COOKIE: tipologie e sanzioni
Nel precedente articolo abbiamo introddoto il tema cookie spiegando cosa sono, a cosa servono e come è possibile controllarli!
Oggi affronteremo le diverse tipologie di cookie e le sanzioni per chi non adegua la policy.
I COOKIE SONO SOLO DI UN TIPO?
No, esistono diversi tipi di cookie però un cookie può essere di più tipi contemporaneamente.
La prima grande distinzione è tra cookie temporanei e cookie permanenti.
I primi detti temporanei o della sessione vengono memorizzati durante la sessione di navigazione dell’utente e poi vengono rimossi dal computer con la chiusura del browser. Mentre i secondi rimangono archiviati nel computer per varie sessioni e vengono cancellati solo quando raggiungono la data di scadenza (non oltre i dodici mesi) o quando vengono manualmente rimossi.
Si dividono poi in base alla funzione che hanno: tecnici, di profilazione e di terze parti.
I cookie tecnici forniscono al navigatore alcune funzionalità che gli facilitano la navigazione
- Di navigazione: garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate), non possono essere disattivati;
- Analitici: assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
- Funzionalità: permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso”, non sono indispensabili al funzionamento del sito.
I cookie di profilazione sono quelli che permettono di creare un profilo personale del navigatore sulla base dei suoi comportamenti. Non possono essere installati senza il consenso dell’utente e deve esserci evidenza.
Sono usati soprattutto in due campi:
- Behavioral advertising: identificandone le abitudini di acquisto, gli interessi, gli orientamenti (religioso, politico, sessuale, ecc.), puoi inviargli messaggi promozionali personalizzati e puoi mostrargli le tue pubblicità personalizzate anche su siti diversi dal tuo;
- Behavioral analytics: ti permette di capire esattamente ogni singolo navigatore quali pagine visita e quali azioni compie per comprendere meglio le sue preferenze e poter così capire come ottimizzare il tuo sito, da un lato, offrirgli un servizio migliore attraverso la personalizzazione dei contenuti, dall’altro.
L’ultimo tipo sono i cookie di terza parte sono quelli installati visitando un sito ma usando dei sistemi informatici di cui quel sito non ha il controllo diretto e per scopi e modalità di trattamento sulle quali allo stesso modo non ha il controllo diretto.
Siccome i dati di queste ricerche possono essere una potenziale minaccia per la privacy degli utenti, le autorità europee hanno deciso di regolamentare l’uso degli stessi, mediante una legge dei 2011, imponendo a tutti i siti degli stati membri di informare gli utenti che il sito utilizza certe tipologie di cookie tramite l’utilizzo di un banner e la cookie policy.
Il banner deve avere determinate caratteristiche:
- avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando
- deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.
- specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente.
- contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie.
Secondo le linee guida del Garante deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie che non richiedono il consenso.
La cookie policy è un documento obbligatorio che serve per informare l’utente di cosa accade ai suoi dati, chi li utilizza e per quanto tempo.
Contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
Includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.
Richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
Il titolare del sito web che installa cookie di profilazione deve fornire l’informativa estesa.
SE NON SI RISPETTANO LE NORME COSA SUCCEDE?
Se ti dimentichi di ottemperare agli obblighi di legge previsti quando installi cookie di profilazione, rischi di dover pagare sanzioni anche molto salate:
- La sanzione amministrativa per l’omessa informativa va da 6.000 Euro a 36.000 Euro;
- La sanzione amministrativa per l’installazione del cookie (o il suo uso per scopi ulteriori) senza il preventivo consenso va da 10.000 Euro a 120.000 Euro (centoventimila);
- La sanzione per l’omessa o incompleta notificazione al Garante, va da 20.000 a 120.000 Euro.
Vediamo alcuni esempi di casi reali in cui i Garanti europei hanno comminato sanzioni.
La compagnia aerea spagnola Vueling Airlines è stata sanzionata dal Garante Spagnolo perché ha ritenuto non fosse adeguata al Gdpr in materia di cookie, in quanto visitando il sito web della compagnia gli utenti non avevano la possibilità di rifiutare o accettare i cookies sui propri dispositivi.
Ciò che mancava per rendere il sito realmente conforme al Gdpr, era un sistema di gestione o un pannello di configurazione dei cookies che consentisse all’utente di esprimere una volontà granulare.
Per facilitare questa scelta il pannello dovrebbe abilitare un meccanismo o pulsante per rifiutare tutti i cookie, un altro per abilitare tutti i cookie, e uno per poterlo fare in modo granulare così da permettere al all’utente di esprimere le proprie preferenze.
La multa che è stata inflitta per questa mancanza ammontava a 30mila euro (ridotti a 18mila per pagamento in un’unica soluzione) e solo due settimane prima la Corte di Giustizia dell’Unione Europea aveva stabilito che per i siti che utilizzano i cookies non è ritenuto valido un consenso ottenuto attraverso una cartella preselezionata, e che è necessario ottenere dall’utente un consenso attivo.
Il Garante Francese nel 2019 ha pubblicato delle linee guida in materia cookie in cui specifica e sottolinea che il sito deve essere sempre in grado di dimostrare di aver ottenuto il consenso dall’utente.
La commissione ricorda che l’utente deve poter dare in suo consenso in modo indipendente, specifico per ogni finalità distinta. L’articolo 7 del Gdpr impone che il consenso sia dimostrabile, questo vuol dire che i siti che utilizzano i cookie dovranno mettere in moto dei meccanismi che gli permettano in ogni momento di dimostrare il consenso espresso dall’utente. Se il sito non provvede ad adeguarsi potrebbe incorrere in sanzioni.