Come rendere il tuo e-commerce completamente conforme alla Legge Cookie

L'8 Maggio 2014 il Garante per la Protezione dei Dati Personali, altrimenti detto Garante Privacy, ha emanato un regolamento per l"Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie".

Tutti gli editori di siti web (anche e-commerce) hanno tempo fino al 3 Giugno 2015 per mettersi in regola, esattamente dopo un anno dalla pubblicazione della Legge. Infatti il suo testo è diventato Legge dello Stato Italiano il 3 Giugno 2014 con la pubblicazione sulla Gazzetta Ufficiale n. 126: è nata la Cookie Law Italiana.

La sua importanza è cruciale e porta notevoli sconvolgimenti nel modo di pensare e progettare il web. Capire come la neo-nata Cookie Law Italiana influisce sul nostro sito di commercio elettronico è altrettanto cruciale: come lo mettiamo a norma? Serve il banner o basta la "barra persistente"? E le informative, quante sono? E questa storia della cancellazione dei cookie dalla Cookie Policy? E come facciamo a sapere quanti e quali cookie usa il nostro e-commerce?

E si, ci sono proprio un bel po' di domande che questa "EU Cookie Law italiana" solleva. Sarebbe opportuno dare qualche risposta!

Indice dei post in questa guida

  1. Cookie: cosa sono e a cosa servono (anche secondo la Legge);
  2. Gli obblighi di informativa e il principio dell'opt-in;
  3. Ecco tutto quello che devi sapere sui tipi di cookie previsti dalla "Cookie Law";
  4. Come si distinguono i 3 tipi di cookie previsti;
  5. Guida all'informativa breve sui cookie (Cookie Box);
  6. Guida all'informativa estesa sui cookie (Cookie Policy);
  7. Tutti gli obblighi previsti dalla Legge Cookie;
  8. Il principio dell'opt-in e l'obbligo di gestione granulare dei cookie;
  9. La legge cookie è tecnologicamente agnostica;
  10. Cookie Law si, Cookie law no: Alcune opinioni sparse sulla nuova Legge;
  11. I problemi per il web marketing;
  12. I problemi tecnici (ovvero, cosa dovrebbe sapere uno sviluppatore web): come influisce la la nuova normativa sui cookie sul modo di progettare i CMS, i siti web e le web application.

Introduzione alla nuova Legge Cookie

Nel preparare questa guida alla EU Cookie Law italiana, sebbene sapessi di cosa si stesse parlando, ho avuto difficoltà a orientarmi. Le ho lette davvero tutte, qualcuno addirittura si è spinto a scrivere che

Sono considerati illegali tutti i siti che utilizzino cookie senza aver ricevuto il permesso dell’utente.

Diceva il mio istruttore di scuola guida che "'Sempre', 'mai' e 'spinterogeno', sono sempre falsi". Mi viene da aggiungere anche "tutti" all'elenco. Perché, infatti, non è vero che tutti i cookie sono illegali e non è vero che tutti i cookie richiedono il consenso espresso del navigatore.

E quindi? E quindi... dobbiamo capire che è successo nel mondo della Privacy e di Internet!

Per farlo non possiamo che partire dal testo del Regolamento divenuto Legge, cercando di capire:

  1. Cos'è un cookie secondo la Legge (quindi, secondo il Codice in Materia di Protezione dei Dati Personali, così come integrato dalla nuova normativa sui cookie);
  2. Quali sono le modalità di messa a norma di un sito web (quindi anche di un e-commerce): banner, modal box, barra persistente, informativa, link di cancellazione di tutti i cookie, ecc., quale?;
  3. Quali cookie crea il nostro sito web / e-commerce e come li usa;
  4. Come comportarci nel caso di cookie creati da servizi terzi (come Facebook, Google Analytics, MailChimp, ecc.);
  5. Come mettere in regola il nostro e-commerce praticamente.

Non ci resta che cominciare con il primo step: capire di che stiamo parlando.

Cosa statuisce la Cookie Law emanata dal Garante Privacy

Gli obblighi a carico degli editori di siti web

Gli obblighi in capo ai gestori di siti web (e quindi anche in capo ai commercianti elettronici), o "editori" nel gergo tecnico della cookie law, sono essenzialmente tre:

  1. Obbligo verso i navigatori di informativa nelle forme e modalità previste dalla Cookie Lawai sensi dell'art. 13 del Codice in Materia di Protezione dei Dati Personali, così come richiamato dall'art. 1 del Regolamento;
  2. Obbligo di rispettare il principio dell'opt-in nel caso si usino "cookie di profilazione" o "cookie di terze parti", garantendo al navigatore la possibilità di scegliere in modo consapevole ed esplicito di accettare o meno i cookie. L'editore, deve astenersi dal trattamento (non deve installare nessun cookie!) in assenza del consenso, perché non ancora acquisito oppure perché espressamente negato;
  3. Obbligo di notificazione al Garante per la Protezione dei Dati Personali del trattamento (l'installazione dei cookie) per scopi di profilazione.

Allo stato attuale della tecnica, possiamo ottemperare pienamente solo al primo obbligo e al terzo, quello di informativa e quello di notifica al Garante.

Il primo obbligo consiste nello scrivere una cookie policy e pubblicarla sul sito. In realtà dovrebbe essere un po' più "avanzata", ma per iniziare il "semplice" testo può andare più che bene. VA più che bene.

Il secondo obbligo, il rispetto del principio dell'opt-in, riguarda strettamente lo sviluppo dei vari E-commerce Management System(s) e pone un po' di problemi tecnici.

Il terzo obbligo, quello di notificazione al Garante in caso di trattamento di dati personali per fini di profilazione, invece, qualora ne fossimo soggetti, doveva già essere stato ottemperato e quindi non costituisce una novità.

Ad ognuno di questi obblighi corrisponde una diversa sanzione.

Le sanzioni in caso di inottemperanza

Le sanzioni sono indicate nella premessa 7 del Regolamento, Conseguenze del mancato rispetto della disciplina in materia di cookie.

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Se qualcuno pensa di lamentarsi per le così elevate sanzioni, si consoli sapendo che in Gran Bretagna la normativa ne prevede alcune che arrivano fino a 500,00 Sterline. Anche in quel caso si sono infuriati (eravamo nel 2012) ma hanno dovuto comunque adeguarsi (e forse non è un male).

I tempi di adeguamento

Dunque, abbiamo 3 obblighi distinti, ognuno dei quali si "declina" diversamente a seconda del tipo di cookie usato. Le soluzioni non sono così immediate e richiedono tempo e soldi, senza contare le difficoltà concrete.

A riguardo, il Garante per la Protezione dei Dati Personali, nella premessa 6, "Tempi di adeguamento", scrive:

Come già evidenziato in precedenza, il Garante è consapevole dell'impatto, anche economico, che la disciplina sui cookie avrà sull'intero settore della società dei servizi dell'informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno  a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate.

La scadenza per adeguarsi, quindi, è fissata al 3 Giugno 2015, un anno esatto dalla pubblicazione della decisione in GU, avvenuta il 3 Giugno 2014 (Gazzetta Ufficiale n. 126).

L'esempio dell'Information Commissioner's Office (ICO.org.uk)

Tutti gli obblighi previsti dalla Cookie Law sono perfettamente esemplificati dal sito dell'Information Commissioner's Office, organismo inglese di controllo e regolamentazione della privacy dei navigatori e dei cittadini in generale.

La cookie policy dell'ICO contiene esattamente tutte le informazioni e le funzionalità richieste dalla Legge sui Cookie Italiana e può essere un buon esempio da cui prendere spunto. A parte la cookie box, che è un'"esclusiva" italiana (nemmeno sbagliata, considerando il digital divide), anche gli altri obblighi sono ben adempiuti e sono un ottimo spunto da cui prendere esempio e trarre ispirazione.

Primissime conclusioni

La Legge Cookie porterà un bel po' di sconvolgimenti nel nostro modo di intendere Internet: sia come navigatori che come editori (commercianti, blogger, startupper, ecc.) ci troveremo di fronte a un web che sarà e dovrà essere più trasparente. La Legge Cookie, con i suoi pro e i suoi contro, è un passo da compiere, una medicina amara, per chi più, per chi meno. C'era, però, chi cantava "basta un poco di zucchero..." 😉

In ogni caso, una volta che avrai messo in regola il tuo e-commerce e lo avrai reso conforme alla normativa sui cookie (per quel che è possibile), non dimenticarti di informare i tuoi navigatori e i tuoi clienti! Anche l'ICO lo fece a suo tempo e l'idea non è assolutamente malvagia, anzi: http://ico.org.uk/news/current_topics/changes-to-cookies-on-our-website.

In alcuni punti di questa guida ho sottolineato i limiti e le difficoltà applicative di questa normativa.
Tuttavia non possiamo non considerare che molto spesso il problema non è di norme sbagliate ma di progettazioni del software sbagliate: i programmatori / sviluppatori conoscono molto bene il concetto di agnosticismo tecnologico. Ebbene, lo stesso concetto può essere applicato anche agli aspetti giuridici del software! Diventa quasi una questione di... user experience.
Un buon punto di partenza potrebbe essere proprio la privacy (anche se il ragionamento si estende ad altri aspetti legali, come, per esempio, l'accettazione delle condizioni generali e delle clausole vessatorie): basta cercare su Google "Privacy by Design" e si troverà un mondo nuovo da scoprire!

Qualunque cosa tu faccia, tieni presente che problemi di questa natura, che involgono privacy, diritti, "informazioni", saranno sempre più frequenti in futuro, man mano che le tecnologie evolveranno. Sui cookie, in particolar modo, oltre ai siti linkati in giro per questa guida, aggiungerei anche quello del Public Suffix: gestito da Mozilla, mantiene una lista aggiornata di quali cookie possono essere installati da quali siti su quali domini (volendolo descrivere in modo molto molto semplicistico più che semplice).

Il ragionamento pericoloso: Quando si adegueranno i più grandi mi adeguerò anche io

Un paragrafo apposta gli voglio dedicare: un pensiero semplice semplice che con elevatissima probabilità ti è già passato per la testa.

Sembra un ragionamento sensato, ma in questo caso devi stare molto molto attento a chi prendi come esempio: ricordati che TU SEI EUROPEO mentre Facebook, Google, Twitter e tutti gli altri non lo sono e, sebbene siano soggetti alla normativa europea e italiana, sono un po' più liberi di muoversi e di difendersi rispetto a te.

Quindi il mio suggerimento è di stare attento, molto attento.

Conclusioni (questa volta per davvero!)

E con questo abbiamo veramente finito. Per ora, almeno! Nelle prossime settimane pubblicherò altri post sulla privacy, e sui cookie in particolare, che ti aiuteranno ad arrivare a Giugno 2015 pronto e in regola! Newsletter? Iscriviti, va (guarda ora in basso a destra 🙂 ) Alla prossima!

PS. Se ti ti è piaciuto questo post... Condividi! 🙂

2 Commenti

  1. Pierfrancesco 3 novembre 2014 al 14:06 - Rispondi

    Che ne pensi invece di questo Plugin x WordPress ?
    https://wordpress.org/plugins/cookie-law-info/

    • Aerendir 4 novembre 2014 al 11:42 - Rispondi

      Molto interessante, soprattutto per il modulo Cookie Audit:

      “It also has a Cookie Audit module so you can easily show what cookies your site uses and display them neatly in a table on your Privacy & Cookies Policy page.”

      Non so se funzioni al 100% perchè non l’ho provato, però fa certamente un passo avanti e semplifica la vita!

      Lo proverò appena possibile! Grazie per averlo segnalato! 🙂

Scrivi un commento