4/2/2015 Come mi adeguo alla nuova normativa sui cookies?

- Webranking Blog

Come mi adeguo alla

nuova normativa sui
Cookie emessa dal
Garante per la Privacy?
By Nereo 27/06/2014 Nereo 11 Comments

Negli ultimi 6 anni sono stato uno dei consiglieri di direzione di IAB in Italia e una delle attività più
nascoste ma critiche che abbiamo seguito è stato capire come la politica avrebbe legiferato su Internet e
sui cookie e come potevamo aiutare il legislatore e il Garante a prendere decisioni che tenessero in
considerazione tutti gli aspetti, compreso quello transazionale tipico della Rete.

Image Credits: Kris Atomic

Questo perché Internet è globale e se solo l’Italia dovesse decidere politiche di limitazione per le aziende
e i siti italiani il risultato potrebbe essere un progressivo migrare verso l’estero di tutte le attività web (che
se lo possono permettere = quelle che muovono più denaro e anche posti di lavoro).

http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/ 1/5
4/2/2015 Come mi adeguo alla nuova normativa sui cookies? - Webranking Blog

La diatriba sull’adozione della direttiva Europea sui cookie (sì, l’Europa ha già indicato una direzione
attraverso una direttiva che i diversi stati devono recepire come meglio credono) era uno di questi casi.

C’è un sacco di confusione intorno questi temi e spero di aiutarti a fare un po’ di chiarezza.
Guardiamo insieme cosa cambia, cosa devi fare… e proviamo anche a sfatare qualche mito per riportare
sul concreto l’oggetto del contendere.

La normativa è orientata alla protezione

della privacy degli utenti… ma è allo stesso
tempo un buon compromesso per il mercato
dell’advertising online (che riguarda anche gli
investitori pubblicitari).
Il problema non è una semplice contrapposizione fra pubblicitari e utenti.
I cookie sono anche usati dalle piattaforme di Web Analytics senza i quali non si potrebbero registrare
correttamente le visite di un sito, men che meno sapere che cosa è funzionato e cosa no nelle nostre
pianificazioni pubblicitarie.

La soluzione individuata va nella direzione di consentire la privacy degli utenti ma senza pregiudicare
la navigazione dei siti.

Quanti tipi di Cookie esistono?

Il Garante presenta due tipi di classificazione: cookie “tecnici” vs cookie “di profilazione” e cookie
installati dal titolare o gestore del sito vs cookie cosiddetti “di terze parti“.

I cookie tecnici sono quelli che vengono usati per fornire il servizio in modo migliore a chi ne usufruisce.
Sono ad esempio usati dalle piattaforme di Analytics ma sono anche quelli che il sito usa per migliorare
l’esperienza di navigazione. Ad esempio i cookie che si ricordano che cosa hai nel carrello o la lingua che
preferisci sono autorizzati e basta inserire una informativa su quali usi e perché. In altre parole, non è
necessario un preventivo consenso degli utenti per il loro utilizzo.
Questo è un punto molto importante che semplifica davvero tanto.

I cookie di profilazione, usando le parole del Garante, sono “volti a creare profili relativi all’utente e
vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo
stesso nell’ambito della navigazione in rete”. Per questi è necessaria una adeguata informativa e una
richiesta di consenso perché sia il Garante che l’Europa li considerano invasivi rispetto alla sfera privata
degli utenti.

Quelli installati dal titolare del sito, una sorta di first-party cookie, sono definiti anche “editoriali”
perché la normativa fa quasi sempre riferimento solo alla dicotomia fra editori/concessionarie e
advertiser.

I cookie di terze parti sono utilizzabili ma l’editore deve creare una descrizione di quali sta usando e
perché in una pagina di informativa (la c.d. “informativa estesa” di cui vi parlo più avanti). La differenza
con i cookie di profilazione è che il Garante accetta che un editore non sia necessariamente informato su
tutti i cookie di terze parti che vengono installati e sul loro funzionamento. In questo caso si accetta che
l’editore linki il detentore di queste informazioni – cioè la terza parte – per garantire le informativa
necessarie.

Cosa devo presentare all’utente la prima

volta che entra nel sito?
http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/ 2/5
4/2/2015 Come mi adeguo alla nuova normativa sui cookies? - Webranking Blog

All’utente viene presentato un banner/pop-up/messaggio on-top la prima volta che entra nel sito nel
quale viene spiegato che c’è una informativa e che il sito sta tracciando qualche aspetto della sua
navigazione, ovviamente in modo del tutto anonimo. Dalla seconda volta in poi, non sarà più necessario
presentare questo banner.
Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page
perché l’utente potrebbe avere come entry page qualsiasi contenuto del sito (i motori di ricerca
funzionano così, no?).

Chiunque ha la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o
di terze parti. Le modalità le spiego meglio sotto.

La buona notizia (non dal mero punto di vista del marketing ma proprio per buon senso) è che non è
richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma basta continuare
la navigazione per accettare implicitamente i contenuti dell’informativa.

Inoltre, i cookie tecnici non hanno bisogno di alcuna autorizzazione!

E’ un sistema più naturale, meno invasivo e che tiene l’Italia al livello delle altre country europee e
mondiali. In questo modo si evita che un sito italiano non sia “più ostile” di un qualsiasi concorrente
posizionato in Austria o in Francia.

Il tema privacy non è solo per chi lavora o

vive di pubblicità: se ne devono occupare le
aziende che vogliono usare Internet per
promuovere o vendere i propri prodotti.
La normativa parla di editori ma ogni sito web è in qualche modo editoriale e i contenuti che vengono
pubblicati sono soggetti alla stessa responsabilità del “proprietario” del sito. Questo rende tutte le
aziende italiane con un sito – non solo gli editori che si occupano di informazione – soggetti passivi di
questa normativa.

Non è quindi un tema solo per editori, concessionarie, centri media, agenzie SEM o performance. E’ un
tema di interesse per tutte le aziende che oggi hanno un sito.

Mettersi in regola è tutto sommato facile ma ce ne dobbiamo occupare tutti. Vediamo come.

Cosa dobbiamo fare nei nostri siti?

C’è tempo ma il mio consiglio è di partire quanto prima per redigere un documento (cioè una pagina) in
cui presentare i cookie che si usano, sia tecnici (in primis quelli della piattaforma di Web Analytics) che di
terze parti. Questa pagina è la cosiddetta “informativa estesa“.

Dopo di che va predisposto un layer (meglio di un pop-up) – la cosiddetta “informativa breve” – da

presentare a tutti i nuovi visitatori del sito in cui mettere il link alla privacy policy e una spiegazione del
fatto che continuando la navigazione (leggi: seguendo qualche link o cliccando ovunque) si sta
implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di
navigazione. Nell’informativa breve va anche indicato se il sito utilizza o meno cookies di terze parti.

Come costruire l’informativa estesa

Per il momento (cioè fino a quando non usciranno precisazioni ulteriori) nella pagina di informativa più
dettagliata, deve esserci:

1. (più per editori con adv sul sito) L’informazione che il sito utilizza cookie di profilazione per
inviare messaggi pubblicitari in linea con le preferenze dell’utente manifestate nella sua
http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/ 3/5
4/2/2015 Come mi adeguo alla nuova normativa sui cookies? - Webranking Blog

navigazione in Ret
2. (se presenti) Che il sito consente l’invio di cookie di terze parti
3. Un link alla pagina di informativa estesa che dovrà contenere:
1. L’elenco dei cookie utilizzati e una indicazione della loro finalità (cioè perché li sto
usando, a cosa mi servono)
2. La possibilità di deselezionare i cookie di profilazione (anche singolarmente)
3. Nel caso di cookie di terze parti, un link alle pagine di informativa di questi soggetti dove
si descrive come funziona il cookie (in questo caso siamo una sorta di intermediario fra il
nostro utente e il detentore del cookie e delle motivazioni per le quali viene usato)
4. L’indicazione che continuando la navigazione si accettano implicitamente i cookie che il
sistema andrà a installare
5. Le istruzioni su come configurare il proprio browser per gestire (non accettare) i cookie
del sito

Dobbiamo quindi tenere traccia dell’accettazione o meno della privacy policy e dei cookie di terze parti. Il
bello è che il Garante stesso suggerisce di farlo… con un cookie tecnico

Ah, è molto importante segnalarlo: l’informativa estesa deve essere linkata da tutte le pagine del sito,
anche solo nel footer.

Obbligo di notifica?
L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti.

Quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o ad analizzare abitudini o
scelte di consumo” vanno notificati.

Traducendo tutto in termini pratici: il Garante chiede una notifica solo dei cookie persistenti che
riguardano informazioni personali. Tutti i cookie tecnici – compresi quelli di Web Analytics
espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.

Abbiamo un anno di tempo per adeguarci

Niente panico, la normativa ci dà un anno intero – la c.d. “fase transitoria” – per adeguare i nostri siti, per
inserire le informative e la possibilità di fare un opt-out al tracciamento dei cookie di profilazione. La
pubblicazione sulla Gazzetta Ufficiale è del 3 Giugno quindi fino al 2 Giugno 2015 possiamo metterci in
regola.

PS: le sanzioni sono imho piuttosto sparametrate ma, si sa, siamo in Italia. Da 6.000 a 36.000 € per
informativa non idonea o mancante ai quali si aggiungono da 10.000 a 120.000 € per l’inserimento di un
cookie non autorizzato!

Serve un avvocato?
Il consiglio è di far leggere tutto anche a un avvocato ma la normativa è abbastanza chiara e se sei
arrivato fin qui potresti avere già tutti gli elementi utili.

Comunque, puoi passare al tuo legale questo link dove è spiegato tutto con i riferimenti alle normative
pregresse e richiamate:
Provvedimento del Garante per la Privacy dell’8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126
dello scorso 3 giugno http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-
http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/ 4/5
4/2/2015 Come mi adeguo alla nuova normativa sui cookies? - Webranking Blog

display/docweb/3118884

Nereo
Ho fondato Webranking insieme a Stefano e Andrea nel lontano 1998, quando due
ragazzi di Mountain View stavano pensando al motore di ricerca che avrebbe cambiato
il mondo. Sono stato consigliere direttivo di IAB Italia per 6 anni, lavoro ogni giorno per
aiutare le aziende a capire e condividere le opportunità che la rete – non solo i motori di
ricerca e i social media – può generare. Sono uno dei “prof” dell’Alma Graduate School
di Bologna dove tengo da alcuni anni un corso legato a Search Marketing & Web
Analytics for business all’interno del Master internazionale sui New Media. Più di 10
anni fa ho scritto un libro per Il Sole 24 Ore dove raccontavo come trasformare i siti in
investimenti, come promuoverli e misurarne i risultati. Purtroppo un po’ in anticipo sui
tempi. Ingegnere informatico, sposato con Francesca, visionario, appassionato... e
presidente di Webranking.

TAGS: Cookie Privacy

© 2015 Webranking Blog.

http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/ 5/5