Policy di Weebly
IL CONSORZIO DEL COMMERCIO ELETTRONICO ITALIANO
Con la collaborazione tecnica di Adozione Cookie Policy
Il Provvedimento del Garante per la protezione dei dati personali n. 229/2014 relativo all’individuazione delle modalità semplifi cate per l’informativa e l’acquisizione del consenso per l’uso dei cookie diventerà obbligatorio il 2 giugno 2015.
Il presente kit raccoglie le diverse soluzioni discusse con il Garante al fine di permettere alle varie aziende di applicare nel modo migliore la normativa relativa ai cookie. Per garantire la conformità con la normativa applicabile entro il 2 giugno 2015, è importante procedere, il prima possibile, all’adozione di modelli di informativa (breve ed estesa) che siano chiari per l’utente e che possano permettere a quest’ultimo di esprimere il proprio consenso informato all’archiviazione di cookie sul proprio terminale.
2
Ambito di Applicazione
Il Provvedimento si applica a tutti i siti, inclusi quelli responsive, e alla loro navigazione da qualsiasi terminale/device utilizzato e le loro finalità (cookie di prima parte); potrebbero inviare dei cookie; con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili). Qualora non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire:
- link alle privacy policy degli intermediari (solitamente il concessionario di pubblicità del sito) ove disponibili,
- link al sito www.youronlinechoices.com/it (limitatamente ai servizi censiti da tale piattaforma, ovvero, al momento, quelli di profi lazione pubblicitaria);
Passaggi preliminari interni
Al fine di garantire una corretta applicazione della normativa, il titolare/gestore del sito internet deve procedere ad alcuni passaggi preliminari, inclusa la redazione della cookie policy. Il titolare/gestore del sito deve:
identificare tutte le categorie di cookie installati dal proprio sito
identificare le terze parti che, attraverso il sito del titolare,
catalogare i cookie in base alle finalità di trattamento;
identificare i link alle privacy policy e ai moduli di consenso delle terze parti
aggiornare le privacy policy.
3
Quanto alle modalità procedurali che permettono di adempiere alle disposizioni di cui alla normativa si rileva l’opportunità di modificare il codice del proprio sito. In tal caso per prima cosa è necessaria la creazione di uno script che gestisca il consenso all’interno del sito.
4
isolare con un identificatore specifico tutte le porzioni di codice che installano servizi terzi che potrebbero utilizzare cookie; del banner/informativa; da banner/informativa.
In alternativa, il titolare può anche adottare altri sistemi o procedure che consentano di caricare completamente le pagine (compresi i cookie) sin dalla prima visita, evitando così spazi vuoti nella pagina, a condizione che l’attivazione dei cookie inviati al terminale dell’utente avvenga solo dopo che è stato espresso il consenso.
Il titolare deve:
inserire un codice in tutte le pagine che gestiscono la visualizzazione fare in modo che tale codice interagisca con le preferenze come indicato In particolare, in caso di prima visita dell’utente al sito, il cookie - benché installato - non è attivo e se è stata adottata una corretta procedura per la richiesta del consenso, tale cookie non può eseguire alcuna profilazione dell’utente, in quanto lo scambio di informazioni in fase di lettura e scrittura dei cookie avviene solo dal collegamento successivo.
Qualunque fruizione attiva non potrà che comportare l’espressione del consenso o diniego. In caso di mancato intervento attivo dell’utente (interpretabile come accettazione o diniego) si dovrà prevedere un cookie tecnico che riconosca il medesimo utente come “nuovo utente” alla successiva visita, richiedendo nuovamente il consenso. L’utente verrà informato tramite due livelli di approfondimento: verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata. L’informativa estesa può essere una pagina a sé stante o una sezione della privacy policy del sito.
La prima informativa breve viene preferibilmente comunicata all’utente tramite un banner dinamico (ad esempio, una “strip autoespandibile” che si sposta leggermente dalla parte alta dello schermo con una percezione di movimento che sollecita l’attenzione dell’utente).
5
Interazione con l’utente
Visualizzazione dei banner/informativa;
- rilascio dei cookie tecnici,
- blocco dei cookie di terza parte e delle parti di codice di terzi che potrebbero rilasciare cookie;
- alternativamente al suindicato blocco, rilascio dei cookie che non profilano l’utente se non a seguito del consenso di quest’ultimo;
- verifica se l’utente ha già espresso preferenze, analizzando se lo stesso è alla sua prima visita o meno;
Nel dettaglio: al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie non tecnici (di profi lazione) non possono essere rilasciati (questi ultimi dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito).
Alcuni fornitori tecnologici abbinano a questi interventi un pannello di monitoraggio e gestione delle preferenze dei cookie tramite lo script: salvataggio delle preferenze dell’utente all’interno di un cookie; gestione ed aggiornamento della cookie policy.
6
In alternativa rispetto al suddetto blocco preventivo, come detto in precedenza, il titolare del sito potrebbe anche rilasciare cookie di profi lazione a condizione che ogni eventuale profi lazione possa avvenire solo a seguito del consenso informato dell’utente. A tal fine, il soggetto che rilascia i cookie dovrà far uso di appositi cookie tecnici di sessione per assicurare che gli eventuali utenti che abbiano navigato sul sito senza esprimere il consenso o il diniego (ad esempio, nel caso di navigazione “cross site” senza svolgere alcuna azione positiva - quale potrebbe essere il click ad un link all’interno del sito -, ma con la sola apertura sequenziale di pagine di vari siti) al successivo accesso al medesimo sito vengano considerati come nuovi utenti (e anche gli eventuali terzi che hanno rilasciato cookie dovranno tenere traccia del consenso).
Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, tuttavia deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito. Qualora il sito utilizzi anche cookie di profi lazione, occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve tramite un banner dinamico che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti.
In particolare, il banner dovrà preferibilmente avere le seguenti caratteristiche: dimensioni tali da rendere il banner facilmente visibile, o - in alternativa - espandibile (ad esempio, strip autoespandibile o Pushbar); e al testo del banner stesso.
7
caratteri (font) più evidenti rispetto a quello del sito;
un colore del fondo contrastante rispetto allo sfondo del sito
Ipotesi di testo per l’informativa breve per i siti che rilasciano cookie di profilazione di prima parte e non rilasciano cookie di profi lazione di terzi
(il tasto X e OK sono alternativi):
8
Informativa
Questo sito utilizza cookie per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.
X
OK
Ipotesi di testo per l’informativa breve per i siti che rilasciano anche o solo cookie di profilazione di terzi (il tasto X e OK sono alternativi):
Informativa
Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.
X
OK
Ad esempio: link al sito UPA www.upa.it/ita/cookies.html compiendo un’azione di scorrimento (c.d. scroll down); facendo click su uno dei link interni della pagina; facendo click (preferibilmente) sul tasto “OK” o sul tasto “X” - che può essere posizionato in basso o in alto a destra. NB: alla seconda visita dell’utente, ove quest’ultimo abbia espresso la propria preferenza - positiva o negativa - in relazione all’installazione dei cookie, lo script non mostrerà più il banner/informativa breve all’utente.
Ove invece l’utente non abbia espresso alcuna preferenza, lo script dovrà mostrare nuovamente il banner/informativa. Dall’informativa breve, così come da un link presente su ogni pagina, sarà possibile accedere all’informativa estesa del sito. Qualora l’utente decida di accedere all’informativa estesa, il titolare dovrà fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie.
L’informativa estesa può essere integrata nella privacy policy o essere autonoma.
9
L’utente può esprimere il proprio consenso come indicato nel banner, ovvero: gli elementi di cui all’art. 13 d.lgs. 196/20031 (“Codice Privacy”); impostazioni dei browser; modulo di consenso; cookie (identifi cabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle fi nalità del cookie e:
- iI link all’informativa e al modulo di consenso della terza parte con la quale il gestore del sito ha stipulato accordi per l’installazione dei cookie sul proprio sito, ove disponibili; oppure
- il link al sito degli intermediari (solitamente il concessionario di pubblicità del sito), ove presenti.
10
2003
una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link); L’informativa estesa deve necessariamente contenere: la descrizione delle categorie di cookie tecnici suddivisi per finalità; la descrizione dei cookie di profi lazione di prima parte con il relativo la descrizione delle fi nalità dei cookie di terza parte. Per ogni terza parte che installa.
Qualora il titolare/gestore del sito non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti (ad esempio, in ipotesi di catene di redirect advertising), si potrà inserire il link al sito www.youronlinechoices.com/it/. Si segnala che il sistema www.youronlinechoices.com/it/ attualmente funziona solo per i cookie di profilazione pubblicitaria (forse in futuro sarà allargato anche agli analytics) e rileva solo i cookie degli aderenti a www.youronlinechoices.com/it/. Per questo motivo, tale strumento può non essere risolutivo per tutti i cookie di terze parti.
Se l’utente non interagisce con i moduli del consenso ed esce dall’informativa chiudendola o proseguendo la navigazione nel sito, presta il consenso per tutti i cookie, a condizione che l’informativa riporti questa indicazione in maniera esplicita. Qualora la terza parte non aderisca a www.youronlinechoices.com/it o non abbia un’informativa e modulo di consenso, si consiglia di non utilizzare i cookie di profilazione di tale terza parte sul proprio sito (fermo restando che la responsabilità per la gestione delle preferenze dell’utente relativamente a tali cookie ricade sulla terza parte che li ha rilasciati).
11
12
Cookie tecnici e di profilazione
Ai fini dell’applicazione del Provvedimento, il Garante ha individuato due macrocategorie di cookie ed ha esentato quelli tecnici dal consenso preventivo dell’utente (ma non anche dalla necessità di fornire all’utente stesso una informativa). i cookie relativi ad attività strettamente necessarie al funzionamento ed all’erogazione del servizio; (ad esempio, cookie fl ash player se non superano la durata della sessione, cookie di salvataggio del carrello o delle preferenze sulla lingua/valuta); per raccogliere informazioni in forma aggregata. Per cookie tecnici (per i quali non è necessario il consenso dell’utente) si intendono: i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione i cookie di statistica, laddove utilizzati direttamente dal gestore del sito cookie di profilazione pubblicitaria di prima o terza parte;
13
cookie di retargeting;
cookie di social network;
Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi: cookie di statistica gestiti completamente dalle terze parti. cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazioni da parte di terzi (a titolo esemplificativo, strumenti come Piwik); la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP. Esistono due strumenti di analytics esenti dall’obbligo di consenso: cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali All’interno dell’informativa estesa devono essere presenti anche i link alle modalità per eliminare i cookie dai vari browser.
Formato della prova
Secondo il Garante, è necessario tenere traccia dell’avvenuta prestazione del consenso da parte dell’utente, ad esempio tramite un cookie tecnico. Non esiste ancora un sistema tecnico “perfetto” in relazione alla modalità di registrazione del consenso da parte di un browser (alcuni operatori stanno attualmente valutando se vi siano delle alternative praticabili) e il Garante non ha indicato una specifica soluzione tecnologica.
14
indipendentemente dal fatto che al titolare/gestore del sito risulti che l’utente abbia validamente espresso il proprio consenso, un sistema di risposta all’utente, il quale in caso di lamentela dovrà al più presto ricevere una risposta su come esercitare il proprio consenso /diniego selettivo o come cancellare i cookie dal proprio browser, prevedendo all’occorrenza apposite pagine informative; in conformità alle presenti linee guida.
In ogni caso si consiglia di adottare: policy interne che assicurino la corretta adozione delle procedure
Considerazioni ulteriori
Si ricorda che l’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Pertanto, nel caso in cui il titolare/gestore del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt. Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti. Nel caso in cui, tuttavia, il titolare/ gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione. Attenzione, come indicato dal Garante, la violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose! In particolare, per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel Provvedimento del Garante, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy).
15
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice Privacy). Inoltre, l’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice Privacy).In conformità a quanto previsto dall’art. 5, co. 1, del Codice della Privacy, le norme relative ai cookie - e dunque anche le presenti Linee Guida - sono applicabili a tutti i soggetti stabiliti in Italia, con la precisazione che, in linea con i chiarimenti forniti dai Garanti Europei*, per “stabilimento” deve intendersi il luogo in cui viene effettivamente esercitata, mediante un’organizzazione stabile, l’attività di trattamento non rilevando, a tale fine, la forma giuridica dello stabilimento (è, infatti, indifferente che si tratti della sede legale della società o di una succursale o di una filiale dotata di personalità giuridica). Quanto ai soggetti dell’Unione Europea e dello Spazio Economico Europeo, si applicano le leggi del territorio ove questi sono stabiliti, vale a dire dello Stato ove abbiano una presenza tendenzialmente permanente (non transitoria o occasionale). In conformità a quanto previsto dall’art. 5, comma 2, del Codice Privacy, le norme relative ai cookie, e quindi anche le sanzioni di cui sopra, possono essere applicate anche a soggetti extraeuropei che si avvalgano di strumenti situati nel territorio dello stato italiano.
16
*. Si veda il documento WP 56 del 30 maggio 2002 e il Parere 8/2010 sul diritto applicabile del Gruppo per la tutela dei dati personali (Articolo 29)
Si fa altresì presente che, in coerenza con quanto indicato dal Garante in tema di conservazione dei dati personali per finalità di profilazione, i cookie di profilazione non possono rimanere archiviati sul dispositivo dell’utente per un periodo superiore a 12 mesi.
Le Associazioni coinvolte hanno richiesto al Garante l’apertura di un tavolo tecnico che permetta di verificare periodicamente l’applicazione della normativa, anche in considerazione del progresso tecnologico
17
“Il presente Kit non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente”
18
DMA Italia
Fondata nel maggio 2010, DMA Italia raggruppa aziende e organizzazioni nonprofit che utilizzano strumenti e tecniche di comunicazione pubblicitaria diretta e data-driven. La mission di DMA Italia è facilitare la pratica di data-driven marketing e la sua espressione in tutti i canali media oggi a disposizione (offline, online, mobile, social) per sostenere la crescita del business del comparto associato.
Maggiori informazioni: www.dmaitalia.it
FEDOWEB
è la federazione degli editori e operatori web nata nel 2000 per rispondere alle esigenze del nascente mercato online e fornire tramite il servizio Audiweb informazioni sull’audience internet: rispondendo a precisi criteri di omogeneità il servizio Audiweb costituisce, infatti, una valida base di partenza di analisi del mercato Internet da parte di tutti i protagonisti del settore. I soci che aderiscono a Fedoweb rappresentano oltre l’80% dei publisher online e dei principali operatori web. I soci Fedoweb sono: AlFemminile.com - Banzai - Class Editore - Condè Nast - Gruppo L’Espresso - Il Messaggero - Il Sole 24 Ore - Italiaonline - Leonardo Adv - Mediaset - Microsoft - Mondadori - Rainet (Gruppo Rai) - RCS - Seat Pagine Gialle - Sport Network - La Stampa (Itedispa) - Tiscali/Veesible
Maggiori informazioni: www.fedoweb.it
IAB ITALIA
IAB Italia è l’Associazione italiana che rappresenta gli operatori del mercato della comunicazione digitale interattiva nel nostro Paese ed è inoltre il charter italiano dell’Interactive Advertising Bureau, la più importante Associazione nel campo della pubblicità digitale a livello mondiale. Contribuire in maniera significativa alla diffusione della cultura digitale e di internet e promuovere, da un lato, l’intera industry, dall’altro, la conoscenza delle potenzialità che l’online offre al Sistema Paese a tutti i livelli, rappresentano la mission dell’Associazione. IAB Italia conta 175 Soci tra i principali operatori italiani e internazionali attivi in Italia nel mercato della comunicazione interattiva ed è aperta all’adesione di editori, concessionarie, centri media, agenzie creative, web agency, istituti di ricerca, aziende, società di consulenza e associazioni che operano o intendono operare su internet con professionalità e consapevolezza.
Maggiori informazioni: www.iab.it
NETCOMM
Netcomm - Il Consorzio del Commercio Elettronico Italiano è stato costituito l’8 settembre 2005, ma le sue origini risalgono agli albori del commercio elettronico in Italia. Gli obiettivi sono: promuovere le iniziative che possono contribuire alla conoscenza e alla diffusione delle tematiche, dei servizi e delle tecnologie connesse al commercio elettronico; stimolare la collaborazione delle imprese e degli imprenditori del settore, rappresentandoli nei rapporti con le istituzioni a livello nazionale, comunitario e internazionale; definire standard di qualità dei servizi offerti dagli operatori e-commerce; operare presso i media per una corretta comunicazione; operare a favore del settore in termini di aspetti legali e fiscali, diritto di autore, sicurezza e tutto quanto faciliti lo sviluppo di un mercato digitale.
Maggiori informazioni: www.consorzionetcomm.it
UPA
UPA è l’organismo associativo che riunisce le più importanti e prestigiose aziende industriali, commerciali e di servizi che investono in pubblicità e in comunicazione in Italia. Raggruppa oltre 400 imprese italiane e multinazionali e rappresenta l’85% dell’investimento pubblicitario. UPA è promossa e guidata dalle imprese per affrontare e risolvere i problemi comuni in materia di pubblicità e per rappresentare gli interessi delle aziende con univocità, indipendenza e forza presso il legislatore, le authority, i consumatori e gli stakeholder del mercato della comunicazione. Tutte le attività e i comportamenti dell’Associazione sono improntati alla trasparenza e alla responsabilità, con attenzione costante all’innovazione del mercato. UPA aderisce all’Istituto dell’Autodisciplina Pubblicitaria al fine di difendere e di promuovere la pubblicità responsabile come veicolo di informazione per il consumatore, concorrenza per il mercato e benessere per la società e alla Fondazione Pubblicità Progresso, che ha lo scopo di contribuire alla soluzione di problemi morali, civili ed educativi della comunità ponendo la pubblicità al servizio della collettività, mediante l’ideazione e la realizzazione di proprie campagne di pubblico interesse.
Maggiori informazioni: www.upa.it
IL CONSORZIO DEL COMMERCIO ELETTRONICO ITALIANO
Con la collaborazione tecnica di Adozione Cookie Policy
Il Provvedimento del Garante per la protezione dei dati personali n. 229/2014 relativo all’individuazione delle modalità semplifi cate per l’informativa e l’acquisizione del consenso per l’uso dei cookie diventerà obbligatorio il 2 giugno 2015.
Il presente kit raccoglie le diverse soluzioni discusse con il Garante al fine di permettere alle varie aziende di applicare nel modo migliore la normativa relativa ai cookie. Per garantire la conformità con la normativa applicabile entro il 2 giugno 2015, è importante procedere, il prima possibile, all’adozione di modelli di informativa (breve ed estesa) che siano chiari per l’utente e che possano permettere a quest’ultimo di esprimere il proprio consenso informato all’archiviazione di cookie sul proprio terminale.
2
Ambito di Applicazione
Il Provvedimento si applica a tutti i siti, inclusi quelli responsive, e alla loro navigazione da qualsiasi terminale/device utilizzato e le loro finalità (cookie di prima parte); potrebbero inviare dei cookie; con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili). Qualora non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire:
- link alle privacy policy degli intermediari (solitamente il concessionario di pubblicità del sito) ove disponibili,
- link al sito www.youronlinechoices.com/it (limitatamente ai servizi censiti da tale piattaforma, ovvero, al momento, quelli di profi lazione pubblicitaria);
Passaggi preliminari interni
Al fine di garantire una corretta applicazione della normativa, il titolare/gestore del sito internet deve procedere ad alcuni passaggi preliminari, inclusa la redazione della cookie policy. Il titolare/gestore del sito deve:
identificare tutte le categorie di cookie installati dal proprio sito
identificare le terze parti che, attraverso il sito del titolare,
catalogare i cookie in base alle finalità di trattamento;
identificare i link alle privacy policy e ai moduli di consenso delle terze parti
aggiornare le privacy policy.
3
Quanto alle modalità procedurali che permettono di adempiere alle disposizioni di cui alla normativa si rileva l’opportunità di modificare il codice del proprio sito. In tal caso per prima cosa è necessaria la creazione di uno script che gestisca il consenso all’interno del sito.
4
isolare con un identificatore specifico tutte le porzioni di codice che installano servizi terzi che potrebbero utilizzare cookie; del banner/informativa; da banner/informativa.
In alternativa, il titolare può anche adottare altri sistemi o procedure che consentano di caricare completamente le pagine (compresi i cookie) sin dalla prima visita, evitando così spazi vuoti nella pagina, a condizione che l’attivazione dei cookie inviati al terminale dell’utente avvenga solo dopo che è stato espresso il consenso.
Il titolare deve:
inserire un codice in tutte le pagine che gestiscono la visualizzazione fare in modo che tale codice interagisca con le preferenze come indicato In particolare, in caso di prima visita dell’utente al sito, il cookie - benché installato - non è attivo e se è stata adottata una corretta procedura per la richiesta del consenso, tale cookie non può eseguire alcuna profilazione dell’utente, in quanto lo scambio di informazioni in fase di lettura e scrittura dei cookie avviene solo dal collegamento successivo.
Qualunque fruizione attiva non potrà che comportare l’espressione del consenso o diniego. In caso di mancato intervento attivo dell’utente (interpretabile come accettazione o diniego) si dovrà prevedere un cookie tecnico che riconosca il medesimo utente come “nuovo utente” alla successiva visita, richiedendo nuovamente il consenso. L’utente verrà informato tramite due livelli di approfondimento: verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata. L’informativa estesa può essere una pagina a sé stante o una sezione della privacy policy del sito.
La prima informativa breve viene preferibilmente comunicata all’utente tramite un banner dinamico (ad esempio, una “strip autoespandibile” che si sposta leggermente dalla parte alta dello schermo con una percezione di movimento che sollecita l’attenzione dell’utente).
5
Interazione con l’utente
Visualizzazione dei banner/informativa;
- rilascio dei cookie tecnici,
- blocco dei cookie di terza parte e delle parti di codice di terzi che potrebbero rilasciare cookie;
- alternativamente al suindicato blocco, rilascio dei cookie che non profilano l’utente se non a seguito del consenso di quest’ultimo;
- verifica se l’utente ha già espresso preferenze, analizzando se lo stesso è alla sua prima visita o meno;
Nel dettaglio: al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie non tecnici (di profi lazione) non possono essere rilasciati (questi ultimi dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito).
Alcuni fornitori tecnologici abbinano a questi interventi un pannello di monitoraggio e gestione delle preferenze dei cookie tramite lo script: salvataggio delle preferenze dell’utente all’interno di un cookie; gestione ed aggiornamento della cookie policy.
6
In alternativa rispetto al suddetto blocco preventivo, come detto in precedenza, il titolare del sito potrebbe anche rilasciare cookie di profi lazione a condizione che ogni eventuale profi lazione possa avvenire solo a seguito del consenso informato dell’utente. A tal fine, il soggetto che rilascia i cookie dovrà far uso di appositi cookie tecnici di sessione per assicurare che gli eventuali utenti che abbiano navigato sul sito senza esprimere il consenso o il diniego (ad esempio, nel caso di navigazione “cross site” senza svolgere alcuna azione positiva - quale potrebbe essere il click ad un link all’interno del sito -, ma con la sola apertura sequenziale di pagine di vari siti) al successivo accesso al medesimo sito vengano considerati come nuovi utenti (e anche gli eventuali terzi che hanno rilasciato cookie dovranno tenere traccia del consenso).
Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, tuttavia deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito. Qualora il sito utilizzi anche cookie di profi lazione, occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve tramite un banner dinamico che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti.
In particolare, il banner dovrà preferibilmente avere le seguenti caratteristiche: dimensioni tali da rendere il banner facilmente visibile, o - in alternativa - espandibile (ad esempio, strip autoespandibile o Pushbar); e al testo del banner stesso.
7
caratteri (font) più evidenti rispetto a quello del sito;
un colore del fondo contrastante rispetto allo sfondo del sito
Ipotesi di testo per l’informativa breve per i siti che rilasciano cookie di profilazione di prima parte e non rilasciano cookie di profi lazione di terzi
(il tasto X e OK sono alternativi):
8
Informativa
Questo sito utilizza cookie per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.
X
OK
Ipotesi di testo per l’informativa breve per i siti che rilasciano anche o solo cookie di profilazione di terzi (il tasto X e OK sono alternativi):
Informativa
Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.
X
OK
Ad esempio: link al sito UPA www.upa.it/ita/cookies.html compiendo un’azione di scorrimento (c.d. scroll down); facendo click su uno dei link interni della pagina; facendo click (preferibilmente) sul tasto “OK” o sul tasto “X” - che può essere posizionato in basso o in alto a destra. NB: alla seconda visita dell’utente, ove quest’ultimo abbia espresso la propria preferenza - positiva o negativa - in relazione all’installazione dei cookie, lo script non mostrerà più il banner/informativa breve all’utente.
Ove invece l’utente non abbia espresso alcuna preferenza, lo script dovrà mostrare nuovamente il banner/informativa. Dall’informativa breve, così come da un link presente su ogni pagina, sarà possibile accedere all’informativa estesa del sito. Qualora l’utente decida di accedere all’informativa estesa, il titolare dovrà fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie.
L’informativa estesa può essere integrata nella privacy policy o essere autonoma.
9
L’utente può esprimere il proprio consenso come indicato nel banner, ovvero: gli elementi di cui all’art. 13 d.lgs. 196/20031 (“Codice Privacy”); impostazioni dei browser; modulo di consenso; cookie (identifi cabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle fi nalità del cookie e:
- iI link all’informativa e al modulo di consenso della terza parte con la quale il gestore del sito ha stipulato accordi per l’installazione dei cookie sul proprio sito, ove disponibili; oppure
- il link al sito degli intermediari (solitamente il concessionario di pubblicità del sito), ove presenti.
10
2003
una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link); L’informativa estesa deve necessariamente contenere: la descrizione delle categorie di cookie tecnici suddivisi per finalità; la descrizione dei cookie di profi lazione di prima parte con il relativo la descrizione delle fi nalità dei cookie di terza parte. Per ogni terza parte che installa.
Qualora il titolare/gestore del sito non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti (ad esempio, in ipotesi di catene di redirect advertising), si potrà inserire il link al sito www.youronlinechoices.com/it/. Si segnala che il sistema www.youronlinechoices.com/it/ attualmente funziona solo per i cookie di profilazione pubblicitaria (forse in futuro sarà allargato anche agli analytics) e rileva solo i cookie degli aderenti a www.youronlinechoices.com/it/. Per questo motivo, tale strumento può non essere risolutivo per tutti i cookie di terze parti.
Se l’utente non interagisce con i moduli del consenso ed esce dall’informativa chiudendola o proseguendo la navigazione nel sito, presta il consenso per tutti i cookie, a condizione che l’informativa riporti questa indicazione in maniera esplicita. Qualora la terza parte non aderisca a www.youronlinechoices.com/it o non abbia un’informativa e modulo di consenso, si consiglia di non utilizzare i cookie di profilazione di tale terza parte sul proprio sito (fermo restando che la responsabilità per la gestione delle preferenze dell’utente relativamente a tali cookie ricade sulla terza parte che li ha rilasciati).
11
12
Cookie tecnici e di profilazione
Ai fini dell’applicazione del Provvedimento, il Garante ha individuato due macrocategorie di cookie ed ha esentato quelli tecnici dal consenso preventivo dell’utente (ma non anche dalla necessità di fornire all’utente stesso una informativa). i cookie relativi ad attività strettamente necessarie al funzionamento ed all’erogazione del servizio; (ad esempio, cookie fl ash player se non superano la durata della sessione, cookie di salvataggio del carrello o delle preferenze sulla lingua/valuta); per raccogliere informazioni in forma aggregata. Per cookie tecnici (per i quali non è necessario il consenso dell’utente) si intendono: i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione i cookie di statistica, laddove utilizzati direttamente dal gestore del sito cookie di profilazione pubblicitaria di prima o terza parte;
13
cookie di retargeting;
cookie di social network;
Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi: cookie di statistica gestiti completamente dalle terze parti. cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazioni da parte di terzi (a titolo esemplificativo, strumenti come Piwik); la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP. Esistono due strumenti di analytics esenti dall’obbligo di consenso: cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali All’interno dell’informativa estesa devono essere presenti anche i link alle modalità per eliminare i cookie dai vari browser.
Formato della prova
Secondo il Garante, è necessario tenere traccia dell’avvenuta prestazione del consenso da parte dell’utente, ad esempio tramite un cookie tecnico. Non esiste ancora un sistema tecnico “perfetto” in relazione alla modalità di registrazione del consenso da parte di un browser (alcuni operatori stanno attualmente valutando se vi siano delle alternative praticabili) e il Garante non ha indicato una specifica soluzione tecnologica.
14
indipendentemente dal fatto che al titolare/gestore del sito risulti che l’utente abbia validamente espresso il proprio consenso, un sistema di risposta all’utente, il quale in caso di lamentela dovrà al più presto ricevere una risposta su come esercitare il proprio consenso /diniego selettivo o come cancellare i cookie dal proprio browser, prevedendo all’occorrenza apposite pagine informative; in conformità alle presenti linee guida.
In ogni caso si consiglia di adottare: policy interne che assicurino la corretta adozione delle procedure
Considerazioni ulteriori
Si ricorda che l’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Pertanto, nel caso in cui il titolare/gestore del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt. Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti. Nel caso in cui, tuttavia, il titolare/ gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione. Attenzione, come indicato dal Garante, la violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose! In particolare, per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel Provvedimento del Garante, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy).
15
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice Privacy). Inoltre, l’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice Privacy).In conformità a quanto previsto dall’art. 5, co. 1, del Codice della Privacy, le norme relative ai cookie - e dunque anche le presenti Linee Guida - sono applicabili a tutti i soggetti stabiliti in Italia, con la precisazione che, in linea con i chiarimenti forniti dai Garanti Europei*, per “stabilimento” deve intendersi il luogo in cui viene effettivamente esercitata, mediante un’organizzazione stabile, l’attività di trattamento non rilevando, a tale fine, la forma giuridica dello stabilimento (è, infatti, indifferente che si tratti della sede legale della società o di una succursale o di una filiale dotata di personalità giuridica). Quanto ai soggetti dell’Unione Europea e dello Spazio Economico Europeo, si applicano le leggi del territorio ove questi sono stabiliti, vale a dire dello Stato ove abbiano una presenza tendenzialmente permanente (non transitoria o occasionale). In conformità a quanto previsto dall’art. 5, comma 2, del Codice Privacy, le norme relative ai cookie, e quindi anche le sanzioni di cui sopra, possono essere applicate anche a soggetti extraeuropei che si avvalgano di strumenti situati nel territorio dello stato italiano.
16
*. Si veda il documento WP 56 del 30 maggio 2002 e il Parere 8/2010 sul diritto applicabile del Gruppo per la tutela dei dati personali (Articolo 29)
Si fa altresì presente che, in coerenza con quanto indicato dal Garante in tema di conservazione dei dati personali per finalità di profilazione, i cookie di profilazione non possono rimanere archiviati sul dispositivo dell’utente per un periodo superiore a 12 mesi.
Le Associazioni coinvolte hanno richiesto al Garante l’apertura di un tavolo tecnico che permetta di verificare periodicamente l’applicazione della normativa, anche in considerazione del progresso tecnologico
17
“Il presente Kit non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente”
18
DMA Italia
Fondata nel maggio 2010, DMA Italia raggruppa aziende e organizzazioni nonprofit che utilizzano strumenti e tecniche di comunicazione pubblicitaria diretta e data-driven. La mission di DMA Italia è facilitare la pratica di data-driven marketing e la sua espressione in tutti i canali media oggi a disposizione (offline, online, mobile, social) per sostenere la crescita del business del comparto associato.
Maggiori informazioni: www.dmaitalia.it
FEDOWEB
è la federazione degli editori e operatori web nata nel 2000 per rispondere alle esigenze del nascente mercato online e fornire tramite il servizio Audiweb informazioni sull’audience internet: rispondendo a precisi criteri di omogeneità il servizio Audiweb costituisce, infatti, una valida base di partenza di analisi del mercato Internet da parte di tutti i protagonisti del settore. I soci che aderiscono a Fedoweb rappresentano oltre l’80% dei publisher online e dei principali operatori web. I soci Fedoweb sono: AlFemminile.com - Banzai - Class Editore - Condè Nast - Gruppo L’Espresso - Il Messaggero - Il Sole 24 Ore - Italiaonline - Leonardo Adv - Mediaset - Microsoft - Mondadori - Rainet (Gruppo Rai) - RCS - Seat Pagine Gialle - Sport Network - La Stampa (Itedispa) - Tiscali/Veesible
Maggiori informazioni: www.fedoweb.it
IAB ITALIA
IAB Italia è l’Associazione italiana che rappresenta gli operatori del mercato della comunicazione digitale interattiva nel nostro Paese ed è inoltre il charter italiano dell’Interactive Advertising Bureau, la più importante Associazione nel campo della pubblicità digitale a livello mondiale. Contribuire in maniera significativa alla diffusione della cultura digitale e di internet e promuovere, da un lato, l’intera industry, dall’altro, la conoscenza delle potenzialità che l’online offre al Sistema Paese a tutti i livelli, rappresentano la mission dell’Associazione. IAB Italia conta 175 Soci tra i principali operatori italiani e internazionali attivi in Italia nel mercato della comunicazione interattiva ed è aperta all’adesione di editori, concessionarie, centri media, agenzie creative, web agency, istituti di ricerca, aziende, società di consulenza e associazioni che operano o intendono operare su internet con professionalità e consapevolezza.
Maggiori informazioni: www.iab.it
NETCOMM
Netcomm - Il Consorzio del Commercio Elettronico Italiano è stato costituito l’8 settembre 2005, ma le sue origini risalgono agli albori del commercio elettronico in Italia. Gli obiettivi sono: promuovere le iniziative che possono contribuire alla conoscenza e alla diffusione delle tematiche, dei servizi e delle tecnologie connesse al commercio elettronico; stimolare la collaborazione delle imprese e degli imprenditori del settore, rappresentandoli nei rapporti con le istituzioni a livello nazionale, comunitario e internazionale; definire standard di qualità dei servizi offerti dagli operatori e-commerce; operare presso i media per una corretta comunicazione; operare a favore del settore in termini di aspetti legali e fiscali, diritto di autore, sicurezza e tutto quanto faciliti lo sviluppo di un mercato digitale.
Maggiori informazioni: www.consorzionetcomm.it
UPA
UPA è l’organismo associativo che riunisce le più importanti e prestigiose aziende industriali, commerciali e di servizi che investono in pubblicità e in comunicazione in Italia. Raggruppa oltre 400 imprese italiane e multinazionali e rappresenta l’85% dell’investimento pubblicitario. UPA è promossa e guidata dalle imprese per affrontare e risolvere i problemi comuni in materia di pubblicità e per rappresentare gli interessi delle aziende con univocità, indipendenza e forza presso il legislatore, le authority, i consumatori e gli stakeholder del mercato della comunicazione. Tutte le attività e i comportamenti dell’Associazione sono improntati alla trasparenza e alla responsabilità, con attenzione costante all’innovazione del mercato. UPA aderisce all’Istituto dell’Autodisciplina Pubblicitaria al fine di difendere e di promuovere la pubblicità responsabile come veicolo di informazione per il consumatore, concorrenza per il mercato e benessere per la società e alla Fondazione Pubblicità Progresso, che ha lo scopo di contribuire alla soluzione di problemi morali, civili ed educativi della comunità ponendo la pubblicità al servizio della collettività, mediante l’ideazione e la realizzazione di proprie campagne di pubblico interesse.
Maggiori informazioni: www.upa.it