Notificare un sito web al garante della privacy
Come districarci tra le maglie ingarbugliate della legge e contemporaneamente promuovere il nostro business? Cerchiamo di schiarire un po’ le idee. Prima di tutto, in virtù delle recenti modifiche apportate dal Codice del Consumo, è opportuno sottolineare che il consenso informato e preventivo da parte degli utenti è necessario soltanto per l’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche: è questo il caso dei cookie di profilazione, quelli cioè <<utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete>> (vd. artt. i 122, co.1 e 13, co. 3 Codice del Consumo). Tale consenso non sarà richiesto invece per quelli tecnici (di navigazione, di sessione e analytics) A titolo esemplificativo, ma non esaustivo, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web e quindi ad esempio: AdSense, Google+, Facebook, Twitter, Youtube, etc.).
[adrotate banner=”1″]
A tale tema è connesso quello relativo all’individuazione delle responsabilità che si differenzia a seconda che all’installazione dei cookie provveda l’editore (gestore del sito) oppure di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”). Se ogni volta l’obbligo di fornire l’informativa e acquisire il consenso ricadesse sull’editore, questi dovrebbe in linea teorica conoscere la logica sottesa tra la dichiarazione delle terzi parti e le finalità da esse realmente perseguite. Come spesso accade egli è però un semplice intermediario (si pensi a persone fisiche o piccola società) mentre le terze parti sono grandi società caratterizzate da notevole peso economico. Ecco perché tali soggetti, pur essendo da un lato titolari del trattamento per i cookie installati direttamente dal proprio sito, sono dall’altro, considerabili come intermediari tecnici tra le terze parti e gli utenti.
E allora come salvaguardarsi?
Una soluzione efficace sembra essere quella di installare una doppia informativa. Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni che permetta di individuare le seguenti indicazioni:
- Che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
- Che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
- Il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
- L’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- L’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
Sarà perciò l’utente a selezionare il banner attraverso un suo autonomo intervento attivo – richiesta di consenso detta informativa breve– attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso.
Quelli che poi vorranno approfondire le proprie scelte ed avere maggiori e più dettagliate informazioni circa i cookie archiviati, potranno accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche. La cosiddetta informativa estesa che dovrà descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito che consenta allo stesso tempo all’utente di selezionare/deselezionare i singoli cookie, nonché le proprie opzioni in merito all’uso del browser; tale informativa dovrà almeno indicare anche la procedura da eseguire per configurare tali impostazioni.
Un utente realmente consapevole e che manifesti un consenso espresso e specifico, è ritenuto quindi l’obiettivo da raggiungere per il Garante della privacy. Allo stesso tempo, al fine di evitare che i gestori dei siti e le parti terze incorrano in sanzioni amministrative, si prevede un obbligo preventivo di notificazione del trattamento allo stesso Garante della Privacy, ma questo solo per i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo mentre per i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, tale obbligo non è previsto.
notifica garante privacy
La notifica deve esser fatta online, dal titolare del cookie e prevede il pagamento di 150 euro come spese di segreteria. La procedura per la compilazione della notificazione al garante della privacy è semplice e può essere eseguita online al link segnalato, così come il pagamento dei costi di segreteria.
Ripetiamolo per chiarezza: tale comunicazione, con relativo pagamento, va eseguita solo se il sito web trattiene informazioni come preferenze degli utenti a scopo di profilazione interna.
Sarà quindi buona prassi da parti degli editori stessi acquisire i suindicati link dalle terze parti già in fase contrattuale (con ciò intendendosi anche gli stessi concessionari).
Sanzioni amministrative
Le conseguenze previste in caso di mancato rispetto delle normative sui cookie saranno più che altro sanzioni amministrative. Gli importi di tali sanzioni saranno ovviamente variabili a seconda che si tratti di Omissione o inidoneità dell’informativa, ossia che non presenti gli elementi indicati. In tal caso è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice);
Assenza preventiva consenso: L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi, comporta invece la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice);
L’omessa o incompleta notificazione al Garante, infine, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
Quindi il webmaster deve notificare al garante, o le terze parti? e sopratutto, cosa si notifica esattamente?
webmaster per quali siti? ovviamente sono risposte da poter dare in privato. Non posso conoscere a priori quali siti si stanno strutturando. Sarebbe comunque buona prassi ottenere i link dalle terze parti già in fase contrattuale
Insomma, la cosa resta sempre molto fumosa.
Facciamo due esempio pratici:
– installo lo script di Google Analytics per vedere chi visita il mio sito, con quale browser etc.
– installo lo script per fare “+1” su Google+ o “mi piace” su Facebook
In questi casi (che coprono praticamente il 95% dei siti odierni) che bisogna fare?
Nel merito ti posso dire che il potere di Google è enorme e a tal proposito: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2606830. Non esiste una reale normativa di tutela della persona e, per contemperare il business, credo che ogni persona debba quantomeno accettare con consapevolezza.
Buongiorno, grazie per le informazioni esaustive.
Vorrei chiedere un ulteriore chiarimento: si parla sempre di cookie di profilazione in ambito pubblicitario, ovvero necessari ad inviare successivi messaggi promozionali in linea con le preferenze utente.
Tuttavia esistono servizi che non sono legati all’ambito pubblicitario, ma che comunque effettuano operazioni di tracciamento dei visitatori per offrire, ad esempio, un servizio migliore. Parlo di sistemi legati al mondo del CRM.
Nessun dato personale viene memorizzato nei cookie ma ne consente un successiva identificazione (es. id univoco).
In questo caso, come le aziende si possono comportare?
Grazie!
Credo sia fondamentale comunque accertarsi preventivamente sulla tipologia di servizio reso e se questo si esplica solo sul territorio italiano o anche in quello comunitario o internazionale. Il tracciamento dei dati è di fondamentale importanza da un lato per le aziende, ma dati i rischi elevati in cui incorre un semplice utente( fenomeni di phishing o altri reati informatici e ancora problematiche alla privacy) è sempre preferibile strutturare un sito con una cookie privacy molto adeguata alle esigenze di tutela dell’utente e che contemporaneamente consenta di fare business ( in particolar modo va valutata quanto siano invasivi i cookies). Ecco perchè la notifica al Garante e la richiesta preventiva di informazioni rappresenta un primo passo fondamentale per accertarsi di non incorrere in reati, soprattutto dal punto di vista penale.
Se si invia la notifica al garante in ritardo…. in questi giorni, per un sito già attivo da un paio d’anni, si è passibili comunque della multa da 20.000 a 120.000 Euro? Non esiste una sorta di “ravvedimento operoso”? – gestisco un sito e-commerce (che quindi profila i Clienti) – entro il 2 giugno ho inserito il banner e la pagina con l’informativa – come posso mettermi in regola anche con la notifica al garante evitando sanzioni?
Grazie di cuore per una cortese risposta.
Credo che obiettivamente un ravvedimento operoso come dici tu possa operare tranquillamente. Poi non so,non c’è certezza. Tu fallo e poi si vede
Una domanda di cui leggo risposte contraddittorie: se uso facebook ads per fare retargeting (o Adwords) devo fare notifica al garante? Dagli ultimi suoi chiarimenti pare che la certezza sul fatto che la notifica dovesse ricadere sulle terze parti sia in forse. E’ così? Grazie.
attualmente non esiste una normativa specifica italiana che regoli il funzionamento dei cookie di terzi parti.C’è pochissima giurisprudenza di merito. Fatto sta che rimane imprescindibile, a mio avviso, l’accettazione da parte del singolo dei cookie di profilazione( al fine di non violare la sua privacy e di conservare in alcuni casi la proprietà intellettuale) e la responsabilizzazione del cliente medio che ben potrebbe agire per la violazione dei propri dati, sia in sede civile che in sede penale.
Articolo interessante, ma DOMANDA: come gestore di un sito web, non posso rifiutarmi di mostrare i contenuti del sito se l’utente non accetta tutti i cookie, anche quelli di profilazione di terze parti? Insomma: se non accetti TUTTI i cookie, ti impedisco di visualizzare il sito. È mio diritto farlo o no? alla fine ci deve essre un minimo di “scambio” con l’utente: io ti fornisco contenuti che interessa vedere, tu per vederli DEVI accettare tutti i cookie, altrimenti…. Perchè mai dovrei farteli vedere?
Grazie