“Siamo come Hansel e Gretel quando navighiamo in rete, ma, a differenza loro, spesso seminiamo le nostre tracce inconsapevolmente”.
Sono le parole di Gary Kovacs, allora CEO di AVG Technologies, in un Ted Talks del 2012. Ovviamente faceva riferimento ai c.d. “cookie web”, meglio conosciuti nel gergo comune come “cookie”.
Cosa sono i cookie? Si tratta di elementi tecnici utilizzati dalle applicazioni web nei protocolli HTTP e HTTPS per ottenere, archiviare e recuperare dati correlati alle sessioni dell’utente-client.
L’utilizzo del “biscotto” mette a disposizione molte informazioni come, ad esempio:
- la data in cui è avvenuta una determinata sessione,
- durata della sessione,
- permanenza sulla pagina web visitata,
- click effettuati.
Inoltre, con l’utilizzo dei cookie si possono avere specifiche utili per finalità di statistica e profilazione dell’utente. Insomma, una traccia di ogni nostro passaggio in rete, come piccole “briciole identificative” lasciate lungo il percorso.
Tutti sappiamo che la normativa in materia di protezione dei dati, soprattutto con GDPR e Direttiva E-Privacy, ha predisposto maggiori tutele per l’utente. Ma quali sono i doveri dell’owner della web app? E come devono essere utilizzati i cookie rispettando la normativa?
Noi di StarUp Legal proviamo a darvi qui di seguito alcuni spunti pratici per costruire una cookie policy.
1) Principio di trasparenza e tipologie di cookie web
La normativa richiede di mostrare chiaramente all’utente finale il ciclo di vita dei dati che trasmette. La richiesta di maggior trasparenza è però sempre più ricercata anche dagli utenti, soprattutto nell’acquisto di prodotti e servizi offerti a distanza.
I cookie permettono di raccogliere alcuni dati dell’utente necessari per determinate finalità della web app. Per questo è fondamentale che l’owner conosca e scelga con cura la varietà di “biscotto” da utilizzare e che informi correttamente ogni utente che accede al suo sito internet.
Ma quali sono le tipologie di cookie? Proviamo a classificarli sulla base delle questioni che il titolare sei sito web si deve porre prima del loro utilizzo:
quale sarà il tempo di permanenza dei cookie utilizzati?
- Cookie di sessione – cookie che vengono cancellati al momento della chiusura del browser (e quindi della sessione) da parte dell’utente;
- Cookie persistenti – cookie che vengono memorizzati per un determinato periodo di tempo e non cancellati immediatamente alla chiusura del browser da parte dell’utente;
chi avrà la titolarità dei cookie utilizzati?
- Cookie di prima parte – cookie inviati direttamente dal dominio web che l’utente sta visitando (per intenderci, dall’url digitato nel browser dall’utente);
- Cookie di terza parte – cookie appartenenti a domini differenti rispetto a quello del sito web che sta visitando l’utente;
per quali finalità saranno utilizzati i cookie?
- Cookie tecnici – cookie necessari e di funzionamento del sito web visitato dall’utente e che hanno l’unico scopo di migliorare la navigazione e la user experience;
- Cookie analitici – cookie che permettono di condurre report e statistiche in forma anonima sull’utilizzo del sito internet da parte dell’utente;
- Cookie di profilazione – cookie che permettono di analizzare il comportamento dell’utente all’interno del sito internet visitato, in modo da ottenere informazioni da utilizzare a fini commerciali.
La categorizzazione di ogni singolo cookie utilizzato dall’owner è molto importante, poiché permetterà allo stesso di informare correttamente l’utente, nel rispetto del principio di trasparenza.
2) Il consenso informato e la cookie web policy
Definita la categorizzazione dei cookie utilizzati, il titolare del sito internet dovrà verificare quali richiedono il consenso informato dell’utente per poter essere utilizzati lecitamente
Attenzione, solo le categorie di cookie tecnici e di cookie analitici di prima parte sono esenti da consenso dell’utente, mentre per gli altri sarà necessario ottenere l’espresso benestare.
Il consenso, inoltre, si intende “informato” solo se all’utente è stata data la possibilità di ricevere una cookie policy che definisca in linguaggio chiaro, specifico, trasparente ed inequivocabile, i seguenti elementi:
- definizione e funzione dei cookie;
- tipologia dei cookie e loro funzioni;
- titolarità dei cookie utilizzati;
- modalità per accettare, revocare, eliminare e revocare il consenso prestato;
- informazioni in merito al trasferimento di dati a terze parti;
- informazioni su eventuale presenza di cookie di profilazione;
- periodo di conservazione delle informazioni raccolte e link per le policy di fornitori di eventuali cookie di terze parti;
- link alla privacy policy del proprio sito internet resa ai sensi dell’ art. 13 del Regolamento UE/679/2016.
3) Il comportamento attivo dell’utente ed il banner cookie
Oltre ad essere “informato”, il consenso dell’utente deve essere ottenuto mediante un suo comportamento attivo.
Ma cosa deve intendersi per “comportamento attivo”? Ci sono ancora alcune “zone grigie” sulla permissività di alcuni escamotage da parte del titolare del sito. Cerchiamo comunque di offrire spunti interessanti su ciò che al momento è considerato come “pratica corretta” e come “pratica da evitare”, seguendo anche le recenti disposizioni della Corte di Giustizia UE (sentenza 01 ottobre 2019).
Pratiche da evitare
- Il meccanismo “opt-out”, e cioè il consenso ottenuto mediante apposito form con spunte positivamente “pre flaggate”, non lecito;
- Inoltre, non costituisce consenso il c.d. “silenzio-assenso” o l’inattività dell’utente.
Pratiche corrette
- Il banner cookie deve contenere tutte le informazioni necessarie all’utente per il conferimento del suo consenso informato;
- Il banner deve essere reso visibile all’utente nel momento in qui quest’ultimo accede al sito internet;
- Il banner deve avere idonee dimensioni, tali da essere percepito dall’utente come elemento di “discontinuità” nella fruizione della propria user experience.
Ad oggi sono considerate lecite alcune pratiche “border line” circa l’ottenimento del consenso con comportamento attivo dell’utente (si pensi al metodo dello “scroll”).
A nostro avviso è sempre opportuno costruire un banner cookie che contenga:
- categorie di cookie utilizzati dal sito internet;
- esistenza di categorie per cui è necessario il consenso informato dell’utente;
- granularità delle categorie di cookie per l’espressione del comportamento attivo dell’utente;
- link alla cookie policy estesa.
I dati sono, oggi più che mai, uno degli asset più importanti di una startup tanto che, spesso, le due diligence predisposte degli investitori nelle prime fasi di un round d’investimento si concentrano principalmente sulla compliance del sistema di gestione dei dati.
E’ importante farsi trovare pronti e predisporre una buona data protection compliance: la gestione dei cookie web ne è una parte importante.
StartUp Legal può aiutarti a valorizzare il tuo asset di dati, implementando il migliore impianto di gestione dei dati per la tua startup. Clicca qui per conoscere il “Privacy Pack” oppure clicca qui per contattarci!