A meno di proroghe o sospensioni, tra un mese esatto entrerà ufficialmente in vigore la cosiddetta legge sui Cookie, provvedimento approvato un anno fa dal Garante Privacy italiano e pubblicato in Gazzetta Ufficiale il 3 giugno 2014.
Il documento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“, consultabile integralmente a questo indirizzo pone in capo agli editori, intesi come chiunque disponga di un sito web pubblicamente accessibile, una serie di obblighi in materia di gestione ed utilizzo dei cookies.
Il Garante ha infatti deciso per un “giro di vite” sui cosiddetti cookie di profilazione, strumenti che vengono utilizzati per tenere conto delle preferenze e degli interessi degli utenti così da esporre loro messaggi pubblicitari pertinenti.
Nell’articolo Normativa cookie: come adeguarsi da qui a giugno abbiamo spiegato che cosa impone la nuova legge sui cookie e come è possibile mettersi in regola, indipendentemente dal fatto che si sia una grande azienda, una piccola o media impresa oppure un privato (si pensi ai tanti blogger).
La legge sui cookie ha un impatto diretto sulle entrate derivanti dalla raccolta pubblicitaria
Gran parte dei siti web utilizzano, come strumento principe per il loro sostentamento, le entrate deriventi dalla raccolta pubblicitaria. Spesso piccole realtà editoriali come grandi società si affidano anche o esclusivamente a circuiti di advertising come Google AdSense o similari.
Dal prossimo 2 giugno chiunque oggi esponga messaggi pubblicitari avvalendosi dei più noti circuiti adv non potrà più farlo senza prima aver ottenuto un esplicito consenso da parte di ogni singolo visitatore del sito web.
Dal momento che i vari circuiti adv rilasciano sui sistemi client degli utenti uno o più cookies (anche cookie di profilazione), il Garante ha prescritto che si dovrà prima visualizzare un’informativa breve al momento della prima visita da parte di un lettore-visitatore.
Nell’informativa si dovrà esplicitamente indicare che il sito usa cookie di terze parti (si pensi a quelli di Google AdSense), specificare quali cookie tecnici e analytics (utilizzati a fini statistici) si adoperano e fornire dettagliate indicazioni per autorizzare o bloccare determinati cookie.
Si dovrà anche far presente se il sito utilizza e gestisce in proprio dei cookie di profilazioni (non quindi di terze parti): in questo caso se ne dovrà anche dare notifica al Garante (punto 5 delle disposizioni).
Non basta più una semplice informativa
Come spiegato nell’articolo Normativa cookie: come adeguarsi da qui a giugno, la semplice generica informativa sull’utilizzo dei cookie non basta più e non verrà più ritenuta adeguata in caso di controlli.
Nonostante al punto 2 (“Soggetti coinvolti: editori e terze parti“) il Garante riconosca come vi siano “molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”“, proprio i cookie gestiti dalle terze parti saranno la spina del fianco per molti editori e per gran parte dei blogger.
Il Garante, nel provvedimento, afferma che “l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti“.
In conclusione dello stesso punto, però, si fa presente che “tali soggetti (gli editori, n.d.r.), infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti“.
Nel caso della pubblicazione del codice (“tag”) di circuiti adv che usano cookie di terze parti, quindi, l’editore dovrà comunque visualizzare l’informativa alla prima visita di ogni utente-lettore ed astendersi dal rilasciare cookie fintanto che non avrà ricevuto l’autorizzazione (consenso informato).
In altre parole, il gestore del sito web non potrà visualizzare messaggi pubblicitari gestiti dai vari circuiti adv (che rilasciano cookies), fintanto che non avrà ottenuto il consenso del lettore.
Ora, è vero che il consenso si intende ottenuto semplicemente quando l’utente dovesse chiudere l’informativa breve o cliccare su un qualunque elemento della pagina web, ma chi fa perno sulla pubblicità come strumento di sostentamento ne uscirà comunque penalizzato. Perché? Perché non potrà esporre adv di circuiti che usano cookies alla prima visita dell’utente.
I cookie analitici
Con la definizione cookie analitici (o analytics) il Garante fa riferimento ai quei cookies che vengono comunemente utilizzati per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.
I cookie analitici vengono “assimilati ai cookie tecnici (quindi esenti dalle disposizioni più stringenti; vanno solo presentati nell’informativa estesa, n.d.r.) laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso“.
Google Analytics è quindi assimilabile ad un cookie tecnico ma potrebbe non esserlo più allorquando si dovessero attivare le cosiddette “estensioni demografiche” che lo stesso strumento mette a disposizione (offrono uno spaccato abbastanza preciso sulle preferenze e sugli interessi degli utenti-lettori-visitatori del sito). A riguardo, però, il documento del Garante non contiene alcuna precisazione.
Come comportarsi, poi, nei confronti di tutti i lettori del sito (si pensi ai visitatori abituali) che già hanno ricevuto in passato cookie tecnici e cookie di profilazione, anche di terze parti? L’informativa dev’essere esposta anche a loro? In quest’ultimo caso, però, l’editore non avrebbe la possibilità tecnica di rimuovere i cookie di terze parti già impiantati sul sistema client dell’utente ma potrebbe solamente dare suggerimenti su come disabilitarli.
Proprio in queste ore abbiamo richiesto all’ufficio stampa del Garante Privacy la disponibilità a chiarire alcuni punti.
Le sanzioni
Il Garante Privacy ha previsto delle sanzioni piuttosto salate a carico degli editori che da qui al 2 giugno prossimo non si adegueranno: da un minimo di 6.000 euro ad un massimo di 36.000 euro in caso di omessa informativa; una multa da 10.000 a 120.000 euro nel caso in cui venga effettuato l’impianto di cookie di profilazione senza l’autorizzazione degli utenti.
Cosa sarebbe auspicabile
A questo punto sarebbe forse quanto meno auspicabile una proroga od una sospensione del provvedimento.
Sarebbe secondo noi utile che venisse chiesto ai soggetti terzi (ad esempio ai gestori di circuiti adv) di permettere agli editori l’utilizzo di un “parametro” addizionale che possa essere utilizzato per richiedere temporaneamente l’erogazione delle inserzioni pubblicitarie senza l’impianto di cookies sui client.
In questo modo, l’editore – alla prima visita dell’utente-lettore-visitatore – potrebbe richiedere di visualizzare comunque i banner (senza perdere impressions e limitando il danno economico) passando poi ad autorizzare l’uso dei cookies (compresi quelli di profilazione) dopo aver acquisito il consenso informato.
Sarebbe inoltre auspicabile che l’editore che non usa cookie di profilazione propri (gestiti attraverso i propri server) venisse in ogni caso sgravato.
Nel caso del solo utilizzo di cookie di terze parti (fatta eccezione per i cookie tecnici), pur restando l’obbligo dell’informativa breve ed estesa, potrebbe essere richiesto all’editore di limitarsi esclusivamente a fornire i riferimenti alle informative dei terzi e a spiegare, nell’informativa estesa, come disattivare o selezionare i cookies rimuovendo anche le sanzioni da 10.000 a 120.000 euro per installazione dei cookie sui terminali degli utenti in assenza di consenso.
Nell’attuale versione, infatti, il provvedimento – per quanto lodevole nell’ottica di rendere gli utenti più consapevoli dei propri diritti – rischia di essere eccessivamente penalizzante per tutte quelle realtà editoriali medio-piccole che lavorano sul web e che vivono esclusivamente grazie alla raccolta pubblicitaria.
Ad oggi, meno del 9% dei siti web italiani si sono adeguati alle nuove disposizioni in materia di cookies.