Conoscere per poi poter decidere. È questa la logica seguita dal Garante per la Privacy nella cookie law che dal 2 giugno entrerà in vigore in Italia e permetterà agli utenti di sapere che tipo di cookies utilizza il sito che stanno vistando e poi di scegliere se accettarlo o meno. Chi gestisce un sito internet ha quindi un’altra settimana di tempo per mettersi in regola, altrimenti sarà costretto a pagare da 6mila a 120mila euro di multa. Nell’e-commerce il ruolo dei cookies è fondamentale e per spiegarlo si può usare la metafora di un supermercato: “senza quelli tecnici è come se spegnessimo le luci all’interno del negozio, senza quelli di profilazione è come se negassi all’utente le promozioni e gli sconti”, ha spiegato Roberto Liscia, il presidente di Netcomm.
Le molliche di Pollicino
I cookie sono dei file che vengono memorizzati nel nostro computer o qualsiasi altro dispositivo che usiamo quando visitiamo un sito web e possono essere distinti in tre principali categorie. Quelli tecnici migliorano la qualità della navigazione, ad esempio permettono di non dover reinserire la password passando da una pagina all’altra. Poi ci sono quelli che servono a studiare le statistiche di accesso ai siti e infine i più delicati, quelli di profilazione che tracciano il comportamento di chi naviga per inviargli pubblicità mirate. Un tipo di cookie che può essere assimilato “alle molliche di pane lasciate da Pollicino lungo la strada che ha percorso”, come ha spiegato Ernesto Belisario in una puntata di Innovation Game.
Cosa dice la norma
Dal 2 giugno “chi opera su Internet dovrà fornire agli utenti informazioni chiare e complete” si legge nelle linee guida del Garante, e dovrà anche “richiedere e ottenere il consenso degli interessati, revocabile in ogni momento, e offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti”. Le regole varate puntano ad armonizzare e rendere più chiara la gestione delle attività di profilazione, ovvero la definizione di “profili” di utenti sulla base di caratteristiche, comportamenti, scelte, abitudini, allo scopo di fornire servizi o promozioni personalizzate. La norma dovrà essere adottata da tutti i soggetti stabiliti sul territorio nazionale che forniscono servizi online: motori di ricerca, posta elettronica, mappe online, social network, pagamenti elettronici, cloud computing. Gli operatori del settore hanno avuto un anno di tempo per mettersi in regola, visto che il provvedimento risale all’8 maggio 2014.
Informazione prima di tutto
In pratica, le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di autenticazione. L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito, visto che costituisce il presupposto per consentire agli utenti di esprimere o meno il consenso all’uso dei propri dati per fini di profilazione.
La richiesta del consenso
Se un’azienda ha intenzione di utilizzare, tramite i cookies di profilazione, i dati personali dell’utente per finalità diverse da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus o gli strumenti per consentire ricerche testuali) dovrà chiedergli il consenso. Per questo motivo sui siti saranno predisposte modalità semplificate con cui gli utenti potranno scegliere se acconsentire alla profilazione oppure no. Altro diritto di chi navigherà online sarà quello di poter revocare in ogni momento le scelte fatte in precedenza attraverso un link sempre ben visibile sulla pagina. Dovranno essere definiti anche tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy. Chi non si mette in regola rischia multe assai elevate: per la mancanza di informativa si va da 6.000 a 36.000 euro, mentre nel caso in cui venga dimostrata l’installazione di cookie di profilazione senza l’autorizzazione degli utenti le cifre vanno da 10.000 a 120.000 euro.
La guida degli operatori del settore
Insieme al Garante privacy, i principali operatori del settore rappresentati dalle associazioni di categoria Netcomm, DMA, Fedoweb, IAB e UPA hanno predisposto un vero e proprio kit di soccorso utile per chi deve implementare la propria privacy policy e mettersi in regola con la nuova normativa. Nella guida vengono spiegate tutte le differenze tra le varie categorie di cookies e come deve avvenire l’interazione con l’utente che dovrà essere informato tramite due livelli di approfondimento. Ciò significa che verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina a cui l’utente accede, e un’informativa estesa, accessibile tramite un link nell’informativa breve.