E’ stata da poco pubblicata in Gazzetta Ufficiale n.126 del 3 giugno 2014 la nuova normativa che regola l’utilizzo dei cookie nei siti con lo scopo di tutelare gli utenti dei siti stessi informandoli maggiormente su cosa sono e soprattutto come vengono usati i cookie.
A prescindere dalla parte normativa, sicuramente tutti i merchant e gli addetti ai lavori avranno bisogno di capire cosa significa per loro, dal punto di vista pratico, adeguarsi a questa regolamentazione.
Tanto per cominciare, niente panico: non sarà necessario tediare gli utenti con un banner onnipresente durante la navigazione del vostro negozio online! Anche se qualche notifica in più servirà!
Il nuovo regolamento è stato scritto dall’Autorità Garante per la Privacy, e potete trovare il testo integrale qui. Il regolamento si basa principalmente sulla direttiva 2009/136/CE del 25 novembre 2009, che estende quella precedente del 2002, e sul relativo decreto legislativo 28 maggio 2012, n. 69 italiano che recepisce la direttiva.
Per una disamina dettagliata degli obblighi vi rimandiamo ovviamente alla pagina sul sito del garante e al vostro consulente per eventuali particolari fattispecie.
Di seguito vogliamo darvi qualche informazione sulle definizioni usate per poter capire più facilmente se dovete adeguare i vostri siti ecommerce.
Cookie Tecnici e di Profilazione
La prima definizione da conoscere del nuovo regolamento è la distinzione tra cookie “tecnici” e cookie “di profilazione”.
I cookie tecnici sono quelli necessari al funzionamento del sito e alla erogazione dei servizi proposti al cliente. Sono tipicamente quelli usati direttamente dal gestore del sito, o più probabilmente dalla piattaforma che usa (Magento, Prestashop, ecc…). Ricadono in questa macrocategoria anche i cookie usati per fare analytics in forma aggregata interna al sito stesso e i cookie necessari per offrire funzionalità di personalizzazione della navigazione all’utente, come ad esempio filtri di navigazione, lingua selezionata, ecc.
Per l’utilizzo dei cookie tecnici non è necessario il consenso degli utenti, ma è comunque obbligatoria l’informativa.
Una prima domanda:
le statistiche dei carrelli abbandonati quando raccolte dalla piattaforma stessa e non passati a terzi sono un tipo di statistica assimilabile a cookie tecnico?
Parrebbe di no, ma dal testo non è chiarissimo.
I cookie di profilazione invece sono intesi come tutti i cookie installati allo scopo di creare un profilo dell’utente che naviga il sito basato sul suo comportamento durante la navigazione. In questo caso la normativa stabilisce che l’utente sia adeguatamente informato sull’uso di questi cookie e sia in grado di esprimere il proprio consenso all’utilizzo.
Editori e terze parti
Il regolamento definisce anche la differenza tra i cookie installati dal titolare del sito (chiamato forse impropriamente “editore“), e cookie di terze parti, che sono invece installati da soggetti terzi e risiedono su indirizzi e server diversi da quello del sito che l’utente sta visitando.
C’è una differenza netta tra i due soggetti coinvolti, ed è cosa buona che si stabilisca che l'”editore” non sia nella posizione di esporre e tenere aggiornate le informative di tutti gli eventuali cookie di terze parti né di poter limitare in alcun modo l’uso dei dati così raccolti dai terzi.
Tuttavia c’è scritto anche che il titolare viene considerato nel doppio ruolo di titolare dei propri dati e cookie e “intermediario tecnico” tra le terze parti e i propri utenti, con l’obbligo di inserire nell’informativa estesa i link a tutte le informative di tutti i soggetti terzi coinvolti o degli eventuali concessionari che fanno da intermediari. Ovviamente è giusto che il titolare del sito indichi quali servizi di terze parti utilizzino cookie sul proprio sito (anche se spesso non è nella condizione di saperlo con semplicità) ma sorge una seconda domanda:
quanto è semplice ottenere link con le policy dai grandi network pubblicitari o dai concessionari e mantenerli aggiornati?
Probabilmente in alcuni casi non è così semplice avere questi link, soprattutto per network che non hanno una base italiana a cui far riferimento, e anche se lo scopo è quello di “[..] di mantenere distinta la responsabilità degli editori da quella delle terze parti […]” probabilmente questo punto potrebbe dare qualche noia.
Informativa breve ed estesa
La distinzione tra i due tipi di informativa è abbastanza chiara:
“Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.”
Con l’accorgimento che il link/pulsante per manifestare il consenso sia inserito proprio all’interno del banner dell’informativa breve, e che il banner sia ben visibile, nel senso che si capisca chiaramente che non fa parte dei contenuti del sito ma è un’informativa.
Sostanzialmente quindi l’obbligo per il gestore è quello di implementare un sistema che nel momento in cui l’utente accede alla home page (o ad altra pagina) del proprio sito web, faccia immediatamente comparire in primo piano un banner ben visibile con le seguenti indicazioni:
- che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
- che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
- il link all’informativa estesa, che deve contenere a sua volta le indicazioni relative a:
- uso dei cookie tecnici e analytics;
- possibilità di scegliere quali specifici cookie autorizzare;
- possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
- l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;
Un paio di domande sorgono spontanee:
Cosa implica la”possibilità di scegliere quali specifici cookie autorizzare”?
Basta proporre all’utente le istruzioni per bloccare i cookie dal suo specifico browser?
Nel testo parrebbe che le due cose siano separate ed entrambe obbligatorie, ma a nostro parere probabilmente implementare un’interfaccia web che permetta la selezione dei cookie non sarebbe una soluzione efficiente. Oltre che sicuramente gravosa per il merchant, sarebbe anche sempre diversa per il cliente da sito a sito rischiando di confonderlo più che aiutarlo, mentre i browser moderni permettono di farlo e l’utente, imparato come si fa in un sito, potrebbe farlo per tutti.
Consigli pratici
Da caso a caso ci saranno sicuramente differenze, ma quello che vi suggeriamo di fare per smarcarvi in tre mosse è:
- contattare la vostra agenzia di marketing e la web agency che segue la parte tecnica per chiedere quali cookie di terze parti sono attualmente usati nel sito in modo da poterli dichiarare nell’informativa estesa
- aggiornare l’informativa estesa indicando tutte le informazioni necessarie (per informative complesse qualche consiglio legale può tornare utile)
- implementare il sistema per la gestione del banner dell’informativa breve per la vostra piattaforma
Per i siti esistenti c’è un anno di tempo per adeguarsi, ma date che aggiornare l’informativa periodicamente è sempre una buona prassi, cogliere l’occasione per integrare queste informazioni e funzionalità già adesso potrebbe evitarvi multe salate fra un anno!
Per qualsiasi informazione in più, richieste o suggerimenti da parte vostra non esitate a commentare o contattarci.