
Privacy e cookies: cosa sono e come trattarli
16 Maggio 2016
Il Garante Privacy è intervenuto, con apposito provvedimento dell’ 8 Maggio 2014, a regolamentare in modo preciso la gestione dei cookie all’interno dei siti web. I cookies sono delle semplici righe di testo che consentono di monitorare le attività ed il comportamento di chi naviga su un sito internet, installandosi in modo residente o temporaneo nei web browser che ci permettono di navigare in internet (Edge, Chrome, Safari, Mozilla, …) da uno smartphone, da un PC o da un tablet.
Quali tipologie di cookies esistono?
I cookie si dividono principalmente in due categorie:
- Con il termine Cookie Tecnici si intende quando le informazioni vengono lette e decifrate per facilitare la navigazione dell’utente. I siti salvano alcuni dati per consentirci di agevolare processi di pagamento online, per consentire l’accesso ad aree riservate, per permettere la pubblicazione di commenti, ecc.
- Con la dicitura Cookie di profilazione si intendono i cookie che analizzano il nostro processo di navigazione e raccolgono dati sui nostri interessi e predilezioni in diversi ambiti come gli acquisti, le APP utilizzate, lifestyle, ecc. e vengono usati in un momento successivo per attività mirate a fini commerciali facendoci apparire promozioni/annunci/campagne pubblicitarie/offerte predisposti in base alle nostre preferenze. Il cookie presente sul proprio apparecchio salva i dati necessari, come le pagine visitate, i prodotti che acquistiamo, le informazioni cercate, ecc. Successivamente, il cookie è inviato nuovamente ai domini web per cui è stato generato, comprensivo dei dati utili.
Solitamente un sito internet contiene alcuni elementi come banner, slider pubblicitari e side-bar dove vengono mostrati annunci pubblicitari di diversi brand. Quindi entrando nel sito, ad esempio, di un quotidiano, possiamo vedere apparire in un riquadro laterale la pubblicità delle scarpe da calcio viste il giorno prima su Privalia, perché quello spazio viene gestito in base ai cookie che hanno monitorato la nostra navigazione.
Marketing mirato e targettizzato… e la privacy?
Quello dei cookie risulta un sistema altamente innovativo, che consente di diffondere le proprie preferenze riguardanti gli articoli preferiti dalla singola persona in maniera specifica e puntuale, nel momento più propizio. Ma qual è il limite tra marketing ingegnoso e violazione della privacy?
Cookie di terze parti
Si definiscono cookie di terze parti, quelli che permettono a terzi (diversi dai proprietari del sito che stiamo navigando) di riunire le nostre informazioni per scopi di profilazione e promozione commerciale. Tutte le moderne pratiche di Automation Marketing sono basate su analisi comportamentali degli utenti dei siti web, con ampio uso di cookie di terze parti.
La legislazione europea e italiana “prevede che l’utente debba essere adeguatamente informato sull’uso di tali cookie e che debba esprimere il proprio consenso preventivo”. Il Garante, con il Provvedimento soprariportato ha previsto che, nel momento in cui si faccia uso di cookie di profilazione, debba:
- Spuntare un banner in sovraimpressione in cui si comunichi al visitatore dell’utilizzo di tali strumenti;
- L’inserzione pubblicitaria deve contenere una comunicazione riguardo i cookie usati, un link alla privacy policy e l‘informazione della possibilità di negare il consenso all’installazione di qualsiasi cookie;
- Il banner deve svanire solo dopo che il visitatore ha manifestato il proprio consenso, oppure deve contenere l’informazione che la continuazione della navigazione mediante accesso ad altra area del sito internet o selezione di un elemento dello stesso (ad esempio un’immagine) comporta di fornire il consenso all’utilizzo dei cookie.
L’informativa privacy
La privacy policy (informativa privacy) deve essere pubblicata sul sito e deve riportare le seguenti informazioni:
- Utilizzo dei cookie tecnici e analytics;
- Possibilità per il visitatore di esprimere le proprie opinioni all’uso dei cookie da parte del sito web anche attraverso le impostazioni del browser, indicando la procedura da compiere per configurare tali impostazioni.
La mancanza di queste accortezze è sanzionabile e può essere sempre segnalata al Garante Privacy.
Quali cookies ci sono sul mio sito?
E’ possibile scoprire quali cookies sono presenti sui nostri siti installando un semplice e pratico software chiamato Ghostery, fruibile per tutti i browser e scaricabile gratuitamente in pochi minutiì. Dopo averlo installato comparirà un piccolo fantasma nel menu in alto a destra della finestra di navigazione ed il fantasma mostrerà quanti e quali cookie sono presenti nella web page che stiamo visionando.
Occorre rammentare di controllare OGNI PAGINA DEL SITO: i cookies infatti cambiano di pagina in pagina. Inoltre, raccomandiamo di aprire anche pop-up, link, foto e soprattutto video. Infatti, abbiamo capito che dando il via ad un video incorporato da YouTube in cui sono presenti annunci pubblicitari ci trasportiamo tutti i cookies pubblicitari, ovvero quelli di profilazione.
I cookies dei social media
Inoltre, un approfondimento va fatto rispetto ai cookies dei social media (Google+, Facebook, Pinterest, Twitter, ecc.) ed ai cookies di Google Analytics, che sono i primi ad essere installati nei siti web.
Per quanto concerne questi casi abbiamo avuto delle risposte incomplete da parte del Garante Privacy nei chiarimenti pubblicati il 5 giugno:
Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
Per quanto riguarda questo aspetto Google ci dice: “Google Analytics non condivide i dati sugli indirizzi IP con i clienti. Inoltre, utilizzando il metodo di mascheratura dell’indirizzo IP, i proprietari di siti web che utilizzano Google Analytics hanno la possibilità di impostare il programma in modo da utilizzare per la geolocalizzazione solo una parte dell’indirizzo IP.” e ancora “Per impostazione predefinita, Google Analytics utilizza l’intero indirizzo IP degli utenti del sito web per fornire dati geografici di carattere generale nei rapporti. […] Per istruzioni dettagliate su come impostare il mascheramento IP, attieniti alle istruzioni nella Guida per gli sviluppatori relative a Universal Analytics (analytics.js).” e quindi è necessario controllare che la mascheratura degli IP sia attiva o, altrimenti, attivarla mediante le indicazioni fornite da Google.
Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
Sulla base delle decine di domande sorte, tra gli ulteriori chiarimenti del Garante troviamo:
- Per l’uso di cookie tecnici è necessaria la sola informativa (ad esempio nella privacy policy del sito) e non vi è la necessità di realizzare specifici banner;
- Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per tipologie (es. viaggi, sport);
- Vi è la possibilità di effettuare una sola notificazione per tutti i siti web che vengono controllati nell’ambito dello stesso dominio;
- Le imposizioni si applicano a tutti i siti web che installano cookie sui dispositivi degli utenti, a prescindere dalla presenza di una sede in Italia.
Il parere degli utenti sui cookies, il Festival ICT 2015
Anche al Festival ICT 2015 si è parlato di cookie ed è risultato che 6 utenti su 10 non nutrono fiducia dei banner con l’informativa cookie. I valori finali derivano da una ricerca condotta da Federprivacy su 187 utenti e mettono in risalto che il 74% degli intervistati dice di essere abituato a vedere i banner quando entra nei siti e di aver iniziato a chiuderli senza leggerli, certo che il banner non dia alcuna garanzia che la sua privacy verrà rispettata. Teniamo presente che si tratta di utenti che sono abituati ad affrontare ed aggiornarsi in merito all’argomento privacy.
Il 35% non conosce quale sia il fine degli avvisi, in molti ritengono che lo scritto contenuto negli stessi non sia chiaro o intelligibile e più del 50% pensa di aver possibilità di scelta e controllo rispetto a quello che accadrà ai propri dati. Infine, è emerso che, questo strumento non è percepito come sintomo di trasparenza e correttezza, al contrario spinge l’utente a pensare che il visitatore verrà esaminato e monitorato.