Come rendere il tuo e-commerce completamente conforme alla Cookie Law

0 Condivisioni

ATTENZIONE Stiamo aggiornando questo post e tutti quelli riguardanti la normativa sui cookie, aggiungendo informazioni e chiarendo i punti più critici.
Quando l’aggiornamento sarà terminato invieremo un’email a tutti i nostri iscritti.
Usa il box di iscrizione alla newsletter qui a destra (o in fondo alla pagina se leggi dal cellulare) per essere avvisato tempestivamente.

La Cookie Law regolamenta le informazioni sui cookie che devi fornire ai navigatori che accedono al tuo sito.

La Cookie Law regolamenta anche cosa puoi fare o non puoi fare con i cookie a seconda che tu abbia ottenuto o meno il consenso dei tuoi navigatori e definisce le modalità concrete con cui devi ottenerlo.

Inoltre sancisce ulteriori obblighi in caso di uso dei cookie per profilare i navigatori.

La Cookie Law è contenuta tutta nel Regolamento per l”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” emanato dal Garante per la Protezione dei Dati Personali (il Garante Privacy) l’8 Maggio 2014.

Il suo testo è diventato Legge dello Stato Italiano il 3 Giugno 2014 con la pubblicazione sulla Gazzetta Ufficiala n. 126.

La sua importanza è cruciale, soprattutto considerando le sanzioni in caso di inottemperanza e porta notevoli sconvolgimenti nel modo di pensare e progettare il web.

Capire come la Cookie Law influisce sul nostro ecommerce è altrettanto cruciale:

  • Come lo mettiamo a norma?
  • Serve il banner o basta la “barra persistente”?
  • E le informative, quante sono?
  • E questa storia della cancellazione dei cookie dalla Cookie Policy?
  • E come facciamo a sapere quanti e quali cookie usa il nostro e-commerce?

Ad alcune domande puoi trovare risposta direttamente sul sito del Garante per la Protezione dei Dati Personali.

Per tutte le altre, continua a leggere questa guida.

La Cookie Law in breve

La cookie law definisce “editore” qualunque soggetto che conduca un sito web, sia esso un blog, un sito di presentazione o un e-commerce.

Gli obblighi cui gli “editori” devono ottemperare (che devono rispettare) sono essenzialmente tre:

  1. Obbligo verso i navigatori di informativa nelle forme e modalità previste dalla Cookie Law e ai sensi dell’art. 13 del Codice in Materia di Protezione dei Dati Personali (sostituito dal GDPR per buona parte), così come richiamato dall’art. 1 del Regolamento;
  2. Obbligo di rispettare il principio dell’opt-in nel caso si usino “cookie di profilazione” o “cookie di terze parti”: senza consenso espresso non puoi installarli e devi permettere al navigatore di disabilitarli se li ha già accettati;
  3. Obbligo di notificazione al Garante per la Protezione dei Dati Personali del trattamento per scopi di profilazione: il “trattamento” indica l’atto di installare i cookie.

Riassumendo quanto prescrive la Cookie Law, questo è quello che devi sapere per avere un quadro della normativa, anche se abbastanza generico:

  1. Quando il navigatore arriva sul tuo sito:
    1. Puoi installare solo i cookie tecnici. Non puoi installare, invece, i cookie di profilazione e nessun tipo di cookie di terze parti (nemmeno quelli di Google Analytics, nemmeno in forma anonima): per questi ti serve il consenso espresso (principio dell’opt-in);
    2. SOLO se usi cookie di profilazione o qualunque cookie di terza parte, devi mostrare un banner:
      1. Che contenga un link alla cookie policy;
      2. Che informi il navigatore che usi cookie di terze parti e/o cookie di profilazione: la chiusura del banner comporta accettazione da parte del navigatore all’installazione dei cookie e non è necessario che contenga un bottone con scritto qualcosa come “Accetto”;
  2. IN OGNI CASO devi predisporre sul tuo sito una Cookie Policy che:
    1. Spieghi quali categorie di cookie usi;
    2. Permetta al navigatore di disabilitare o abilitare SINGOLARMENTE quelli di profilazione o di terza parte, modificando o specificando meglio la scelta già espressa quando gli hai mostrato il banner dei cookie;
    3. Sia raggiungibile da qualunque pagina del tuo sito: il modo migliore è aggiungere il suo link nel footer, oltre a quello della privacy policy, delle condizioni generali, ecc.

ATTENZIONE: Si legge in rete che non ci sia l’obbligo di elencarli e di permettere di gestirli uno per uno dall’Informativa Estesa.
Questo è completamente sbagliato: leggi il paragrafo dedicato all’Informativa Estesa per tutte le informazioni e per i riferimenti normativi corretti.

A scanso di equivoci, GDPR e Cookie Law sono due cose distinte e separate: il primo regolamenta la privacy in generale mentre il secondo regolamenta in modo specifico i cookie.

Quindi, la Cookie Law è diversa dal GDPR (General Data Protection Regulation – Regolamento Generale per la Protezione dei Dati).

Il GDPR è un regolamento europeo che disciplina la più ampia materia della tutela dei dati personali.

La Cookie Law è una legge di recepimento della direttiva europea ePrivacy e disciplina in modo specifico la materia dei cookie.

Il GDPR, in quanto regolamento, non ha bisogno di alcuna legge di recepimento perché sia vigente: lo devi rispettare per il solo fatto che l’Unione Europea lo ha emanato ed è considerato esattamente come una Legge dello Stato Italiano.

Ora che abbiamo chiari gli aspetti fondamentali, passiamo ad analizzarli uno per uno:

  1. Cosa sono i cookie e quali sono i tipi previsti;
  2. L’Informativa breve sui Cookie (o Banner sui cookie o Cookie Box);
    1. Il blocco preventivo dei cookie diversi da quelli tecnici;
    2. Eccezioni al blocco preventivo dei cookie;
    3. Il banner sui cookie;
    4. Il consenso espresso del navigatore all’installazione dei cookie;
    5. Le sanzioni previste;
  3. L’informativa estesa sui Cookie (o Cookie Policy);
    1. L’elenco dei cookie e la gestione del consenso all’installazione;
    2. Le sanzioni previste;
  4. La notifica al Garante per la Protezione dei Dati Personali in caso di uso di Cookie di Profilazione;
  5. Scheda di riepilogo degli obblighi in materia di cookie;
  6. Applicazione della Cookie Law a strumenti ulteriori rispetto ai cookie;

Cosa sono i cookie e quali sono i tipi previsti

Da un punto di vista tecnico-informatico, il cookie è un semplice file di testo memorizzato nel browser del navigatore dal sito che sta visitando.

La Cookie Law li differenzia in tre tipologie a seconda del contenuto e dello scopo per cui sono memorizzati.

Comprendere bene come qualificare un cookie è fondamentale perchè in base a questa distinzione cambiano gli obblighi cui devi ottemperare (che devi rispettare).

Cookie di Terza Parte. Qualunque cookie installato da un dominio diverso da quello del sito web visitato.

I cookie installati da Google Analytics, Facebook, sistemi di analisi e via dicendo, sono tutti cookie di terza parte e lo sono sempre, anche se anonimizzati (cioè anche se non contengono informazioni che permettono di identificare l’utente alle visite successive).

Cookie Tecnici. Sono i cookie necessari al corretto funzionamento del sito.

Per esempio, il cookie che memorizza il carrello in un sito di commercio elettronico, o il cookie che memorizza la lingua scelta dall’utente, o il cookie che permette di essere riconosciuto dal sito senza che sia necessario eseguire di nuovo il login.

Cookie di Profilazione. Sono tali i cookie che permettono di riconoscere l’utente e di studiarne il comportamento.

Per esempio per fare analisi sui prodotti che ha inserito nel carrello, da quale nazione proviene, quale lingua parla, quali pagine o quali prodotti ha visualizzato sul sito e cose di questo tipo.

Cosa ne facciamo di queste informazioni è irrilevante: possiamo usarle per mostrare pubblicità mirate, per condurre analisi statistiche, per mandare email personalizzate.

La sostanza non cambia: stiamo profilando il navigatore e dobbiamo informarlo di questo (e dobbiamo informare anche il Garante per la Protezione dei Dati Personali).

Esistono ulteriori sotto-categorie di cookie tecnici: per un ulteriore approfondimento puoi leggere Tutto quello che devi sapere sui vari tipi di cookie.

L’Informativa Breve sui Cookie (o Banner sui Cookie o Cookie Box)

Nel caso in cui il tuo sito installi cookie di profilazione o cookie di terza parte, la Cookie Law ti obbliga a fare tre cose:

  1. Astenerti dall’installarli fino a che non avrai ottenuto il consenso (puoi, invece, installare quelli tecnici di prima parte);
  2. Mostrare un’informativa breve in forma di banner per informare il navigatore e ottenerne il consenso all’installazione.
  3. Permetterne la gestione nell’informativa estesa: il navigatore deve poterli abilitare o disabilitare a proprio piacimento uno per uno.

ATTENZIONE: Si legge in rete che non ci sia l’obbligo di elencarli e di permettere di gestirli uno per uno dall’Informativa Estesa.
Questo è completamente sbagliato: leggi il paragrafo dedicato all’Informativa Estesa per tutte le informazioni e per i riferimenti normativi corretti.

Solo se usi anche cookie di profilazione, la Cookie Law ti obbliga anche a notificare il Garante per la Protezione dei Dati Personali di questo.

Per i riferimenti normativi, l’analisi più approfondita di tutti gli aspetti riguardanti il banner dei cookie e per capire ancora meglio come conformarti alla Cookie Law, puoi leggere il post di approfondimento sul banner per i cookie.

Il blocco preventivo dei cookie diversi da quelli tecnici

Quando il navigatore accede al tuo sito web, gli unici cookie che puoi installare sono quelli tecnici.

I cookie tecnici sono quelli necessari al corretto funzionamento del sito e sono gestiti, di solito, dal sito stesso: registrazione, carrello degli acquisiti, lingua da usare, ecc.

La Cookie Law non ti obbliga a bloccare questi cookie: puoi installarli anche senza consenso espresso.

Inoltre, se usi solo questo tipo di cookie, la Cookie Law non ti obbliga nemmeno a mostrare il banner.

In pratica, se usi WordPress e WooCommerce, PrestaShop o Magento, non devi fare niente: crei la cookie policy e sei a posto.

Questo vale anche se usi un software di conteggio delle visite ospitato direttamente sui tuoi server: i cookie che installa sono definiti “cookie analytics” e sono equiparati a quelli tecnici quando creati da software ospitati sui tuoi server.

Se invece usi Google Analytics, sebbene i cookie che usa siano di analisi, essi sono comunque installati da un soggetto terzo: questo significa che tecnicamente sono “cookie di analisi di terza parte”.

Il fatto che siano anche cookie di terza parte fa sorgere gli obblighi previsti per questo tipo di cookie:

  1. Non puoi installarli fin quando non hai ottenuto il consenso;
  2. Devi mostrare al navigatore l’Informativa breve;
  3. Nell’Informativa Estesa, devi elencare e permettere di gestire il consenso cookie per cookie.

ATTENZIONE: Si legge in rete che non ci sia l’obbligo di elencarli e di permettere di gestirli uno per uno dall’Informativa Estesa.
Questo è completamente sbagliato: leggi il paragrafo dedicato all’Informativa Estesa per tutte le informazioni e per i riferimenti normativi corretti.

Lo stesso discorso, vale anche se usi dei cookie di profilazione, per esempio se crei le Custom Audiences su Facebook o le liste su Google Ads per il retargeting.

In questo caso, inoltre, sorge anche l’obbligo di notificazione al Garante (v. paragrafo La notifica al Garante per la Protezione dei Dati Personali in caso di uso di Cookie di Profilazione).

Eccezioni al blocco preventivo dei cookie

L’unica eccezione riguarda i cookie di analisi di terza parte anonimi.

I cookie di analisi (“cookie analytics“) sono una sottocategoria dei cookie tecnici: sono quelli che servono a conteggiare le visite e raccogliere altre informazioni di base sulla visita (non sul visitatore!).

Il Garante per la Protezione dei Dati Personali ha chiarito che questo tipo di cookie, pur se di terza parte, è installabile anche senza consenso, a patto che sia anonimo.

È il caso, per esempio, di Google Analytics: se lo configuri in modo tale che non raccolga l’indirizzo IP, allora puoi installarlo anche prima di ottenere il consenso.

Il banner sui cookie

Il banner è lo strumento con il quale fai leggere al navigatore l’Informativa Breve che hai predisposto.

A rigor di legge, le informazioni che deve contenere sono:

  1. Un breve testo che spieghi che usi cookie di terze parti e/o cookie di profilazione;
  2. Un link all’ Informativa Estesa (Cookie Policy);
  3. L’indicazione che dall’Informativa Estesa è possibile negare o revocare il consenso all’uso dei cookie;
  4. L’indicazione che il click in qualunque area del sito o comunque la prosecuzione della navigazione, comporta automatica accettazione dell’installazione dei cookie.

Il consenso espresso del navigatore all’installazione dei cookie

Perchè il consenso si intenda prestato (cioè, dato), per la Cookie Law le uniche due condizioni importanti sono:

  1. Che il banner sia “parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente”;
  2. Che il consenso sia acquisito con modalità che “assicurino il rispetto di quanto disposto dall´art. 23, comma 3, del Codice” (in Materia di Protezione dei Dati Personali, così come integrato dal GDPR).

Anche se il Garante offre un esempio di possible banner, espressamente ammette la possibilità che il consenso sia acquisito con modalità differenti da quelle suggerite, purché rispettino il Codice Privacy.

Nella pratica, quindi, troviamo due tipi principali di banner:

  1. Una barra fissa nell’header o nel footer della pagina: questa rimane visibile sempre e per chiuderla bisogna cliccare su un bottone;
  2. Una modal box che impedisce la lettura della pagina e che scompare con un click o il semplice scorrimento.

Con le dovute attenzioni, entrambe le forme sono legittime.

Registrazione e prova del consenso

La Cookie Law non richiede che si tenga alcun tipo di registro.

Per intenderci, non devi memorizzare nulla sul tuo sito che attesti che il navigatore abbia effettivamente prestato il consenso lo abbia negato all’uso dei cookie.

La Cookie Law espressamente ritiene perfettamente ammissibile la memorizzazione della scelta del navigatore in un cookie tecnico che può essere anche usato per evitare di mostrare il banner al navigatore alla visita successiva.

Le sanzioni previste

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

L’Informativa Estesa sui Cookie (o Cookie Policy)

Qualunque sia il tipo di cookie che installi, la Cookie Law prescrive che tu abbia un’Informativa Estesa, quella che chiamiamo comunemente “Cookie Policy”.

La Cookie Policy deve:

  1. Descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito;
  2. Consentire all’utente di selezionare/deselezionare i singoli cookie;
  3. Contenere un link alle informative e ai moduli di consenso di ogni terza parte che possa installare cookie (Google Analytics, Facebook, Twitter, ecc.);
  4. Ricordare al navigatore che può configurare il browser affinché non accetti o accetti solo alcuni cookie.

Oltre a questi elementi, l’Informativa Estesa deve contenere anche tutti gli elementi previsti dall’art. 13 del Codice in Materia di Protezione dei Dati Personali.

La Cookie Policy deve essere raggiungibile sia dal banner dei cookie che da ogni pagina del sito mediante link nel footer.

Per i riferimenti normativi, l’analisi più approfondita di tutti gli aspetti riguardanti L’Informativa Estesa e per capire ancora meglio come conformarti alla Cookie Law, puoi leggere il post di approfondimento sulla Cookie Policy.

L’elenco dei cookie e la gestione del consenso all’installazione

Alcuni siti dicono che non è necessaria né la lista dei cookie né la possibilità di gestione cookie per cookie.

Questo non è vero in base alla normativa italiana sui cookie: loro prendono in considerazione la Direttiva Europea ma in Italia vige la legge di recepimento di quella direttiva, la Cookie Law, che crea obblighi nuovi e maggiori rispetto alla direttiva.

La legge di recepimento è in sostanza il Regolamento predisposto dal Garante per la Protezione dei dati personali e il Regolamento, al paragrafo 4.2 delle premesse, prevede espressamente che:

4.2. L’informativa estesa.
L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Le sanzioni previste

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

La notifica al Garante per la Protezione dei Dati Personali in caso di uso di Cookie di Profilazione

I Cookie di Profilazione sono quelli idonei a identificare un particolare utente al fine di studiarne il comportamento, le abitudini di acquisito, l’orientamento religioso o politico.

Servono, in pratica, a creare un suo profilo utile poi per proporgli prodotti o servizi personalizzati o di suo interesse.

L’uso di questi cookie è molto comune negli e-commerce per poter personalizzare l’esperienza del navigatore, proponendogli prodotti che con un certo grado di certezza può trovare interessanti.

Nel caso in cui facessi uso di questo tipo di cookie, la Cookie Law espressamente richiede che sia inviata comunicazione di questa pratica al Garante per la Protezione dei Dati Personali.

5.  Notificazione del trattamento.
Si ricorda che l’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti“.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Non rientra nell’obbligo di notificazione, invece, l’uso dei cookie tecnici di qualsiasi tipo.

Scheda di riepilogo degli obblighi in materia di cookie

All’inizio comprendere cosa bisogna fare può sembrare complicato.

Ricapitolando, se usi solo tecnici o cookie analitici anche se di terza parte, devi predisporre solo una generica Cookie Policy.

Se usi altri tipi di cookie di terza parte (per esempio dei widget sociali come i bottoni di condivisione di Facebook), allora devi mostrare i cookie banner.

Se tracci il comportamento degli utenti, per esempio per analisi comportamentali o per il remarketing, devi anche inviare una comunicazione al Garante per la Protezione dei Dati Personali.

Il Garante stesso ha provveduto a riassumere in un’infografica tutti gli obblighi e le condizioni che devono sussistere affinché tu debba rispettarli.

Tutti gli obblighi previsti dalla cookie law e i casi in cui vanno rispettati.
Clicca sull’immagine per ingrandirla.

Applicabilità della Cookie Law a strumenti ulteriori rispetto ai cookie

Fino a questo momento abbiamo parlato della Cookie Law come della normativa applicabile nel caso si usino cookie sui propri siti web o sui propri e-commerce.

In realtà questa normativa si applica non solo ai cookie strettamente intesi, ma a tutti gli strumenti che permettono in qualunque modo di identificare il navigatore.

Infatti, il Garante Privacy scrive, addirittura in apertura (affinché sia sicuramente chiaro per tutti!), che:

CONSIDERATO che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del presente provvedimento;

Cookie Law, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Questi “altri strumenti analoghi” sono, per esempio:

  • Device fingerprinting, la creazione di un identificatore univoco calcolato sulla base delle unicità dei computer di ciascun utente – versione del browser, configurazioni, sistema operativo, risoluzione del monitor, ecc.;
  • Pixels, non come quello di Facebook, ma come quello che si usa nelle e-mail per sapere se il messaggio è stato aperto o meno e da chi;
  • AdID: identificatori univoci di ogni singolo telefono cellulare esistente che permette agli inserzionisti di riconoscere un telefono ogni volta che visita una pagina web.

Questo significa che nel caso si usasse questo tipo di tecnologia, sarebbe necessario quanto meno informarne il navigatore nella Cookie Policy (o nella Privacy Policy).

In ogni caso sarà necessario inviare al Garante per la Protezione dei Dati Personali la comunicazione circa la profilazione così effettuata.

Questa previsione rende la Cookie Law “technology agnostic“, “tecnologicamente agnostica“, ovvero le interessa poco lo strumento concreto, il medium che contiene l’informazione da trattare o che la rende accessibile o comunque riconoscibile, mentre prende in massima considerazione il fine per cui questa informazione è trattata.

Quello che la normativa vuole regolamentare è la pratica della profilazione “occulta” degli utenti e non le interessa assolutamente che essa sia attuata usando dei cookie, l’URL, un device fingerprint o altra tecnica o tecnologia: se lo scopo ultimo è di profilare, allora si deve rispettare questa normativa sui cookie (e, ovviamente, la più generica normativa sulla tutela dei dati personali).

Conclusioni

La Legge Cookie porterà un bel po’ di sconvolgimenti nel nostro modo di intendere Internet: sia come navigatori che come editori (commercianti, blogger, startupper, ecc.) ci troveremo di fronte a un web che sarà e dovrà essere più trasparente.

La Legge Cookie, con i suoi pro e i suoi contro, è un passo da compiere, una medicina amara, per chi più, per chi meno. C’era, però, chi cantava “basta un poco di zucchero…” 😉

Qualunque cosa tu faccia, tieni presente che problemi di questa natura, che involgono privacy, diritti, “informazioni”, saranno sempre più frequenti in futuro, man mano che le tecnologie evolveranno.

0 Condivisioni

Ti è piaciuto questo post?
Puoi ringraziarci con un semplicissimo Mi Piace 🙂

2 risposte

    1. Molto interessante, soprattutto per il modulo Cookie Audit:

      “It also has a Cookie Audit module so you can easily show what cookies your site uses and display them neatly in a table on your Privacy & Cookies Policy page.”

      Non so se funzioni al 100% perchè non l’ho provato, però fa certamente un passo avanti e semplifica la vita!

      Lo proverò appena possibile! Grazie per averlo segnalato! 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti sta piacendo questo post?
Puoi ringraziarci con un like!