Consulta la nostra guida Cookie Law e normativa europea sulla privacy: cos’è davvero necessario? e l’infografica sugli adempimenti richiesti.
Dietro tutto questo c’è un’azienda intera che investe le proprie risorse perché quanto sopra funzioni e sia costantemente aggiornato, sia a livello di testi legali che di funzionamento tecnico.
Cerchiamo di fare chiarezza facendo anche riferimento al provvedimento rilasciato in Gazzetta Ufficiale l’8 maggio 2014, disponibile qui.
Esaminiamo dunque insieme il testo, come fatto negli ultimi 10 mesi prima dell’entrata in vigore della cookie law dal tavolo interassociativo, che in più ha avuto l’occasione di chiarire i propri dubbi direttamente con il Garante.
In breve: sebbene il Garante abbia riconosciuto la responsabilità del terzo sui cookie da questo installati, questa responsabilità è limitata all’obbligo di informativa. In virtù del suo ruolo di – citando il testo – “intermediario tecnico”, tuttavia, sul titolare del sito permane l’obbligo di raccolta del consenso.
Esaminiamo insieme il testo.
Il primo paragrafo rilevante è questo:
«Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”»
-> Qui sembra esserci un’apertura nei confronti del titolare che sarebbe dunque non solo sgravato dell’obbligo di informativa, ma anche di quello di raccogliere il consenso. Se per l’informativa, tuttavia, l’esenzione pare legittima, il resto del documento prende poi una strada diversa.
Sul tema dell’informativa, a questo punto il provvedimento chiarisce ogni dubbio:
«Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti»
-> Da questo si evince come in nessun caso il titolare debba farsi carico di vigilare sui cookie installati dalle terze parti e fare unicamente riferimento alle informative che questi mettono a disposizione, all’interno delle quali la terza parte dovrà informare gli utenti.
A questo punto il provvedimento torna a parlare di consenso:
«Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente – per le ragioni suesposte – tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste»
-> E qui sorgono i problemi: di che duplice veste parliamo?
Il provvedimento chiarisce subito:
«Per i cookie che le stesse [terze parti] installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti»
-> Abbiamo dunque capito che il titolare, per quanto riguarda i cookie installati dalle terze parti, è un intermediario tecnico, ma cosa implica questo di preciso? Proseguiamo.
«Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti»
-> Ed ecco il problema, una volta chiarito che il titolare è un intermediario tecnico, a tale proposito il provvedimento torna a chiarire che il titolare ha in ogni caso degli obblighi in termini di raccolta del consenso, ma lascia tutto indeterminato e fa riferimento a un non ben precisato “come si vedrà più avanti”.
Ma fino ad ora eravamo solamente alle premesse, veniamo alle disposizioni vere e proprie. Qui il provvedimento si tiene molto vago e recita:
«2. Ai sensi dell’art. 154, comma 1, lettera c), del Codice – ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti – prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)»
-> Qui in sostanza si capisce questo: l’idea del provvedimento è che, per quanto il titolare non sia responsabile dei cookie terzi, in quanto intermediario tecnico deve comunque stabilire in base ad accordi contrattuali con gli erogatori terzi le modalità di acquisizione del consenso, chiamate vagamente “moduli”, che poi dovrebbe comunque presentare all’utente al momento dell’informativa. Nella vita reale tali “moduli” sono costituiti dalle pagine di opt out fornite – per esempio – dai vari network di advertising e rimane il titolare colui che deve presentare all’utente tali moduli.
Visto poi che il provvedimento rimanda agli obblighi contrattuali con i fornitori di servizi terzi, proviamo a vedere cosa dicono i Termini di Servizio di AdSense. Citando:
«Il Publisher metterà in atto sforzi commerciali ragionevoli per assicurare che un utente finale acconsenta all’archiviazione e all’accesso ai cookie, informazioni specifiche sul dispositivo, informazioni sulla località o altre informazioni sul dispositivo dell’utente finale in connessione al Servizio laddove tale consenso sia richiesto dalla legge.»
-> Il Publisher è ovviamente il titolare del sito, il che significa che nei famosi accordi contrattuali con la terza parte, la terza parte stessa scarica sul titolare (ricordiamocelo, “intermediario tecnico”) l’obbligo di mettere in atto quanto necessario a richiedere il consenso.
A questo punto, la sensazione certa è che il provvedimento sia tutt’altro che chiaro e che il titolare paia avere una responsabilità come intermediario che lo pone dunque – de facto – nell’obbligo di raccogliere il consenso. Cerchiamo dunque di fare un passo indietro e chiarire quali sono i principi generali della normativa privacy, al di là del tema cookie. Cercando di semplificare, il titolare deve sempre:
Questo significa che il titolare, in mancanza di alcun modo attualmente esistente da parte del terzo di richiedere il consenso e considerando il suo ruolo di intermediario tecnico che imporrebbe alla terza parte di passare comunque per il tramite del titolare per richiedere questo consenso, così stando le cose il titolare si renderebbe responsabile di una violazione palese del Codice Privacy, permettendo che il trattamento abbia luogo prima che l’utente sia stato informato ed abbia potuto esercitare il consenso.
A questo, e vogliamo aggiungere un tassello, si somma il fatto che la legislazione europea è molto chiara nello stabilire che l’installazione dei cookie non debba avere luogo, indipendentemente dal ruolo della terza parte, prima che l’utente sia stato informato, e che la responsabilità di questo verta sul titolare del sito. A prova di questo ci sono vari interventi non solo da parte del legislatore europeo, ma anche del WP29 (Il Gruppo Articolo 29, ossia una specie di gruppo di lavoro composto da tutte le autorità garanti europee) che ha pubblicato documenti di chiarimento molto espliciti su questo.
Vista la situazione non chiara, dunque, nel 2014 il Garante stesso ha richiesto la creazione di un tavolo interassociativo composto da tutte le associazioni di categoria di riferimento nel mondo online (Iab, Fedoweb, UPA, Netcomm, DMA) che chiarisse l’applicazione pratica del provvedimento. Il risultato è il Kit disponibile a questo link.
A questo punto la domanda ricorrente: possiamo fidarci del Kit?
A questo proposito possiamo fornire queste motivazioni:
Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti.
ll proseguimento della navigazione costituisce metodo valido per la raccolta del consenso, e l’azione di scorrimento può essere fatta rientrare in questa categoria. Il Garante ha chiarito esplicitamente questo aspetto specificando che le “soluzioni per l’acquisizione del consenso basate su scroll, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”.
Lo stesso Dott. Montuori ha poi precisato che la generazione di tale evento può risultare nella creazione di un cookie tecnico, ch’è esattamente ciò che fa il servizio di iubenda.
12 mesi. In più è stata opinione diffusa dei membri del tavolo interassociativo che si è occupato dell’approfondimento della legge di ritenere accettabile l’estensione di altri 12 mesi ad ogni futura visita dell’utente. Privacy Controls and Cookie Solution di iubenda gestisce tutti questi aspetti in modo automatico.
Al momento non è possibile fare questa verifica.
Proseguendo con la navigazione, l’utente non può negare il consenso all’installazione dei cookie se non visitando i siti delle terze parti (es. Google Analytics) ed utilizzando le apposite funzioni fornite dalla terza parte per prevenire il tracciamento. Il titolare del sito è tenuto a segnalare nella sua cookie policy le terze parti che installano cookie (o che potrebbero installarne), con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso di modo che l’utente sia in grado di rivolgersi alla terza parte per richiedere l’opt out. L’unica eccezione si ha quando il titolare del sito installa e gestisce direttamente dei cookie non esenti dall’obbligo di consenso (come i cookie di profilazione). In questo caso è necessario che all’interno della cookie policy sia possibile esercitare tale consenso.
Solo per i cookie di profilazione di prima parte, ovvero quelli che il titolare usa in maniera autonoma ed indipendente per profilare l’utente. Negli altri casi (ossia nella stragrande maggioranza dei casi), l’utente può opporsi al tracciamento tramite cookie direttamente visitando il sito della terza parte, linkato all’interno della cookie policy.
Il codice di monitoraggio di Google Ads (così come gli altri) installa cookie di profilazione. Questo significa che è necessario mostrare banner e cookie policy, nonché bloccare i codici prima di aver raccolto il consenso dell’utente.
Tuttavia, nella gran parte dei casi, la titolarità dei dati (ossia dei cookie utilizzati) è del servizio terzo (in tal caso Google).
La modalità suggerita da Google per gestire la cookie law senza essere costretti a modificare il codice di AdSense è tramite l’utilizzo di Google Ad Manager (prima DFP, DoubleClick for Publishers), uno strumento messo a disposizione da Google per centralizzare la gestione degli annunci presenti sul proprio sito. Consulta la nostra guida che ti spiega come utilizzare iubenda con Google Ad Manager.
Ogni altra soluzione di cui siamo a conoscenza che permetta di adempiere alla cookie law senza la modifica del codice di AdSense stesso necessita di ricaricare la pagina dopo il consenso. Se non suggeriamo questa soluzione è perché, dai nostri test, determina una diminuzione dei rendimenti pubblicitari.
Circa il fatto che Google possa agire contro chi sceglie di modificare il codice di AdSense per adeguarsi alla cookie law, possiamo aggiungere che iubenda è utilizzato da alcuni fra i più grandi editori italiani e nessuno fra di essi ha ricevuto richiami da parte del team di AdSense. Inoltre, lo stesso team di AdSense, da noi contattato, ci ha rassicurato segnalando che – al di là del suggerimento ad utilizzare Ad Manager quale soluzione ufficiale – le modifiche al codice richieste dalla cookie law non dovrebbero da sole essere considerate sospette in assenza di altre pratiche fraudolente.
Segnaliamo anche che, qualora usiate il plugin WordPress di iubenda, questo possiede una configurazione (attiva di default) che modifica i codici della pagina solo quando il consenso non viene trovato ed escludendo tutti i bot/spider più comuni.
I widget sociali installano (o potrebbero installare) cookie di profilazione di terza parte. È quindi necessario bloccarli prima di aver raccolto il consenso, nonché predisporre e mostrare banner e cookie policy.
No, il semplice link non può installare cookie.
I cookie installati da iubenda sono tecnici.
Bisogna informare l’utente circa le finalità di utilizzo dei cookie, come previsto da iubenda, ma non è necessario indicare i cookie nome per nome.
Abbiamo preparato un’infografica sugli adempimenti richiesti dalla Cookie Law per facilitare l’analisi dei cookie ed in particolare per capire quando siano richiesti banner, consenso preventivo ecc. a seconda del tipo di cookie utilizzato.
Ti suggeriamo di consultare quest’articolo dedicato a come individuare i cookie installati dal proprio sito. Esistono inoltre estensioni gratuite per i vari browser che consentono una rapida ispezione del sito in tempo reale, come per esempio Ghostery o BuiltWith.
Abbiamo preparato una guida introduttiva al blocco dei codici che illustra tutte le opzioni offerte da Privacy Controls and Cookie Solution di iubenda per prevenire l’installazione dei cookie prima di aver raccolto il consenso dell’utente. Tra le altre, abbiamo anche dei plugin dedicati per WordPress, Magento, Joomla! e PrestaShop.
Arriveranno in futuro soluzioni ad hoc anche per altri CMS, oltre ai plugin già disponibili. La priorità viene data alle soluzioni più richieste sul nostro forum. Pubblica la tua richiesta sul forum oppure vota per la richiesta già pubblicata da un altro utente.
Nelle applicazioni mobili native, l’utilizzo di tecnologie di tracciamento come il cookie è meno diffuso che in ambito web, il che è corrisposto con un minore interesse da parte del legislatore che si è fino ad ora espresso in modo meno specifico a questo merito. Tuttavia dal punto di vista pratico anche nel contesto di un’applicazione mobile nativa è necessario chiedere il consenso qualora si utilizzino strumenti di tracciamento che non rientrano fra le categorie esenti. Ulteriori informazioni sono disponibili nell’articolo dedicato alla cookie law ed alle app mobile.
Quando più siti sono gestiti dallo stesso titolare del trattamento, riguardano la stessa attività e sono identici sotto il profilo del trattamento dati o possono comunque essere descritti da un’unica privacy/cookie policy, è possibile avvalersi anche di una sola privacy/cookie policy comune a tutti i siti. In questo caso consigliamo di generare la privacy policy per il “sito principale”, di fare click su aggiungi servizio e poi su crea servizio manualmente e di scrivere una clausola aggiuntiva per chiarire che “La privacy policy di Sito Principale vale anche per Sito Secondario 1, Sito Secondario 2 ecc.”. Consulta quest’articolo per ulteriori informazioni al riguardo.
A questo merito è consigliabile seguire i suggerimenti forniti nella risposta alla domanda precedente.
Per configurare Privacy Controls and Cookie Solution di iubenda in tutte le lingue disponibili nel generatore basta seguire le indicazioni contenute in questa guida.
La normativa italiana – su cui la soluzione alla cookie law fornita da iubenda è fondata – ricomprende con un’ottima approssimazione le legislazioni vigenti in altri paesi UE. Se si vuole essere certi della conformità del proprio sito ad una specifica normativa nazionale, tuttavia, è consigliabile richiedere l’intervento diretto di un consulente legale. Se vuoi assistenza al riguardo, scrivici ad info@iubenda.com per un preventivo.
La normativa applicabile in genere dipende dalla sede legale della società, non dal server in cui è ospitato il sito. In particolare in riferimento alla cookie law il Garante ha addirittura chiarito che “gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia”. Nota bene: al di là del discorso circa la normativa applicabile, non sempre il trasferimento dati all’estero è consentito. Ti suggeriamo la lettura di questo articolo per ulteriori informazioni al riguardo.
Come indicato nella nostra infografica sugli adempimenti richiesti dalla Cookie Law, la notifica ai sensi dell’articolo 37 del Codice di Protezione dei Dati è stata abrogata dal Regolamento 679/2016, pertanto non è più necessaria una
notifica preventiva al Garante.
Per saperne di più: garanteprivacy.it/home/doveri
Bisogna chiedere alla terza parte, o consultare i suoi termini di servizio.
Alcuni suggerimenti:
