funzionalità premium (la cookie policy aggiornata automaticamente).

Il secondo, invece, OnlineCookieAudit, è molto meno bello esteticamente, ma fa egregiamente la stessa cosa: scarica l'home page del tuo sito e controlla quali cookie installa. Anche in questo caso c'è un servizio premium.

Se, invece, usi Firefox, allora puoi usare FireCookie, che, come evoca il nome, estende le funzionalità di FireBug, un'estensione usata dagli sviluppatori per analizzare i propri siti e trovare errori e margini di miglioramento.

Queste sono le estensioni migliori che ho trovato, se ne conosci altre commenta pure e condividile con la community di eCommerceRS!

La ricerca, ovviamente, mi ha portato anche su siti assolutamente inutili. Il più eclatante è uno che, a pagamento!, si preoccupava semplicemente di creare il banner informativo con il pulsante "ok" per chiuderlo: assolutamente inutile.
In realtà questo aspetto riguarda più la cookie box che non la cookie policy. Tuttavia l'ho segnalato comunque anche qui per completezza.

Autotutela: come disabilitare i cookie dal proprio browser

Una breve nota su questo aspetto: come disabilitare i cookie in autonomia.
Come avrai letto nell'estratto precedente del Regolamento sui Cookie (oramai Cookie Law), nell'informativa estesa devi spiegare al navigatore come può disabilitare i cookie dal proprio browser. Quindi, io lo spiego a te 🙂

Il primo strumento da menzionare è la navigazione anonima: la mettono a disposizione molti browser moderni e consiste in una finestra che, quando viene chiusa, cancella automaticamente TUTTI i cookie raccolti: la soluzione più semplice se davvero non si vuole che un sito ci tracci.

Il secondo strumento è l'estensione di Your Online Choices che

[...] ha lo scopo di preservare le vostre scelte espresse in youronlinechoices.eu. Ciò vale in particolare per la pubblicità comportamentale online (OBA – Online Behavioural Advertising) [...]

Fonte: http://www.youronlinechoices.com/it/estensione-browser-beta

Fatto il facile, passiamo al complicato.

La premessa: evidentemente il Garante non è uno sviluppatore e non si è mai trovato a creare siti web, altrimenti lo saprebbe che questo è un problema che esiste da quando è nato Internet.
Sto parlando dell'enorme quantità di browser esistenti e del fatto che ognuno di essi ha funzionalità e requisiti molto diversi sia l'uno dall'altro che tra versioni diverse dello stesso browser.

Questo significa che dovremmo (e probabilmente veramente dovremo!) coprire una vasta gamma di browser e inserire molti link nelle nostre cookie policy e in tutta onestà... "nun s' po' fa'".
Questo è un punto che mi farebbe piacere il Garante ritoccasse, o quanto meno rendesse più "uniforme" nell'applicazione concreta, magari creando esso stesso sul proprio sito una pagina ad hoc che ciascuno, poi, linkerà dal proprio sito.
Voglio dire, se noi dobbiamo fare il massimo per adeguarci e comunque non ci riusciremo, facesse "ALMENO" (avverbio citato dal Regolamento, come se fosse facile!) lui il minimo e si preoccupasse di questo: si tratta di creare qualche pagina sul proprio sito, no?

Ok, fatta la piccola polemica, passiamo a trovare una soluzione: tanto con o senza polemica, se le cose a Giugno 2015 non saranno cambiate, dovremo comunque tenerci la posta e adeguarci.

Direi di iniziare con un elenco dei browser più importanti in circolazione: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Apple Safari.
Quattro link che possono facilmente aumentare se consideriamo anche le versioni mobile (in alcuni casi le procedure sono uguali anche per il mobile, altre volte no: dipende!).

E fatto l'elenco dei browser più importanti mi fermerei pure e farei così: nella cookie policy scriverei "per sapere come disabilitare i cookie dal tuo browser, cerca su Google 'Come disabilitare i cookie in [nome del tuo browser]'. Per sapere qual è il browser che stai usando, cerca su Google 'Qual è il mio browser?'.

Ecco qua: non proprio giuridicamente impeccabile, ma sicuramente più che sufficiente in prima battuta sia a informare gli utenti che a dimostrare la nostra volontà di adeguarci per quanto possibile.

Conclusioni

Leggere questo articolo sulla Cookie policy ti avrà richiesto qualche minuto e relativamente poche energie. Tuttavia, scriverla per il tuo sito è sicuramente un'altra storia.

Purtroppo (o per fortuna, dipende da come consideri questa Cookie law) è necessario: ti ricordo che le sanzioni, in caso di inottemperanza, sono molto pesanti. Sarebbe il caso di iniziare a prepararsi per tempo.

Se usi un software open source, però, puoi stare un po' più tranquillo perchè, essendo open source, sarà molto più facile trovare informazioni sulla Cookie policy specifiche per il software che usi.

Se ti iscrivi alla newsletter di eCommerceRS.NET, puoi stare tranquillo: quando pubblicheremo anche queste informazioni specifiche per le cookie policy sarai tra i primi a venirlo a sapere. E sta' tranquillo che le pubblicheremo!

Nel frattempo non mi rimane che salutarti e augurarti una buona ricerca!

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Crediti immagine: e-comlaw.com