Cookie Law: Guida all’informativa breve sui cookie (Cookie Box)

La Legge Cookie prescrive che i navigatori siano informati circa il trattamento dei loro dati personali effettuato attraverso i cookie da un sito web.

Una delle prescrizioni riguarda la cosiddetta informativa breve che va fornita al navigatore attraverso quella che ormai possiamo tranquillamente definire Cookie box.

La Legge Cookie indica chiaramente i contenuti del Cookie box e i requisiti che essa deve possedere affinché sia conforme alle regole statuite.

In questo post vediamo di capire cosa dobbiamo fare per avere un'informativa breve e una cookie box conformi alle prescrizioni imposte dalla Legge Cookie.

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Quando nel 2009, con la direttiva 2009/136/CE, l'Europa regolamentò in modo molto generico e sintetico l'uso dei "cookie" (tra virgolette, perchè in realtà anche quella normativa è tecnologicamente agnostica), ci si soffermò solo sugli aspetti informativi, imponendo un genericissimo obbligo in capo agli editori.

La direttiva, infatti, recita:

Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un'attività che potrebbe implicare l'archiviazione o l'ottenimento dell'accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili.

Quando l'Italia, con il decreto legislativo 69/2012, ha aggiornato la propria normativa sulla privacy in ottemperanza alla direttiva, gli editori, nell'adeguarsi, hanno tenuto in massima considerazione proprio il cookie box. E molto spesso lì si sono fermati, non considerando che l'obbligo di informativa, in realtà, esisteva già, anche se genericamente statuito all'art. 13 del Codice in materia di protezione dei dati personali. Però c'era!

Questo ha portato, e porterà ancora, a due problemi per i siti italiani: il primo problema è che, avendo semplicemente "copiato", ci siamo limitati, in molti casi, solo al cookie box, senza preoccuparci di informative estese e simili. Questo perchè sono stati messi a disposizione molti plugin con "due" righe di codice JavaScript per il banner, una cosetta facile facile, insomma. Peccato che siano inutili se usati da soli.

Il secondo problema, invece, riguarda proprio il cookie box in sé: il Garante Privacy è molto stringente sui requisiti che essa deve possedere e al momento i plugin in circolazione ignorano completamente la prescrizione.

Il Regolamento sui Cookie del Garante Privacy ha dedicato un intero paragrafo proprio al cookie box, indicando nel dettaglio contenuti, modalità di funzionamento e scopi.

Cookie Box: I contenuti obbligatori

Il paragrafo della Legge Cookie dedicato al cookie box si apre proprio con i contenuti che esso deve contenere.

Il Garante è molto chiaro su questo punto e impone, in sostanza, che il riquadro con l'informativa breve sui cookie (il cookie box, appunto) riporti tutte le informazioni riguardanti gli obblighi in capo agli editori.

4.1. Il banner contenente informativa breve e richiesta di consenso.

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;

b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);

c) il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;

e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Gli obblighi posti in capo agli editori dalla Legge Cookie sono riassunti tutti nel cookie box: non a caso si chiama anche (anzi, in realtà così si chiama da un punto di vista tecnico-giuridico!) "informativa breve"!

Infatti, i punti a) e b) chiariscono che il navigatore va informato dell'uso di cookie di profilazione o di cookie di terze parti (ricordo che, nel caso in cui si usino solo cookie tecnici che non siano nemmeno di terze parti, l'informativa breve non va fornita, ma basta la semplice informativa data senza vincoli di forma ma solo rispondente ai requisiti previsti dall'art. 13 del Codice in Materia di Protezione dei Dati Personali).

Il punto c) impone l'inserimento di un link all'informativa estesa.

Il punto d) cita l'obbligo di gestire in modo granulare i cookie e, soprattutto, richiama il principio fondamentale dell'opt-in.

Il punto e) autorizza alla prestazione del consenso per facta concludentia: se il navigatore supera il banner, rimanendo sul sito, automaticamente ha prestato il consenso al trattamento dei propri dati personali a mezzo cookie.

Salvo il punto d) a cui ho dedicato un post a parte, non c'è nulla di complicato per ciò che riguarda i contenuti dell'informativa breve fornita attraverso il cookie box.

Più "delicato", invece, è il funzionamento del cookie box, che, come detto e come vedremo al paragrafo seguente, deve tenere alcuni comportamenti specifici ("behaviors") che garantiscono che il navigatore non solo sia stato informato, ma che abbia accettato in modo chiaro e esplicito il trattamento dei propri dati personali attraverso i cookie.

Cookie box: il funzionamento ("the behaviors")

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parte integrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l'acquisizione del consenso online all'uso dei cookie degli utenti, sempre che tali modalità assicurino il rispetto di quanto disposto dall'art. 23, comma 3, del Codice.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Dunque, di che stiamo parlando? Stiamo parlando di quelle finestre pubblicitarie che una volta aperte richiedono necessariamente il click sulla X di chiusura oppure sull'area semitrasparente (normalmente di colore grigio / nero) circostante: al click la finestra si chiude.

Secondo la Legge Cookie con questo stesso meccanismo, il click diventa "l'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente".

Tecnicamente questo tipo di tecnologia prende il nome di "modal box" e si implementa con poche righe di codice JavaScript (ma questo non significa che sia facile o che costi poco farlo!).

Per vedere un generico esempio di ciò di cui stiamo parlando, puoi vedere come questo "meccanismo" sia stato implementato nel framework CSS Bootstrap.
Senza scendere nel tecnico se non sei uno sviluppatore, basta che scorri un po' la pagina (il link "prova" ti porterà esattamente alla sezione dedicata alle modal box!), fino alla sezione "Live demo" dove c'è un pulsante blu con l'etichetta "Launch demo modal": una volta cliccato, apparirà la finestra con l'esatto comportamento descritto dalla Legge Cookie: prova!

Anche in questo caso, dunque, non ci sono particolari problemi tecnici cui far fronte: implementare il cookie box assolutamente non pone alcun problema tecnico-informatico.

L'ultimo comportamento del cookie box richiesto dalla Legge Cookie è la memorizzazione della scelta dell'utente: vediamolo più da vicino.

Cookie box: come memorizzare le scelte del navigatore

Ecco come si memorizza la scelta, nel "posto" più logico che esista: un cookie! 🙂

In conformità con i principi generali, è necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia da parte dell'editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale "documentazione" delle scelte dell'utente consente poi all'editore di non riproporre l'informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito, ad esempio tramite accesso all'informativa estesa, che deve essere linkabile da ogni pagina del sito.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

E già, un cookie per memorizzare le scelte sui cookie... Mi si arrovella il cervello! 😉

In ogni caso, vorrei farti notare che il Garante definisce questo cookie come tecnico: significa che dentro puoi memorizzarci solo ed esclusivamente questa singola scelta. Se dentro ci memorizzi altre informazioni o se usi i cookie così memorizzati per altre operazioni ("Quante persone hanno accettato i cookie e quante li hanno rifiutati?" oppure "Quali persone, specificamente, hanno rifiutato i cookie?" ti consiglio di prestare molta molta attenzione a quello che fai e alle informative che usi!).

La seconda cosa che voglio farti notare è che il Garante Privacy espressamente prevede che anche questo cookie sia gestibile in autonomia dal navigatore che, accedendo alla cookie policy estesa, deve essere messo in grado di "negare il consenso e/o modificare

[...] le proprie opzioni relative all'uso dei cookie da parte del sito".
Quindi, sebbene la gestione granulare dei cookie in linea di principio pone molti e gravi problemi tecnico-informatici, non mi pare che questo specifico obbligo possa essere disatteso: un plugin che gestisca i cookie deve ALMENO permettere di gestire il cookie del consenso prestato attraverso il cookie box.

L'esempio pratico del Garante Privacy

Alla fin fine non è che ci siano chissà quali difficoltà tecniche particolari: l'implementazione pare essere abbastanza facile.
Tuttavia il Garante Privacy è stato davvero meticoloso e, per scacciare ogni dubbio, ha preparato un bel mockup d'esempio che illustra nel modo più chiaro possibile come immagina il funzionamento del cookie box:

L'esempio pubblicato dal Garante per la Protezione dei Dati Personali di un banner per la richiesta del consenso all'installazione di cookie sul computer del navigatore.

L'esempio pubblicato dal Garante per la Protezione dei Dati Personali di un banner per la richiesta del consenso all'installazione di cookie sul computer del navigatore.

Giusto per stare tranquilli e per bloccare sul nascere ogni "malsana idea" di chi pretenda di insinuarsi tra le maglie della Legge Cookie (perchè, comunque, ce ne sono, ma c'è tempo per rattopparle!).

E il web come si è adeguato?

È vero che in Italia la Legge Cookie non è ancora pienamente operativa.
Tuttavia la naturale conclusione è che i banner con le informative brevi che amiamo sfoggiare sui nostri siti web e sui nostri e-commerce sono, al momento, semplicemente inutili, oltre che per il fatto che si limitano all'informativa (senza tenere conto di tutti gli altri obblighi), anche, e soprattutto, perché non rispettano il requisito dell'insuperabilità senza un'azione positiva dell'utente: il navigatore può continuare a vedere le altre pagine del sito e ogni volta sarà inserito anche il banner, fin quando l'utente non clicca sulla X.

Anche i maggiori siti internazionali che operano anche in Europa si sono ciascuno adeguati a proprio modo (d'altra parte l'obbligo di informativa era davvero molto molto generico!).

Ho scattato un paio di screenshot in giro per il web:

Amazon-Cookies

Home page di Amazon: inserisce una semplice menzione sui cookie nella barra laterale. NON CONFORME.


eBay-Cookies

Home page di eBay: usa una barra nella parte alta della pagina, ma il sito continua ad essere navigabile. NON CONFORME.


Facebook-Cookies

Home page di Facebook: l'utente accetta l'uso dei cookie in fase di iscrizione. CONFORME. Se si arriva su una pagina interna, una Brand Page, per esempio, però non compare nessun avviso sui cookie. NON CONFORME.


Google-Cookies

Home page di Google: usa una barra informativa posta nella parte inferiore della pagina. NON CONFORME.


LeroyMerlin-Cookies

Home page di Leroy Merlin: una semplice barra informativa. NON CONFORME.


Twitter-Cookies

Home page di Twitter: il consenso viene acquisito in fase di iscrizione. CONFORME. In tutte le altre pagine compare il semplice cookie box: NON CONFORME.

Dunque, per potersi conformare alle prescrizioni imposte dalla Legge Cookie, non basta questa semplice informativa, poiché il cookie box può essere facilmente superato semplicemente ignorandolo, ed è proprio questo che il Garante intende evitare ponendo tutti i requisiti che ha posto.

Adempiere compiutamente a quest'obbligo richiede un po' di lavoro, ma si può fare: dobbiamo solo aspettare che anche i nostri sviluppatori si sveglino e rilascino plugin ad hoc (a meno che, ovviamente, non vogliamo che lo facciano i tedeschi o gli inglesi al posto nostro - senza voler essere nazionalista, ovviamente, ma solo orgoglioso "della maglia" 🙂 ).

Cookie box e informativa breve: Qualche risorsa tecnica per gli sviluppatori

Poichè mi sono appena lamentato, e poichè non mi piace lamentarmi per il solo gusto di farlo, mi sono preso la briga di cercare qualche altra informazione tecnico-informatica: così, chi volesse immolarsi sull'altare virtuale della Patria, almeno avrebbe qualche strumento utile da usare all'occorrenza.

Dunque, un buon punto di partenza potrebbe essere https://www.cookiechoices.org, un sito messo su da Google che si occupa solo e esclusivamente di cookie.
Su CookieChoices si possono trovare, oltre a informazioni interessantissime sull'uso dei cookie nelle altre nazioni europee e non, anche alcuni script molto utili da cui partire per implementare nel proprio e-commerce (o nel proprio blog o su qualunque altro sito) le funzionalità di base per rendersi (IN PARTE!) conformi alla nuova normativa sui cookie. Da vedere assolutamente!

Cookie box e informativa breve: qualche risorsa (a)tecnica per i commercianti

Questa è pur sempre La Guida per Commercianti alla Legge Cookie! Potevo mai dimenticarmi dei miei colleghi!?

Tralasciando il fatto che esistono già plugin per i maggiori E-commerce Management System e per i maggiori CMS, esistono anche soluzioni stand-alone, cioè implementabili su qualunque piattaforma si stia usando.

Una di queste è sviluppata da CivicUK ed è erogata in modalità SaaS con un'offerta premium: uno sguardo io glielo darei. Ecco il link.

Conclusioni

Alla fin fine l'informativa breve fornita a mezzo cookie box non pare porre particolari problemi di implementazione. Anzi, in realtà pare che, al momento, sia proprio l'unica occasione che abbiamo per rendere il nostro sito e-commerce pienamente conforme alle prescrizioni della Legge Cookie: infatti, gli unici cookie su cui siamo sicuri di poter agire in modo certo sono proprio quelli in cui si memorizzano le scelte dell'utente circa l'uso dei cookie. Tutti gli altri, invece, richiedono tempi davvero lunghi e sforzi non indifferenti.

Spero che ora la situazione ti sia un po' più chiara e che tu sia, ora, in grado di sapere come muoverti per rendere il tuo sito e-commerce pienamente conforme alla Legge Cookie, almeno dal punto di vista del cookie box con l'informativa breve sui cookie!

Questo post fa parte della Guida per Commercianti alla Legge sui Cookie

La Legge sui Cookie stabilisce le regole che gli editori di siti web (quindi anche i commercianti) devono rispettare affinché i navigatori siano consapevoli di come e perché i propri dati personali sono memorizzati in quali cookie.

Questa guida spiega, con vari livelli di approfondimento, come mettere in regola un sito di commercio elettronico.

Indice completo della Guida per Commercianti alla Legge sui Cookie.

Se hai dubbi, domande o suggerimenti lascia un commento!

Scrivi un commento