Era il 2 giugno il termine di adeguamento alla normativa in materia di Cookie e nonostante il relativo Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali fosse già in vigore da un anno, e siano trascorsi ormai altri sei mesi da tale scadenza, la poca conoscenza di tale norma è ormai diventata un dato di fatto.
La poca informazione e la non adeguata conoscenza della c.d. Cookie Law da parte dei gestori dei siti web, degli addetti del settore e soprattutto da parte della stragrande maggioranza degli utenti del web delineano uno scenario di confusione e rincorsa a soluzioni a dir poco fantasiose, quasi sempre ben lontane da un recepimento normativo corretto e adeguato.
Oltre a recenti testimonianze di tale scenario per il tramite di ricerche e indagini pubblicate sulla carta stampata e nel web, la mia esperienza ormai quotidiana sul campo non può che ulteriormente confermare tutto ciò. Quasi tutti i giorni durante la mia attività professionale riscontro tale mancanza di conoscenza e relativa consapevolezza nei gestori dei siti web e loro web agency di riferimento, negli amici in qualità di utenti di internet, e nei gruppi di discussione sui vari social network.
A ulteriore riprova di questo, riporto un estratto di un post in materia di Notificazione Cookie con relativi commenti, quelli più rilevanti, per condividere con tutti voi le evidenti difficoltà nell’applicazione di tale novità normativa che ormai a distanza di quasi un anno e mezzo forse non dovrebbe essere più considerata tale.
Questo contenuto nasce con l’intento di informare tutti quei soggetti che sarebbero tenuti alla Notificazione Cookie nei confronti dell’Autorità Garante su quali sono i loro obblighi, in cosa consistono e a quali sanzioni andrebbero incontro.
Alcuni cookie, soprattutto quelli “di profilazione”, che studiano i movimenti e abitudini di consultazione del web dell’utente e/o le scelte di consumo per inviare pubblicità mirata e personalizzata, possono essere particolarmente invasivi per l’utente che naviga sul web.
Ma quali sono i cookie “di profilazione” più conosciuti?
- Remarketing: si presentano come uno strumento che permette di “inseguire” gli utenti che hanno visitato un determinato sito web, stimolandoli a tornare per concludere l’azione già iniziata in precedenza (es. Google Remarketing e Facebook Remarketing);
- Pubblicitari: vengono utilizzati per promuovere la propria attività attraverso inserzioni presenti sui Social Network (come ad esempio Facebook) e diversi siti internet, nonché tramite campagne di e-Targeted Advertisement e posizionamento (es. Google DoubleClick e Media 6 Degreese);
- Monitoraggio delle conversioni: permettono di conoscere l’andamento delle campagne e sapere, nello specifico, come hanno interagito gli utenti (visita del sito, invio della richiesta di preventivo, registrazione al sito, etc.). Consente di migliorare le campagne pubblicitarie e investire su quanto risulta più efficace e più interessante per gli utenti (es. Google AdWords Conversion).
Qualora, dunque, il gestore di un sito internet decida di avvalersi di cookie finalizzati a “definire il profilo dell’interessato, analizzare abitudini o scelte di consumo, ovvero monitorare l’utilizzo di servizi di comunicazione elettronica”, lo stesso ha l’obbligo di notifica preventiva al Garante (ex art. 37, comma 1, D.Lgs. 196/2003).
La notificazione va effettuata telematicamente prima che inizi il trattamento di profilazione ed è doveroso attendere la relativa autorizzazione prima di poter iniziare con tale attività. Per esperienza personale tali tempi di attesa si aggirano tra venti e trenta giorni circa. Va eventualmente ripetuta se si modificano le caratteristiche del trattamento (ad es. cambiano le finalità del trattamento, cambia la ragione sociale del titolare, etc.).
Se il gestore di un sito web ha più domini tutti a lui riconducibili, a parità di trattamento, possono essere tutti indicati in un’unica notificazione.
Per ogni notifica al Garante ed eventuali successive modifiche, aggiornamenti e cessazioni del trattamento, deve essere corrisposto il pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00.
Quando bisogna notificare? Lo scenario che si prospetta si compone di tre principali casistiche, vediamole:
- Cookie di profilazione proprietario del titolare del trattamento o della web agency che lo progetta e lo sviluppa;
- Cookie di un soggetto terzo che il titolare del trattamento o la web agency implementa e personalizza anche sulla base delle esigenze specifiche del cliente;
- Cookie di terze parti che prevede un accordo tra la web agency e la terza parte, che consenta alla prima, in nome e per conto del titolare del trattamento, di accedere e controllare in modo diretto le informazioni raccolte per utilizzarle per le finalità definite con il titolare del trattamento del sito web (es. Google Analytics Universal).
Per tutti e tre i casi, è bene precisare che il gestore del sito internet è il titolare del trattamento, mentre la web agency si qualifica come responsabile esterno di specifico trattamento. Se quest’ultima coincide con il gestore del sito internet, la web agency si configura come il titolare del trattamento.
Qualora invece, ci si avvalga dell’uso di un cookie, proprietario o non proprietario, che consenta mediante accordo tra il cliente e la web agency di accedere e trattare i dati, ciascuno per le sue diverse finalità e a patto e condizione che i relativi e specifici consensi informati siano stati adeguamenti conseguiti, allora entrambi i soggetti si qualificano come titolari autonomi del trattamento.
Nel caso in cui il gestore (o titolare del trattamento) di un sito web impieghi unicamente cookie di profilazione di terze parti per cui sia il titolare del trattamento che la web agency non hanno possibilità alcuna di accedere ai dati, non sarà necessario provvedere alla notificazione, questo perché le modalità e le finalità del trattamento perseguite non rientrano nel controllo di quest’ultimo: i dati saranno trattati unicamente dal soggetto terzo per le sue proprie finalità (Es. Facebook share).
L’omessa o tardiva Notificazione sono azioni colpite con ben precise e importanti sanzioni di natura amministrativa.
Utilizzate cookie di profilazione? Monitorate le preferenze di navigazione per la riproposizione di contenuti promozionali mirati? Non vi resta che notificare.