Cookie e privacy, risponde l’Avvocato

privacy-cookie-la-risposta-avvocato

Il tema è ormai all’ordine del giorno: dal 2 giugno 2015 i gestori di blog e siti web dovranno attenersi alle disposizioni del Garante della privacy in materia di cookie e privacy.

Dopo aver provato in prima battuta ad approfondire la questione, torniamo sull’argomento e lo facciamo grazie al prezioso contributo dell’Avvocato Raffaele Romano, iscritto all’Albo degli Avvocati di Milano dopo aver conseguito la Laurea Magistrale in Giurisprudenza presso l’Università LUISS Guido Carli di Roma (profilo LinkedIn).
Attualmente, l’Avvocato Romano collabora con lo Studio legale Maschietto Maggiore Besseghini occupandosi prevalentemente di attività di consulenza ed assistenza nella gestione di contenziosi connessi, in particolare, al diritto antitrust e della concorrenza, diritto fallimentare e diritti della personalità e privacy.

Cookie e privacy, risponde l'Avvocato Raffaele Romano

Nel prossimo mese di giugno diventerà operativo il provvedimento del Garante della privacy in materia di cookie, ma la prima domanda, che molti si stanno ponendo, sorge spontanea: perché il Garante italiano ha deciso di introdurre una normativa in materia di cookie creando allarmismi, soprattutto tra i titolari di piccoli siti web?

Mi fa molto piacere iniziare con questa domanda perché, in effetti, nelle ultime settimane ho letto e sentito tante opinioni contrastanti sul tema e, spesso, non del tutto esatte.
Deve essere infatti respinta quella falsa leggenda secondo cui soltanto in Italia è stato adottata una normativa in materia di cookie, mentre negli altri paesi no. Assolutamente non è così, anzi tutt’altro.
La normativa in materia trova piena applicazione in tutta l’UE e non solo in Italia il che implica, conseguentemente, una necessaria conformità agli obblighi imposti dalla normativa da parte di tutti i cittadini europei.
Il legislatore italiano si è limitato a dare attuazione alla normativa europea, mentre il Garante ha previsto, con il provvedimento dello scorso 8 maggio 2014, delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

Cerchiamo di fare un po’ di chiarezza. Come si fa a distinguere un cookie tecnico da un cookie di profilazione?

Seppur la distinzione tra cookie tecnici e di profilazione sia indispensabile al fine di individuare i precisi obblighi applicabili al caso specifico, da un punto di vista pratico non sempre risulta agevole distinguerli dato che non vi sono delle caratteristiche tecniche che consentono una loro puntuale distinzione.
Per poter dunque stabilire se un determinato cookie debba considerarsi tecnico oppure di profilazione è necessario basarsi sulle finalità perseguite dal cookie nonché sulla definizione di cookie fornita dalla legge e riportate nel provvedimento del Garante privacy dello scorso 8 maggio 2014.
Il Garante, infatti, ha distinto i cookies in due macro-categorie: i cookie tecnici ed i cookie di profilazione. I cookie tecnici, in sostanza, sono quelli finalizzati al corretto e regolare funzionamento del sito web e/o a fornire un servizio richiesto dall’utente e, normalmente, sono installati direttamente dal titolare o gestore del sito web.
Come precisato dallo stesso Garante, essi non possono avere scopi ulteriori e diversi rispetto a quelli poc’anzi detti, il che implica, di conseguenza, che tutti i cookie – o dispositivi analoghi – che non hanno le predette finalità devono considerarsi cookie non tecnici ed in relazione ai quali è dunque necessario ottenere il consenso da parte dell’utente per il loto utilizzo.

Tra i cookie tecnici vi rientrano anche i cookie analytics, ossia quei cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito web ma, attenzione, soltanto laddove siano utilizzati per “ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. provvedimento 8 maggio 2014 Garante). Soltanto quindi se perseguono scopi statistici e raccolgono le informazioni in forma aggregata i cookie analytics possono considerarsi cookie tecnici.

I cookie di profilazione, come ormai noto, sono invece quelli utilizzati per tracciare la navigazione dell’utente in rete e creare un profilo dello stesso in base alle proprie preferenze.
In ragione della particolare invasività che i cookie di profilazione possono avere nella sfera privata dell’utente, la normativa in materia di protezione dei dati personali prevede che l’utente/visitatore del sito web debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio preventivo consenso.
Aspetto rilevante è che tale consenso debba essere dunque “preventivo” e, quindi, i cookie di profilazione, a differenza di quelli tecnici, possono essere installati soltanto dopo che il titolare del sito web abbia fornito adeguata informativa circa il loro uso ed abbia altresì acquisito il consenso da parte dell’utente.

Entriamo nel merito: se si utilizzano servizi come Google AdSense si fa uso di cookie tecnici o di profilazione?

Sulla base di quanto stabilito dal Garante, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web e, quindi, ad esempio: AdSense, Google+, Facebook, Twitter, Youtube e così via.
Questi servizi non possono dunque considerarsi cookie tecnici, in quanto non sono strettamente necessari al corretto funzionamento del sito web visitato né tanto meno rappresentano un servizio richiesto dall’utente/visitatore, bensì sono da considerarsi, in base alle loro finalità, cookie di profilazione per campagne di advertising con conseguente operatività degli obblighi inerenti a questi particolari cookie (obbligo di informativa e di consenso).

Il Garante ha stabilito che bisognerà acquisire il consenso preventivo da parte
dell’utente. Per farlo è sufficiente esporre un banner che informi l’utente in merito alla cookie policy?

Fermo restando che il consenso preventivo per l’uso dei cookie è richiesto soltanto per i cookie di profilazione, in realtà il Garante non impone ma suggerisce di utilizzare un banner per fornire l’informativa ed acquisire il consenso per l’uso dei cookie.
Più precisamente, il Garante stabilisce quali sono gli obblighi che devono essere osservati lasciando tuttavia alla libera discrezionalità dei titolari o gestori del sito web la scelta circa le modalità con cui adempiere a tali obblighi.
Sicuramente l’uso di un banner risulta la soluzione più idonea, e per certi versi semplice, per non incorrere in eventuali inadempimenti. Tengo infine a precisare che il banner deve apparire su tutte le pagine del sito web.
Circa poi il contenuto dell’informativa breve contenuta nel banner e l’informativa estesa sarà sufficiente far riferimento a quanto dettagliatamente specificato dal Garante nel provvedimento dello scorso maggio 2014.

Il dibattito, come può immaginare, è molto acceso: in tanti obiettano che la valenza del banner è puramente estetica, dato che l’utente può continuare a navigare all’interno del sito pur non avendo letto e compreso l’informativa linkata nel banner stesso. Cosa può dirci al riguardo?

La principale finalità della normativa in esame è chiaramente quella di regolamentare l’attività di profilazione molto diffusa e sicuramente, sotto certi aspetti, utile ma, al contempo, anche molto invasiva della sfera privata del singolo.
Compito del legislatore è (o meglio, dovrebbe essere) quello di prevedere ed attuare gli strumenti necessari alla tutela dei diritti ed interessi del singolo, poi è ovvio che non si può obbligare il singolo ad informarsi su come i propri dati personali possano essere utilizzati, né tanto meno il visitatore può essere obbligato a leggere l’informativa.
Ciò che deve essere fatto è mettere il visitatore nella condizione tale di essere adeguatamente informato, di poter liberamente scegliere se essere “tracciato” o meno e di scegliere quali cookie autorizzare e quali no.

Al riguardo, occorre considerare che se è vero che la normativa non impone un click da parte dell’utente per esprimere il proprio consenso all’uso dei cookie essendo sufficiente la mera prosecuzione della navigazione, è pur vero che, ai fini dell’acquisizione del consenso, è comunque necessario che il visitatore superi il banner informativo attraverso un “intervento attivo” come, ad esempio, il click ad elementi sottostanti il banner stesso (qualora esso sia posizionato al centro della pagina web) o comunque presenti nel sito.
In questo modo vi è una chiara azione volontaria e libera del visitatore a proseguire nella navigazione nonostante l’uso dei cookie.

In che modo può essere documentato il consenso?

È lo stesso Garante che lo suggerisce: attraverso un cookie tecnico che, in quanto tale, non necessita dunque di un consenso da parte del visitatore per il suo utilizzo, ma soltanto l’informativa.

Ma se un sito utilizza soltanto cookie di profilazione di terze parti, il titolare del sito è comunque tenuto a dare l’informativa ed acquisire il relativo consenso?

Nel caso in cui il sito consenta la trasmissione anche di cookie di “terze parti”, ossia quei cookie installati da un sito web diverso da quello che il visitatore sta visitando, l’informativa ed il consenso sono, di norma, a carico del terzo.
Tuttavia è comunque necessario che il visitatore del sito sia adeguatamente informato che quel sito utilizza cookie di terze parti e ciò deve avvenire nel momento in cui il visitatore accede al sito web che consente la memorizzazione dei cookie di terze parti o quando accede ai contenuti forniti dalle terze parti ed, in ogni caso, prima che i cookie vengano scaricati sul terminale del visitatore.
Fermo restando quanto detto, al fine di mantenere distinta la responsabilità dei titolari o gestori del sito web da quella delle terze parti, è necessario che il titolare del sito web inserisca nell’informativa cookie estesa i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti.

Tra le indicazioni formulate dal Garante, vi è l’obbligo di notificare al Garante l’uso di cookie di profilazione. Come avviene questa segnalazione? La notifica può essere a carico delle terze parti?

Esattamente, l’uso dei cookie di profilazione impone al titolare del trattamento dei dati personali la notifica al Garante. Ne consegue pertanto che qualora un sito web non facesse uso di cookie di profilazione non sarà tenuto ad alcuna notificazione al Garante privacy.
La notificazione deve essere effettuata prima che inizi il trattamento dei dati personali e deve essere trasmessa telematicamente con pagamento delle relative spese di segreteria che ammontano a circa 150,00€.
Giova ricordare che la normativa in materia di protezione dei dati personali prevede sanzioni amministrative in caso di mancata notificazione consistente nel pagamento di una somma da 20.000€ a 120.000€.

Molti titolari di siti stanno procedendo in piena autonomia alla predisposizione delle relative informative e notificazioni al Garante, secondo lei è invece necessaria la consulenza o almeno un mero consulto con un avvocato?

Dipende dai singoli casi. Se parliamo di un piccolo sito che utilizza soltanto cookie tecnici e non di profilazione, oppure pochi cookie di profilazione (ad esempio, AdSense), credo che, con un attento studio della normativa, possa direttamente il titolare del sito predisporre il testo dell’informativa breve ed estesa.
Tuttavia, ritengo che sia comunque indispensabile un feedback da parte di un avvocato dei relativi testi informativi onde evitare eventuali omissioni e/o errori che potrebbero poi determinare l’irrogazione di sanzioni.
Il motivo lo rilevo soprattutto dal fatto che, talvolta, molti titolari dei siti web tendono a fare un mero copia/incolla di diverse privacy policy e cookie policy dei siti delle grosse multinazionali senza tuttavia considerare che le finalità di trattamento dei dati ed i cookie possono essere assolutamente differenti.
Il rischio dunque è quello di prevedere nella propria informativa l’utilizzo di cookie (profilazione, terze parti) anche laddove invero non ne viene fatto oppure per finalità del tutto diverse.
Considerato le elevatissime sanzioni previste in caso di controlli da parte del Garante, credo che valga decisamente la pena farsi una chiacchiera con un avvocato competente in materia di privacy.

151 commenti

  • stefano

    Ma se io metto il banner e poi il link faccio linkare la pagina del garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3661249
    sono a posto con la legge o devo linkare una apgin ainterna al mio sito?
    grazie

    • Raffaele

      Ciao Roberto, purtroppo non è sufficiente.
      Il video del Garante è finalizzato ad illustrare e chiarire la normativa cookie ed il loro utilizzo in generale e non nel caso specifico.
      I cookie utilizzati dal tuo sito potrebbero essere da quelli utilizzati da Alessia Martalò nel suo ed ancora diversi dal mio sito web.
      Nell’informativa estesa devi dettagliatamente spiegare al visitatore in che modo utilizzi cookie all’interno del tuo sito.
      Quindi, non è sufficiente inserire il link. Potrebbe al massimo essere un “di più”, ma non sufficiente a quanto chiesto dal Garante.

  • Eleonora

    Articolo interessante, è possibile avere maggiori dettagli su questa parte?
    “Sulla base di quanto stabilito dal Garante, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web e, quindi, ad esempio: AdSense, Google+, Facebook, Twitter, Youtube e così via.”

    Cosa intende nel dettaglio parlando dei social network? I facebook login? Utilizzo di social plugin? O anche un semplice link che porta alla mia pagina Facebook?

    Non esiste una policy di riferimento per le piccole aziende che nel 90% dei casi avranno solo i cookie di google analytics?

    • Alessia

      Eleonora, i cookie di Analytics non penso che diano particolari problemi, perché vengono assimilati a cookie tecnici (a patto che non raccolgano dati individuali, ma soltanto aggregati). Sui plugin social non ti so rispondere, attendiamo pareri più autorevoli al riguardo!

      • Alessandro

        Ma analytics non è che viene considerato cookie di terze parti e quindi ci va la richiesta di consenso, invece del semplice link a fondo pagina? Anche perchè un sistema di statistiche è per forza di terze parti, non è che uno se lo crea, anche quello dei log del server è di terze parti.

        • Alessia

          Alessandro, in base alla risposta dell’Avvocato (“Tra i cookie tecnici vi rientrano anche i cookie analytics, ossia quei cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito web ma, attenzione, soltanto laddove siano utilizzati per “ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. provvedimento 8 maggio 2014 Garante). Soltanto quindi se perseguono scopi statistici e raccolgono le informazioni in forma aggregata i cookie analytics possono considerarsi cookie tecnici”), credo che i cookie di Google Analytics non diano particolari problemi, a meno che non si faccia remarketing o altro ancora.

          • Andrea

            Salve,
            potreste chiarire la frase “…potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito””?
            Utilizzando Google Analytics, il webmaster non può tracciare il comportamento del singolo utente in quanto l’indirizzo IP del visitatore è raccolto solo da Google e non viene mai comunicato al webmaster.
            L’obbligo di aggregazione dei dati ricade sul webmaster? In questo caso è sufficiente utilizzare la funzionalità di anonimizzazione dell’ip fornita da Google Analytics (https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp)?

            Grazie

            • Alessia

              Sì, esatto, Andrea. Utilizzando la funzione di anonimizzazione (ne abbiamo parlato in questo articolo: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni/), i cookie di GA “diventano” cookie tecnici. Quello che dici è vero: il webmaster non può visualizzare il comportamento a livello di singolo utente – proprio perché non può conoscere l’IP address corrispondente – ma Google può farlo e, per questo motivo, è necessario anonimizzare gli IP.

    • Raffaele Romano

      Ciao Eleonora,
      se il tuo sito web utilizza i social plugin ovvero ha collegamenti ai social in generale, sarà necessario inserire nella tua informativa cookie (cd. cookie policy) questa precisazione, ossia che il tuo sito utilizza questi servizi, i quali servizi sono di terze parti e che ogni ulteriore chiarimento in merito all’utilizzo di questi cookie sono disponibili sul sito del terzo e, pertanto, dovrai inserire (nella tua cookie policy) il link di collegamento al sito Facebook, Twitter, Google in cui viene spiegato, da parte di questi siti terzi, lì’utilizzo di questi cookie e le modalità per disattivarli

      • Alessia

        Illuminante! Grazie Raffaele per il contributo 🙂

      • Eleonora

        Grazie mille, ma anche per un semplice link che punta alla mia pagina? Tipo se avessi solo quelli che Alessia ha in alto a destra?

      • Alessandro

        Quindi per i social plugin (youtube, facebook, etc) parliamo di cookie tecnici ma occorre specificare i link di collegamento al sito Facebook, Twitter, Google in cui viene spiegato, da parte di questi siti terzi, lì’utilizzo di questi cookie e le modalità per disattivarli?

        • Alessia

          “Sulla base di quanto stabilito dal Garante, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web”.
          Non si tratta dunque di cookie tecnici, ma potenzialmente di cookie di profilazione. Questo è il motivo per cui sarebbe necessaria l’informativa estesa.

          • MarketingBrand

            Quindi vale anche per iFrame e API di Google: va multato il 90% del web.

            Trovatemi siti che non hanno:
            1) Mappa Google che indica ove è l’attività
            2) Video YouTube embeddato
            3) Facebook Button
            sbaglio?

            • Alessia

              Ciao,
              sul mio sito ho un video Youtube, non parte in automatico, ma soltanto se l’utente clicca su una determinata icona. Pertanto, in questo caso, credo che informare l’utente della modalità di trattamento dei dati da parte di YouTube (tramite apposito link all’interno dell’informativa breve) sia più che sufficiente. D’altra parte, se l’utente interagisce in qualche modo con il sito dopo essere stato avvisato della presenza di cookie non credo sia realmente un problema.

              Idem per quanto riguarda i bottoni di condivisione: ho verificato tramite Chrome che, all’apertura del sito, nessun cookie di profilazione venga installato (tranne quelli di Analytics, Ga e Gat, che se non erro dovrebbero essere considerati tecnici). Se l’utente decide di condividere un post si apre una finestra che rimanda al social network pertanto nessun cookie viene installato attraverso il mio sito.
              Questa è l’interpretazione che ho dato io..

  • Alessia

    Stefano, il banner dovrebbe essere l’informativa breve, mentre la pagina interna del sito dovrebbe rappresentare l’informativa estesa. Come abbiamo fatto noi qui: http://www.blog.alessiamartalo.it/cookie-policy/
    (in realtà ti prego di non badare troppo al contenuto, che è ancora in revisione 🙂 )

    • Salve, l’informativa estesa prevede dei link che portino ai siti di terze parti, potrebbe anche capitare che i link in questione cambino, il garante starà tutto il giorno a controllare anche questo? io mi chiedo cosa farà il garante di fronte a milioni di siti creati da persone comuni che hanno inserito i banners pubblicitari di terze parti copiando il codice all’interno della pagina web non avendo nozioni particolari di programmazione manderà multe salate a milioni di persone? e poi se queste persone che magari non ricordano nemmeno di avere un sito web perché quando lo hanno creato non esisteva ancora questo tipo di legge, si vedranno recapitare a casa degli avvisi legali? vorrei vedere il giudice che dovrà adempire a milioni di processi contro poveri cittadini che avranno guadagnato dai banners pubblicitari un euro in dieci anni…. cosa fattibilissima.. google adsense prevede che la soglia sia di 70 euro.. io ho cancellato il codice dal mio sito perché mi ero fermato a 10 euro dopo dieci anni e non andava più avanti.. dovrei pagare multe di 120.000 euro? contro 10 euro mai riscattati? vi ringrazio per la pazienza nel leggermi 🙂

  • luca

    Ciao

    se ho capito bene sia per cookie di terze parti (indipendentemente dalla finalità) che per quelli di profilazione occorre il banner con consenso e link all’informativa estesa ma la differenza è che nel secondo caso (profilazione) i cookie non possono essere attivati senza il consenso…è corretto?

    – Sul mio sito uso Analytics, Adsense, piattaforme di affiliazione (Zanox, Tradedoubler) e cookie Facebook per campagne di retargeting.

    Questi cookie rientrano tutti in queli di terze parti e non sono cookie di profilazione, giusto?

    quindi occorre il banner con il rimando all’informativa estesa?

    grazie mille

    • Alessia

      Sono cookie di terze parti e occorre il rimando all’informativa estesa.
      Come ha evidenziato l’Avvocato, poi, è necessario acquisire il consenso informato prima di installare cookie sul terminale dell’utente.

      • Anche io sul mio sito ho varie affiliazioni, Adsense e un plugin di facebook che visualizza le persone a cui piace il sito. Devo fare la notifica al Garante?

        Grazie mille

        • Alessia

          Ciao Michela,
          no, nessuna notifica al Garante. È sufficiente informare l’utente che il sito fa uso di cookie di profilazione. Per quanto riguarda, poi, il blocco degli stessi al momento ci sono diverse correnti di pensiero.

  • Claudia

    Ciao! Prima di tutto grazie per la spiegazione, l’unica cosa che non mi è chiara è la parte finale per quanto riguarda i 150€.

    Faccio una supposizione: se io ho 10 siti web e utilizzo su tutti i cookie di proliferazione, dovrei spendere 1.500€ di spese di segreteria O_O???? (150 x 10)

    In ogni caso, io sui miei blog ho solo analytics (non utilizzo neanche le cose che riguardano i social) quindi possiamo dire che ho l’esensione a simili spese e non ho l’obbligo di inviare la notifica?

  • Fabio

    Buongiorno
    vorrei un chiarimento, se viene installato il plugin Facebook conversion pixel è considerato cookie di profilazione e quindi deve essere presentata la segnalazione al garante e pagamento di 150€ da parte del proprietario del sito?

  • Claudio

    Domanda: Se io ho un sito con google analytics, devo avere prima accettazione dell’utente prima di far partire il codice di analitycs? e devo fare anche notifica al garante?

    Se si allora diventa inutile google analitycs: 90% degli utenti vedranno il banner e non o accetteranno.

    • Alessia

      Ciao Claudio, i cookie di Google Analytics dovrebbero essere al 90% cookie tecnici, a meno che non venga usato in modo non aggregato, ma per raccogliere informazioni specifiche sull’utente (es: per il remarketing).
      In questo caso, dunque, l’informativa estesa è più che sufficiente. La notifica al garante è a carico delle terze parti.

      • Claudio

        Ma è questo che non mi torna, come fanno a essere considerati tecnici se sono di google analytics? google è un sito esterno quindi dobrebbero essere di terze parti non tecnici!.

        • Alessia

          Claudio, ti consiglio di leggere con attenzione le istruzioni per l’uso pubblicate dal Garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3661249

          Viene spiegato chiaramente che i cookie analytics sono una particolare categoria dei cookie tecnici, diciamo un’eccezione che conferma la regola 🙂

          • Ciao,
            secondo me Claudio ha ragione. I cookies analytics di terze parti (nello specifico quelli di Google Analytics, servizio di Google) non possono essere considerati cookies tecnici. Sono tecnici solo quelli utilizzati dalla prima parte (cioè ‘direttamente dal titolare del sito stesso’ attraverso la propria piattaforma e il proprio dominio) per l’elaborazione di dati statistici in forma aggregata.

            Dalle faq del Garante (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077):

            4. I cookie analytics sono cookie “tecnici”?

            No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

            Credo si stia facendo un po’ di confusione tra il termine utilizzato dal Garante ‘Cookie analytics’ e i cookies rilasciati dal servizio di Google dal nome ‘Google Analytics’ che non è mai menzionato dal Garante.

            Sono anche d’accordo sul fatto che la tendenza a interpretare la richiesta di opt-in (consenso preventivo) come condizione necessaria per installare un cookie sul dispositivo utente possa penalizzare in modo irreparabile tutti i siti che fanno uso di servizi di terzi (siano essi di analytics, di advertising, di SSO via Social o di social widget embedding) perchè costringerebbe tutti i siti soggetti alla legge a anteporre ai propri contenuti una pagina in cui l’utente dovrebbe esplicitamente effettuare una scelta e nulla altro.

            Silvio

          • Ho approfondito ulteriormente la questione specifica di Google Analytics per capire effettivamente cosa succede a basso livello dal punto di vista tecnico.

            Quello che ho capito è che Google Analytics è strutturato in modo da farti scaricare dai server di Google il Javascript necessario per raccogliere i dati statistici del sito (attraverso la prima parte dello script che si copia dalla pagina di configurazione della proprietà e si incolla nella pagina da monitorare) ma, a differenza di altri, non installa direttamente i cookies al momento del caricamento degli script; lo fa fare alla seconda parte dello stesso script che si incolla nella pagina da monitorare – dove si richiama la funzione ga(…).

            In questo modo i cookies risultano essere di prima parte perchè impostati dalla tua pagina e non direttamente dello script di google che si è scaricato.

            Poi, sempre attraverso le funzioni chiamate direttamente dalla tua pagina effettuano un “proxying” del valore dei cookies che la tua pagina ha impostato verso i loro server tramite una chiamata AJAX.

            Quindi da un punto di vista strettamente tecnico Google imposta e legge cookies (quindi tratta effettivamente l’informazione) ma lo fa attraverso le pagine (e quindi il dominio) del sito da monitorare (che invece non ha nessun titolo sui dati raccolti salvo la possibilità di visualizzare un aggregato tramite l’interfaccia utente di GA).

            Apparentemente quindi, grazie al proxying, i cookies di GA (senza l’attivazione delle funzioni di profilazione) sembrerebbero effettivamente esenti da obbligo di richiesta di consenso.

            Forse diventa un po’ OT ma ora la domanda è: come si configura giuridicamente questo rapporto tra il gestore del sito e Google? Sarebbe lui il responsabile del trattamento e Google un incaricato al quale trasferisce i dati per il trattamento? Andrebbe quindi aggiunto nella Privacy Policy standard?

            Silvio

  • Francesco

    Io ho ancora qualche dubbio sul fatto che facebook, twitter etc etc siano sempre cookies di profilazione. Se io usassi un tag facebook dentro il mio sito solo per tracciare gli utenti che provengono da questo social, ad esempio per una campagna, in realtà sto acquisendo gli stessi dati che mi fornisce analytics impostato con i giusti filtri. Quindi perchè fare questa netta differenza a priori?

  • Diego

    Vi ringrazio per le esaustive spiegazioni! Avrei una domanda: per quanto riguarda le newsletter è obbligatorio pubblicare un disclaimer? Se sì, di che tipo? Non è sufficiente la procedura di opt-in in due step di Mailchimp (per esempio)?
    Grazie!

    • Raffaele Romano

      Ciao Diego, rinvio alla mia risposta pubblicata qui, sotto il commento di Andrea.
      Ti auguro una buona giornata

  • andrea

    Salve, argomento molto interessante ma ancora un po poco chiaro a dire il vero.

    Se sul mio sito chiedo di inserire un indirizzo email per l’iscrizione alla newsletters e chiaramente utilizzo questo indirizzo acquisito per fare dell’email marketing, preciso che nell’acquisizione dell’indirizzo l’utente flagga già la casella che autorizza l’utilizzo dei suoi dati , questo come viene considerato?
    grazie

    • Raffaele Romano

      Ciao Andrea, in questo caso non parliamo di cookie policy quanto di privacy policy.
      L’invio della newsletter è un servizio che il tuo sito offre all’utente il quale fornisce dei propri dati personali al fine di ricevere questo servizio.
      Il tuo obbligo è dunque quello di informare l’utente circa le modalità di utilizzo, da parte tua, dei suoi dati personali, se i suoi dati personali saranno ceduti a terzi nonchè circa l’eventualità di finalità di profilazione da parte tua.
      Ne consegue pertanto che, nel tuo caso, sei costretto ad avere il consenso da parte dell’utente non solo al trattamento dei dati personali, ma anche ad attività di profilazione rappresentata dall’invio di email di marketing (se esse vengono inviate direttamente da te e non da terzi. In quest’ultimo caso sarà altresì necessario un terzo consenso relativo alla cessione dei dati personali a terzi).
      Tutto ciò, però, non ha nulla a che vedere con i cookie i quali sono altra cosa.

  • Ilario

    Buonasera, innanzitutto vorrei ringraziare Alessia e l’avvocato Romano per questo utilissimo approfondimento che, sicuramente, ha reso la comprensione di questa normativa molto più facile a me e a gli altri lettori.
    Avrei un solo dubbio: quando si integrano i plugin per l’autenticazione social nel proprio sito questi, generalmente, scaricano i cookie di terze parti all’accesso del visitatore (e non dopo che il visitatore ha compiuto un atto per confermare il consenso all’installazione, come un click sull’informativa).
    Sapreste dirmi se in questo caso si viola la normativa (che richiede che l’utente dia l’assenso prima dell’installazione di cookie di profilazione) oppure se è una responsabilità della terza parte (in quanto i gestori di prima parte non hanno controllo sui cookie estranei)?

    Grazie mille in anticipo

    • Alessia

      Sì, Ilario, hai centrato un punto molto dibattuto. La normativa specifica infatti che i cookie debbano essere installati solo successivamente al consenso informato dell’utente. Non è chiaro a molti, però, come fare per caricare in modo asincrono i dati relativi a questi cookie di profilazione.

      • Ilario

        Buonasera, grazie per la risposta.
        Sorge però un dubbio sempre in merito ai cookie di terze parti: appurato che

        A) i cookie di profilazione vanno installati dopo avere avuto il consenso
        B) per i cookie di terze parti il consenso lo deve acquisire il terzo

        io – prima parte – posso essere punibile se installo i cookie di Facebook & co. subito all’arrivo dell’utente (anche se non sono io a dover acquisire il consenso preventivo per essi, come accadrebbe invece se si trattasse di cookie di profilazione di prima parte), oppure devo soltanto esibire l’idonea informativa perché gli utenti si rivolgeranno al terzo per negare eventualmente il consenso (visto che non ho controllo sui cookie altrui)?

        Vorrei chiedere quindi all’avvocato, se possibile, se la giurisprudenza si è espressa su questo aspetto (che mi sembra importantissimo, visto che praticamente tutti i siti che incontro scaricano i cookie dei social network automaticamente, senza aspettare un intervento attivo dell’utente).

      • Mi perdoni per i ripetuti commenti, io credo che più che altro il problema sta nel fatto che non tutto è controllabile da chi utilizza plugin terzi, la normativà è chiara, ma non è applicabile alla realtà oggettiva di tutti, ci sono webmaster eccellenti programmatori che creano tutto soli, quindi sono capaci di crearsi i loro plugin e quindi potrebbero rispondere di quello che creano, nella maggior parte dei casi invece si usano plugin esterni e quindi l’unico controllo che ha l’editore è quello di inserire il codice all’interno della pagina web, ma non ha controllo sui vocaboli usati.. anche perché le stesse società terze non lo permettono, poi si parla di cose assurde come il limitare i servizi di google come le mappe o altro modificando il codice o l’impatto di quest’ultimo sui dati sensibili.. per me sono discorsi assurdi, perché il garante dovrebbe intimare alle grosse società che offrono il servizio di limitarne il codice e non ai miliardi di pinco pallino qualunque che usano i servizi.. sarebbe come dare la multa all’utente che si reca ad un supermercato e compra un prodotto e lo mangia senza leggere l’etichetta….

        • Alessia

          ciao Giovanni,

          grazie per i commenti 🙂 il tuo mi sembra più uno sfogo che una domanda ben precisa, e tra l’altro a due mesi dall’entrata in vigore della legge la situazione è ancora molto nebulosa. Che altro dire, per quanto riguarda AdSense se i ricavi sono così miseri hai fatto benissimo ad eliminarlo dal tuo sito. Il gioco non vale la candela, no? 😀

  • Luca Colonnello

    Incredibile, alla fine ce la stanno facendo a tassare il Web. Si sa che la maggior parte dei blog usa AdSense e altri sistemi di pubblicità che tracciano..

    Alla fine uno deve pagare 150,00 € altrimenti multa, e deve pure farsi fare una consulenza da un avvocato, e sono soldi… Per guadagnare 0,01 € al click… Assurdo…

    • Hai detto bene. Entro il 2 giungo tolgo adsense da tutti i siti in cui l’ho messo.

    • Caro Luca,
      la notificazione al Garante circa l’uso dei cookie di profilazione incombe sul titolare del trattamento. Ne consegue pertanto che se il cookie di profilazione non è proprietario, bensì di terze parti (quindi installato non da te ma da terza parte, ed i relativi dati personali sono trattati non da te ma dalla terza parte) non devi effettuare alcuna notificazione la quale invece graverà sul terzo.
      Buona giornata
      RR

  • Luca

    in caso di adsense e social plugin (ad esempio il like di facebook) è sufficiente scrivere che la navigazione implica l’accettazione della cookie policy, o li devo disattivare prima che l’utente clicca su ok?
    e trattandosi di cookie di terze parti, anche se di profilazione, la notifica al garante spetta alle terze parti, giusto?

  • Angelo

    Se il mio sito usa cookie di profilazione di terze parti (esempio Google AdSense), io come gestore del sito NON devo fare alcuna notifica al garante (e quindi non pagare 150 euro) questo perche io come sito NON ho accesso ai dati personali e quindo NON sono io il gestore dei dati personali degli utenti. La notifica sarà , in questo caso, a carico di Google.

    • Alessia

      Esatto. Il Garante non è stato chiaro al 100% su questo punto, ma questo sembra essere l’orientamento generale fino a questo momento.

      • Quindi questo vale anche per i bottoni social di condivisione: usano i cookie di terze parti. Io come gestore del sito non posso sapere cosa ci fanno con quei cookie, quindi non spetterebbe a me questa notifica al garante.

        Tutto questo, però, se avete notato, è sempre condito da parole come “dovrebbe”, “sarebbe”, “forse”, ecc. Non esiste una chiarezza oggettiva. E stiamo parlando, poi, di multe fino a 120 milioni di euro, cifre assurde per una scemenza come questa.

  • Letto con interesse, grazie per i chiarimenti.

    Primo punto: non ho capito bene cosa si intende per Google+, Facebook, Twitter. Io ho i bottoni di condivisione nel blog: sono quindi cookie di profilazione? Per quale motivo?

    Banner: non è obbligatorio, ma solo suggerito. Posso usare, al limite, un link nel footer che punta a una pagina interna del blog dove spiego dei cookie?

    Segnalazione al garante: 150 euro di spese di segreteria? Grazie dell’avviso, toglierò Adsense e affiliazioni varie dai miei siti.

    • Ciao Daniele,
      rispondo seguendo l’ordine delle tue domande:

      1. si, i bottoni di condivisione sono cookie di profilazione e non tecnici, quindi deve adeguarti agli obblighi imposti dalla normativa circa l’uso dei cookie di profilazione (in questo caso di terze parti).
      Il perchè sono cookie di profilazione è rintracciabile sulla base delle definizioni fornite dalla legge e dal Garante circa le caratteristiche dei cookie tecnici e di profilazione. Ne consegue pertanto che i rispettivi cookie di profilazione potranno essere installati soltanto dopo il consenso dell’utente.

      2. Si, non è obbligatorio il banner, potresti usare un link nel footer, ma personalmente consiglio il banner. Saresti in grado di dimostrare, in caso di eventuale controllo del Garante, che effettivamente i tuoi visitatori erano a conoscenza dell’utilizzo dei cookie sul tuo sito?Non credo che mettere un banner richieda un eccessivo dispendio di tempo, poi chiaramente questi sono soltanto meri consigli.

      3. No, se non hai cookie di profilazione proprietari, ma soltanto cookie di profilazione terze parti, non sei tenuto a fare alcuna notificazione al Garante dato che l’obbligo di notifica incombe sul Titolare del trattamento dei dati personali che, nel caso di cookie terze parti, è, appunto, il terzo e non tu.
      Ti auguro una buona giornata

      • Ciao Raffaele, grazie mille per le risposte. Ora è chiaro.

      • Davide

        Ciao Raffaele e grazie per il tuo blog!!! Volevo chiederti tre cose:

        1). se al posto dei bottoni o plugin dei social metto dei loghi con link diretto alla mia pagina di fb, twitter ecc evito che si installino cookies di proliferazione? In questo caso esula dalla cookie law?

        2). ho un servizio di statistiche lato server che gestisco personalmente ed uno di vivistat che integro con codice all’interno del sito e che gestisco sempre io direttamente (non cedo a nessuno i dati), gli eventuali cookies che possono installarsi sono da considerare tecnici?

        3).Io non uso la geolocalizzazione con gps o altro nel blog ma il servizio di statistiche rileva l’ip e quindi anche in modo non preciso la posizione dell’utente. in questo caso è da considerarsi l’uso di cookies di proliferazione?

        Grazie mille

        Davide

        • Alessia

          Ciao Davide,
          ti rispondo io 🙂

          1. se sul tuo sito hai solo dei link verso i tuoi profili social, ciò ovviamente non rientra nella normativa, in quanto appunto sono soltanto dei link (come quelli che utilizzo io stessa nell’header)
          2. ti consiglio di informarti direttamente presso Vivistat. Il sistema di statistiche lato server è proprietario?
          3. credo che in questo caso per considerare tali cookie tecnici dovresti anonimizzare gli IP. Per esempio, nel caso di Google Analytics, si può utilizzare il plugin di Yoast che permette appunto di attivare questa impostazione.

          • Davide

            Ciao Alessia, grazie mille per la tua risposta.

            Il servizio di statistiche sul server viene creato automaticamente ogni volta che creo un nuovo dominio ma lo spazio sul server lo affitto ed è un servizio che non rivendo ma che uso personalmente ed è fornito dal mio hoster.
            Ogni mio amico che compra da lui lo trova in automatico e non si può disabilitare. Quindi ritengo che sia propietario il mio hoster sino a quando paga le licenze per cpanel.

            Domandona: se uso bottoni sociali, plugin per commenti che si connettono a google, facebook, ecc , widget o embed di youtube, vimeo , ecc lo indico nella policy ma devo anche indicare la pagina dei terzi (fb, youtube, ecc) dove c’è la loro policy e comunicarlo al garante?

            Grazie mille

            Davide

            • Alessia

              Ciao,

              per quanto riguarda i bottoni social, devi indicare nell’informativa i collegamenti alle privacy e cookie policy delle terze parti (Facebook, Google+, etc), ma non occorre alcuna notifica al Garante.

              • Davide

                Grazie un milione di volte alessia, lo stesso vale per i commenti di facebook integrati nel proprio sito e i video di youtube in embed o in widget? Intendo dire che anche con queste funzionalità basta indicarli nell’informativa con i collegamenti alle privacy e cookie policy delle terze parti , senza dare comunicazione al garante?

                Grazie mille

                Davide

              • Alessia

                Ciao Davide,
                sì, confermo, la comunicazione al Garante non è mai obbligatoria a meno di usare cookie di prima parte, ma non credo sia questo il caso 😉
                I commenti di Facebook integrati potrebbero rilasciare cookie prima che l’utente accetti (anche implicitamente) la policy e al momento non è ancora del tutto chiaro se tali cookie vadano o meno bloccati preventivamente, ma per quanto riguarda la notifica puoi certamente dormire sonni tranquilli!

  • Enrico

    Ciao a tutti.
    Ci sono ancora delle cose che non mi sono chiare, spero che mi possiate aiutare 🙂

    Come sito di esempio prendo un e-commerce fatto in prestashop realizzato e gestito da me.
    http://www.tentazionecalzature.it sul sito usiamo Google Analytics, Google Webmaster Tools, la condivisione sui social tramite il servizio AdShoppers, la finestra per il like sulla pagina Facebook del sito, Yotpo per i commenti, AddThis nel footer (penso che lo toglierò a breve comunque), la form di registrazione alla newsletter di Mail Chimp nel footer.
    Al primo accesso sul sito, qualunque sia la pagina che si carica, viene presentato il banner in alto con l’avviso che il sito usa i cookie e il link alla privacy policy generata con Iubenda.
    Ora, Iubenda dovrebbe generare una privacy policy corretta a norma di legge, ma ho notato che mancano le istruzioni su come disabilitare i cookie sui vari browser che dovrebbe essere obbligaroria, è veramente corretta e completa questa privacy policy? Altra cosa che non mi è chiara è se dobbiamo dare counicazione al garante dell’uso di alcuni dei cookie che usiamo o se abbiamo solo cookie tecnici o la cui comunicazione è a carico del fornitore del servizio.

    Oltre al caso specifico di questo sito di esempio, ho un dubbio più genrico riguardo alla compatibilità di prestashop, ma anche wordpress, con il punto della norma secondo cui i cookie di profilazione vanno installati solo previo consenso dell’utente: come si può implementare una simile funzionalità in un sistema eterogeneo che integra decine di plugin e moduli aggiuntivi che spesso non comunicano in modo attimale tra loro?
    Per intenderci: io ho il modulo che fa comparire il banner di notifica dei cookie, il modulo di adshoppers, il modulo per il facebook like box, il modulo di google analytics…. tutti sviluppati da persone e tema differenti e tutti “a se stanti”, come posso far si che un modulo per il banner vada a controllare quali cookie ogni singolo altro modulo installa e quali attivare o meno previo consenso? Possibile che un sito posso essere solo custom e che i più usati CMS al mondo violino questa norma rendendo di fatto illegali in Italia praticamente l’80% dei siti (e credo di stare bassino) illegali a meno di modifiche sostanziali nel loro funzionanemto?

    • Ciao Enrico, vedo che hai molte domande e non potendo rispondere “di getto” puoi tranquillamente scrivermi in posta privata, anche tramite linkedIn in modo che possiamo parlarne con calma.
      Buona giornata.

  • Ma in che lingua va scritto il messaggio ? e la pagina di approfondimento?

  • Antonella

    Buonasera Avv.Romano,
    grazie per le tante delucidazioni che ci sta dando in materia. Io stessa sono giorni che cerco di capire come gestire l’adeguamento alla normativa nel mio caso specifico, ma non ho ancora risolto un paio di dubbi. Sembra essere tutto molto nebuloso e poco preciso, con l’unica conseguenza di poter facilmente incorrere in errori.
    Spero mi possa dare una mano, le illustro la situazione:
    ho un azienda che distribuisce videogiochi sul web; non sul mio di sito però, ma su siti di terze parti. In pratica i giochi da me distribuiti si trovano nelle pagine web di altri siti ( per rendere meglio l’idea: immagini i video di youtube che però si trovano linkati in altre pagine web/blog etc.., in modo analogo funziona per i giochi da me distribuiti).
    La domanda è la seguente:
    Posto che all’interno di quei giochi sono presenti solo cookie di profilazione di terze parti (Google Adsense e analytics), io pur non essendo il gestore del sito su cui momentaneamente il gioco viene mostrato, devo far apparire sul contenuto che mi riguarda (quindi nel riquadro di gioco) il banner per il consenso più l’informativa estesa? Oppure se ne deve occupare il gestore del sito su cui il gioco è distribuito?
    Grazie mille

  • Giampietro Ruggieri

    Salve,
    ma le società come ad esempio “iubenda” che si offrono di crearti per 20euro l’anno privacy_policy e cookie_policy.
    sono affidabili?

    • Alessia

      Ciao Giampietro,

      ovviamente non possiamo dare indicazioni specifiche di questo tipo. A breve, comunque, pubblicherò un nuovo articolo sul tema e credo che possa essere molto interessante sotto questo aspetto.
      A più tardi!

  • Andrea

    Ma in conclusione io che come la stragrande maggioranza dei piccoli siti italiani uso solo Google Analytics devo mettere il banner o basta che integro la privacy policy?

    Ho letto il kit di implementazione della legge http://www.techportal.it/privacy/GUIDA_COOKIES.pdf

    Nel passaggio su Analytics a pag. 13 dice che gli strumenti analytics sono esentati in due casi:

    1. cookie di analytics installati direttamente sul server della prima parte
    o della propria server farm senza interazioni da parte di terzi (a titolo esemplificativo, strumenti come Piwik);

    2. cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.

    Google Analytics rientra in questa casistica?

    • Alessia

      ciao Andrea,

      del kit per l’uso ne stiamo discutendo qui: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni
      Google Analytics sicuramente non rientra nel primo caso (non è installato sul server della prima parte), ma potrebbe forse rientrare nel secondo. Leggevo che probabilmente c’è un sistema per rendere anonimi i cookie, ovvero per non rendere noto l’ip dell’utente. Appena ne so di più vi aggiorno…

  • Ma dico, è possibile con tutti i post che ci sono in giro, interviste, consulenze di avvocati e company e non si è ancora capito se un sito che usa i cookie di profilazione come adsense e affiliazione amazon deve fare la notifica al garante e pagare le 150 euro oppure è il fornitore del servizio che deve farlo?

    In Italia mi sa che sono bravissimi e puntualissimi a dire quanto devi pagare se sbagli l’informativa o dimentichi un cookies ma non danno informazioni chiare e precise come quella che ho appena chiesto io.

    Tra l’altro la cosa che fa rabbia è che buona parte dei siti sta letteralmente “ignorando” la cosa, altri non la prendono sul serio e stanno già cominciando a fare cose assurde tipo “chiudere il sito”, eliminare le affiliazioni, ma stiamo scherzando? Siamo sempre i soliti.

    • Alessia

      No, Antonio, la questione notifica è stata chiarita in occasione del rilascio del kit per l’uso (ne abbiamo parlato qui: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni/).

      Ti estrapolo la parte relativa: “nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva”.
      Dunque, nessuna notifica al Garante se il cookie di profilazione è di terza parte e non proprietario.

      • Andrea

        Se faccio una campagna Adwords di remarketing come mi devo comportare?
        Se ho capito bene devo innanzitutto aver raccolto precedentemente il consenso dell’utente ad utilizzare i cookies di profilazione (erogati da una terza parte in questo caso specifico Google).
        Dopo di che devo dare comunicazione al garante e pagare i 150€ oppure essendo un servizio di Google non devo fare nient’altro?
        Grazie

  • Si, ho letto, quanto meno è stata fatta chiarezza su questo punto.
    Credi sia possibile inglobare nello stesso documento sia l’informativa sui cookies che la policy/privacy anziché avere due cose distinte?

    • Alessia

      La privacy policy è dovuta se c’è trattamento dei dati personali (quindi, per esempio, nel caso di un modulo contatti o commenti). Credo sia meglio creare una seconda pagina distinta che, in ogni caso, potrai evitare di far indicizzare con un ben noindex 🙂

  • alessandro

    uno dei migliori articoli scritti sull’argomento, restano però alcuni dubbi proprio per le informazioni che si trovano in rete e che sono contrastanti.

    Nel mio caso le perlessità sono:

    – se sul sito ho solo cookie tecnici (installati dal sito stesso e NON di terze parti) devo comunque mostrare l’informativa breve (per capirci su ogni pagina in alto il bannerino con la nota informativa) o posso solo mettere le informazioni nell’informativa estesa?

    – plugin social: quali fanno uso di cookie? like button? like box? share? in questo caso sono di profilazione e devo quindi prima chiedere il consenso all’utente? Se non da il consenso non posso farli vedere?
    Grazie
    🙂

    • Alessia

      Ciao Alessandro,
      innanzitutto grazie per i complimenti che rigiro anche all’Avvocato Romano 🙂
      – se sul sito ci sono solo cookie tecnici è comunque preferibile inserire il banner (informativa breve) che rimanda all’informativa estesa, in cui verrà precisata la tipologia di cookie utilizzata e la procedura che l’utente può seguire per bloccarli
      – i plugin social, potenzialmente, potrebbero fare tutti uso di cookie di profilazione, proprio perché sono di terze parti e non possiamo sapere precisamente cosa viene installato eventualmente sul terminale utente. In questo caso, quindi, vale l’obbligo di acquisire il consenso informato preventivo.

  • Francesco

    Bell’articolo, ma avrei qualche ulteriore dubbio.
    Ho notato che il tuo sito utilizza anche cookie di terze parti (Chome ne ha contati 15) provenienti da Google e che non vengono preventivamente bloccati come richiede la norma.
    Secondo me il legislatore non si è reso conto che restare nella legalità è (quasi) impossibile…
    Quindi se metto un iframe di facebook dovrei pagare 150€ al garante della privacy?

    • Alessia

      Ciao Francesco,
      grazie per il commento! Posso chiederti che tool hai usato per verificare la tipologia dei cookie? Si riesce anche a capire che tipo di provenienza hanno (i.e. plugin)?
      La notifica (e la relativa spesa di 150€) la deve fare la terza parte oppure direttamente il gestore del sito nel caso in cui utilzzi cookie relativi a servizi proprietari.

      • Francesco

        Ciao Alessia, vedere i cookie scaricati dal browser è molto semplice.
        Apri una pagina del tuo sito con Google Chrome, clicca sulla “pagina bianca con la linguetta” sulla barra degli indirizzi e infine clicca su mostra cookie e dati dei siti. Ogni cookie scaricato ha un codice, basta cercarlo su google per vedera di che natura è.

        Ho letto l’aggiornamento per quanto riguarda Google Analytics e questo mi rincuora molto.

        Invece per quanto riguarda gli iframe di un video youtube o una mappa di google? si sa qualcosa?

        • Alessia

          Ciao Francesco,
          molto interessante. Ho provato a disattivare i plugin social e il badge Google+, ma ugualmente vedo diversi cookie. Bisognerebbe però analizzarli uno per uno, per capire se sono unicamente tecnici e dunque innocui.

          • Francesco

            Hai diversi cookie perché già hai visitato la tua pagina e già hai scaricato i cookie nelle visite precedenti. Prima devi cancellare completamente la memoria del tuo browser e poi riprovare.

            Effettivamente come faccio a sapere cosa fa ogni singolo cookie?! Conosci un database dove vengono descritti i principali cookie?

        • Alessia

          Ok, ho fatto un po’ di prove. Il sito in sé senza alcun plugin non installa cookie particolari, al di fuori di ga e gat (il primo dovrebbe essere il cookie di analytics). Aggiungendo il plugin di condivisione social il risultato non cambia, ma se attivo il plugin del badge Google+ il numero dei cookie sale a 15. E questi, quasi certamente, saranno cookie di profilazione dato che Google è in ogni caso un servizio di terza parte.
          Certo, sarebbe utile avere un elenco dei cookie e la relativa tipologia…

  • ParideS

    Ho fatto un controllo di questo blog. Ho visto che avete il banner in alto e l’informativa. Ma navigando nel sito, senza accettare il consenso, noto che già sul mio computer vengono registrati i cookie. Da quanto ho capito non è questo che dice il garante. So anche che bloccare i cookie di terze parti tecnicamente non è facile. Mi sbaglio?

    • Alessia

      Ciao Paride,
      prova a ricontrollare ora, ho disattivato temporaneamente i plugin che installano cookie di terze parti. Al momento è attivo soltanto Analytics (ga) in modalità IP-Anonimi e il plugin di condivisione social che, ho verificato personalmente, non dovrebbe rilasciare cookie di profilazione.

  • ParideS

    nel commento precedente, intendevo cookie di terze parti come Facebook etc..

  • Torno un attimo sul discorso lingue.
    In un commento precedente leggo:
    “Se il tuo sito è monolingua, scrivi pure soltanto in italiano, in caso contrario è bene tradurre nelle altre lingue”

    Cosa significa è bene? Cioè è previsto dalla normativa che se io ho un sito in N lingue disponga informativa breve ed estesa in tutte le N lingue correttamente tradotte?
    Saltare anche solo una delle N lingue (o magari mettere in inglese dove non ho modo di tradurre), mi espone alle sanzioni anche se tutto il resto è fatto ad hoc?

    Sulla normativa non trovo alcun riferimento alle lingue, vorrei chiarire questo aspetto. Grazie.

    • Alessia

      Ciao Andrea,

      hai ragione, nella normativa non c’è alcun riferimento alla questione lingua. Poiché, però, la normativa – pur con le dovute differenze nazionali – è in vigore in tutta Europa, credo sia doveroso tradurre la policy in tutte le lingue in cui è tradotto il sito. D’altra parte è corretto che un utente – qualsiasi sia la sua lingua madre – possa essere in grado di informarsi in merito alla policy del sito che sta navigando.

      • Ma secondo Lei se per esempio ho un sito in 4 lingue, ita eng deu rus, e per il russo dispongo la policy in inglese (che certo non è la lingua madre ma comunque è una lingua “internazionale”), può essere una soluzione robusta o che comunque vanifica tutto il resto rendendo incompleta la policy e relativi obblighi?

        Grazie

        • Alessia

          A mio parere se il sito è in 4 lingue (i.e: example.it, example.ru, example.co.uk e example.de) è auspicabile che tutti i contenuti siano riportati nelle relative quattro lingue. Se un utente russo, per fare un esempio, può usufruire di contenuti nella sua lingua (articoli, contenuti multimediali, etc), credo sia corretto riportare nella sua lingua anche la privacy policy.

      • Diego

        Scusate ma non riesco a trovare riferimenti attendibili in rete su questo punto. Se per esempio ho un sito con dominio .com in lingua inglese e rivolto a un pubblico USA (che non ha questo tipo di legislazione) cosa devo fare? Se ho un sito .co.uk è evidente che devo seguire la normativa inglese, ma se il sito è .com?

        • Alessia

          Ciao Diego,
          ottima domanda! Francamente non saprei cosa risponderti. In ogni caso, mi verrebbe da dire, tu sei il gestore del sito e risiedi in Europa, quindi probabilmente per la legge italiana dovresti in ogni caso rispettare tale normativa. Penso ti convenga chiedere ad un avvocato o ad un esperto in materia.

  • Condivisioni social e facepile di facebook ci obbligano a fare la dichiarazione al garante?

    • Alessia

      No, la dichiarazione al Garante e la relativa spesa di 150 € (circa) va fatta solo se si è proprietari di servizi che profilano l’utente. Quindi, nel caso di Google AdSense o Facebook, non va fatta.

  • Ho visto molti siti indicare persino il tipo di cookie nella policy, ma non mi sembra di aver letto che bisogna farlo. Se cosi’ fosse il titolare del sito dovrebbe essere un tecnico, un programmatore e un avvocato. Mi date conferma che effettivamente non occorre dichiarare i cookie tecnici?

    • Alessia

      Antonio, cosa intendi con “tipo di cookie”? È obbligatorio indicare se il sito utilizza cookie tecnici o di profilazione, ma non è necessario scendere troppo nel dettaglio. Bisogna, invece, linkare le privacy policy dei servizi terzi eventualmente utilizzati, in modo che l’utente possa informarsi in merito ai cookie da loro utilizzati.
      Nel caso di cookie tecnici credo sia obbligatoria l’informativa estesa.

  • Pasquale

    Salve,
    se in un sito internet integro la google maps, a quali cookie faccio riferimento? Consideriamo che tramite una semplice Google Maps l’utente può accedere quindi il sistema carica i dati utente.

    Grazie per l’aiuto.

    Saluti
    Pasquale

    • Alessia

      Ciao Pasquale, ti consiglio di verificare direttamente tu stesso tramite Google Chrome. In teoria, anche in base a ciò che dici, dovrebbe trattarsi di cookie di profilazione.

  • Salve complimenti per il blog! La mia domanda nasce spontanea per chi come me ,e siamo in tanti e disorientati, ha un blog in WordPress.com e non .org dove purtroppo non possiamo andare a modificare il codice e quindi inserire alcun popup. Nel forum abbiamo aperto una discussione su cosa fare nel nostro caso e alcuni membri sembra che abbiano contattato WordPress esponendo il problema ma a quanto pare hanno risposto che per adesso non hanno pensato a nulla e in caso risolveranno la questione a fine estate!!!! Quello che mi domando alla fine io non sono proprietaria di quel blog vero??? posso solo inserire contenuti articoli ma non posso neppure mettere pubblicità tipo AdSense che però loro arbitrariamente infilano nel mio blog… Quindi chiedo ma sono perseguibile e soggetta a multe??? Grazie in anticipo per l’attenzione.

    • Alessia

      Ciao Tiziana,
      evidentemente la situazione di chi usa wordpress.com e altri servizi similari è ahimé ancor più complicata 🙁
      Ho notato, in effetti, che il tuo sito rilascia una serie di cookie (puoi appurarlo tu stessa aprendo il sito da Chrome), eventualmente potresti sentire un legale per capire esattamente quale sarebbe la tua responsabilità in questo caso.
      Se ti va aggiornaci sugli sviluppi!

  • Io mi permetto di dire che tutta la legge (avendo letto tutto a riguardo) è carta straccia e andrebbe cestinata! Il Garante non ha specificato (in nessun documento) quali siti web sono oggetto della normativa.
    1) Tutti i siti web in lingua italiana?
    2) Tutti i siti web con il suffisso IT?
    3) Tutti i siti web con una versione in Italiano?
    4) Tutti i siti web con hosting in italia?
    5) Tutti i siti web registrati da un italiano?
    6) E domini con un traduttore automatico?
    7) Siti in dialetto napoletano sono italiani?
    8) Siti con suffisso IT in inglese sono italiani?

    Strappiamo questa legge e riscriviamola daccapo! Non sono stati indicati i siti oggetto del provvedimento.

  • scusate il doppio commento… con tanti avvocati in italia non vi siete accorti che nella legge manca la specifica del soggetto/oggetto della normativa, cioè in questo caso il titolare/dominio.

    domanda = quali siti web, soggetti o aziende, di quale nazionalità e in quale lingua sono obbligati a rispettare la legge? Trovatemi la riga dove stà scritto! qui

    http://www.gazzettaufficiale.it/atto/vediMenuHTML?atto.dataPubblicazioneGazzetta=2014-06-03&atto.codiceRedazionale=14A04066&tipoSerie=serie_generale&tipoVigenza=originario

    nella Gazzetta Ufficiale tutto il resto non conta nulla, neanche il sito del Garante.

    • Ipotizziamo che Lei sia Inglese ed abbia una società con sede in Italia la quale, di conseguenza, svolge la propria attività sul territorio italiano, troverà applicazione la legge italiana o quella inglese?
      Non credo che ogni singolo provvedimento debba, ogni volta, specificare i soggetti e l’ambito di operatività della normativa. Per quello basta consultare il codice di riferimento.
      Distinti saluti,
      RR

  • Danilo

    Quando parliamo di titolare dei dati personali, se nel documento delle privacy e policy dichiariamo che il titolare è l’azienda “xxxxx” stiamo dicendo che tale azienda si prende la responsabilità di comunicare al garante la finalità di utilizzo dei dati raccolti o è il titolare del cookie di terze parti che deve farlo?
    La risposta data prima è che sia il titolare di terze parti che deve prendersi carico di questo onere, ma siamo sicuri di non finire in un limbo o in un’ambiguità legale solo perchè ci dichiariamo titolari dei dati raccolti mediante il sito e inseriamo la dicitura delle privacy e policy che ho sintetizzato come segue:

    In questa pagina si descrivono le modalità di gestione del sito internet http://www.xyz.it in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di un’informativa per il trattamento dei dati personali che è resa anche ai sensi dell’art. 13 Decreto legislativo 196/03 (di seguito Codice privacy) per gli utenti dei servizi del nostro sito, che vengono erogati via internet. L’informativa non è valida per altri siti web eventualmente consultabili attraverso i nostri links.

    Il Titolare del trattamento

    Il Titolare del trattamento dei dati personali, relativi a persone identificate o identificabili trattati a seguito della consultazione del nostro sito, è la xyz presso la sede di xxxxx.

    Luogo e finalità di trattamento dei dati

    I trattamenti connessi ai servizi web di questo sito sono curati da dipendenti/collaboratori della xyz.

    Nessun dato derivante dal servizio web viene comunicato o diffuso a terzi. I dati personali forniti dagli utenti che inoltrano richieste di servizi sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta e non sono comunicati a soggetti terzi salvo che la comunicazione sia imposta da obblighi di legge o sia strettamente necessario per l’adempimento delle richieste.

    Tipi di dati trattati

    Dati di navigazione

    I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore ..) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.

    Dati forniti volontariamente dagli utenti

    L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. Sintetiche informative di sintesi verranno progressivamente riportate o visualizzate nelle pagine del sito predisposte per particolari servizi.

    Cookies

    Per cookies si intende un elemento testuale che viene inserito nel disco fisso di un computer solo in seguito ad autorizzazione. I cookies hanno la funzione di snellire l’analisi del traffico su web o di segnalare quando un sito specifico viene visitato e consentono alle applicazioni web di inviare informazioni a singoli utenti. Nessun dato degli utenti viene in proposito acquisito dal sito. Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti.

    Facoltatività del conferimento dei dati

    A parte quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per richiedere i servizi offerti dalla società. Il loro mancato conferimento può comportare l’impossibilità di ottenere il servizio richiesto.

    Modalità di trattamento dei dati

    I dati personali sono trattati con strumenti informatici automatizzati, per il tempo necessario a conseguire lo scopo per il quale sono stati raccolti. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

    Diritti degli interessati

    I soggetti cui si riferiscono i dati hanno i diritti previsti dall’art. 7 del Codice privacy che prevede, tra gli altri il diritto di conoscere la presenza dei suoi dati e di ottenere la cancellazione, la rettifica, l’aggiornamento dei dati stessi rivolgendosi al Titolare del trattamento in persona della xyz all’indirizzo sopra indicato.

    Come interpretereste la scelta del titolare dei dati personali?

  • Ciao Alessia e complimenti per il Blog, davvero eccellente.
    Sul mio sito utilizzo solo Google analytics e histats per le statistiche + Google adsense.
    Ho inserito l’informativa breve ed estesa; ora il mio dubbio è se sono tenuto ad effettuare la notifica al garante con pagamento dei diritti di segreteria per € 150,00 oppure no.
    Che ne dice delle mie informative?

    Grazie mille e ancora….. complimenti per la tua professionalità.

    Peppe

    • Alessia

      Ciao Peppe,
      grazie mille per i complimenti 🙂 Spero che questo piccolo contributo possa riuscire, almeno in parte, a chiarire i dubbi ancora in essere.
      La notifica al Garante nel tuo caso non va effettuata: è obbligatoria soltanto nel caso in cui installi cookie di profilazione di prima parte.
      Devi, però, come specificato da Raffaele Romano nell’intervista bloccare preventivamente l’installazione dei cookie di terza parte (per esempio quelli di Google AdSense).

  • carlo

    buonasera a tutti.
    La mia situazione, credo uguale alla maggiornanza dei titolari di siti web, è la seguente:

    1 uso cookie tecnici (forum, sessioni, login ecc..)
    2 uso Google Analytics anonimizzato (tramite apposita stringa nel js)

    ed ho apportato le seguenti modifiche:

    1 banner in tutte le pagine con breve descrizione che utilizzando il sito si accettano i cookie.
    2 link (questo già c’era) in tutte le pagine che rimanda ad una breve e sommaria descrizione dei cookie rilasciati.

    Va bene? cosa devo fare in più (o in meno)? Grazie

    • Alessia

      Ciao Carlo,
      se utilizzi esclusivamente cookie tecnici, non c’è alcun bisogno di preoccuparsi a mio parere. Va bene mostrare il banner (specificando eventualmente anche qui che il sito utilizza solo cookie tecnici) e linkare in tutte le pagine l’informativa estesa – dove ovviamente non dovrai fare riferimento ai cookie di terze parti ma solo ai browser e alle modalità per disattivare i cookie tecnici.

  • claudio

    Ciao, ma se tolgo il codice analytics da ogni pagina del sito e ho solo i link semplici senza like a Facebook per cui il sito non ha cookies, devo comunque inserire ii banner per i cookies e l’informativa?

    • Alessia

      Ciao Claudio,
      per google Analytics è sufficiente anonimizzare gli IP (qui spiego come fare: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni/), se utilizzi soltanto cookie tecnici ti consiglio comunque di inserire quantomeno l’informativa, mentre il banner non dovrebbe essere necessario.
      Gli strumenti per webmaster di Google non raccolgono dati relativi alla navigazione degli utenti, pertanto nessun problema di cookie 😉

  • claudio

    dimenticavo, se si usano gli strumenti per webmaster si fa lo stesso discorso che per google analytics? In fondo gli strumenti per webmaster raccolgono comunque dati… Insomma la domanda è questa: è possibile avere un sito senza avere l’obbligo di creare banner e informativa per la privacy?

  • Peppe

    Ciao Alessia, grazie per la risposta. Ho visto che il plugin cookie notice è stato aggiornato alla vers. 1.2.24 dando all’utente la possibilità di rifiutare i cookie di terze parti, che ne pensi è il caso di spuntare l’opzione?
    Ciao e grazie
    Peppe

    • Alessia

      Ciao Peppe,
      a dire il vero non ho avuto ancora il modo di approfondire. Non so in realtà quanto possa essere utile: dopotutto se l’utente non è disposto ad accettare cookie non dovrebbe intervenire sul suo browser o sbaglio?

  • Peppe

    Questo è vero …….. però è solo per adeguarsi a ciò che dice la norma (credo…)
    Ti saluto.

    Peppe

    • Alessia

      Ciao Peppe,
      non so esattamente cosa faccia quella funzione del plugin. Credo sia più semplice non caricare preventivamente alcun cookie e, nel momento in cui l’utente accetta la policy oppure scrolla all’interno della pagina, effettuare un refresh caricando tutti i cookie di terze parti e di profilazione.
      Ciò lo si può fare facilmente con il plugin di Andrea Pernici, Third Party Cookie Eraser.

  • Giada

    Ciao ottimo articolo, in giro c’é un tale caos di informazioni! Io ho un blog/diario di viaggi ho solo bottoni di condivisione/like, adsense e un affilizaione con amazon quindi le 150 vanno pagate oppure no, perché sono cookie di terze parti e non creati/gestiti da me? Grazie!

  • Marco

    Ciao Alessia,
    man mano che i giorni passano arrivano sempre nuovi dubbi..
    Nei siti multi lingua bisogna prevedere le Cookie Policy nelle differenti lingue?
    Va internazionalizzato anche il banner per l’informativa breve?

    Se utilizzo video di youtube e pulsanti social con cookie, oltre al consenso preventivo, bisogna fare la segnalazione al Garante e pagare i 150€?

    Grazie

    Marco

  • Enzo

    Gentile dott. Romano, la presenza di banner Google Adsense, con i relativi cookie, comporta l’obbligo di Notifica al Garante (con relativo costo) , o trattandosi di cookies di terze parti tale obbligo è escluso?
    Grazie.

  • roberto

    Vorrei tanto vedere l’ iban di questo fantomatico pagamento che deve essere effettuato presso il garante della privacy, molti ne parlano ma il garante NO nel modo più assoluto. ergo:

    Prima di mettere mano al portafogli sarà comunque bene tenere presente che nel caso in cui il gestore (o titolare) di un sito Web impieghi unicamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione, questo perché le modalità e le finalità del trattamento perseguite non rientrano nel controllo di quest’ultimo. Unica eccezione il caso in cui il medesimo soggetto possa effettivamente accedere ai dati raccolti in forma “”disaggregata dai cookie”” ovvero quando crea una LISTA come fanno gli infomarketer.

    In quest’ultimo caso infatti, ai fini della notificazione, si dovrà valutare la presenza di “contitolarità” o di titolarità autonoma del trattamento, come nel caso in cui gestore (o titolare) abbia dato vita ad accordi con le terze parti riguardo allo sfruttamento dei cookie di profilazione.

  • Mattei

    Salve, volevo sapere se io attivo un servizio di newsletter sul mio sito, mailchimp per esempio, devo fare la comunicazione al garante della privacy, con relativi 150€, perché usa i cookies?
    E per i dati che colleziono con il form (nome, mail e consenso) devo comunicarli al garante della privacy? Come si può fare?
    Grazie, Matteo.

  • Danilo

    Salve,
    io all’interno del mio blog, oltre ad analytics con IP oscurato, ho anche adsense e zanox, occorre fare comunicazione al garante ed effettuare il pagamento dei 150€
    Grazie in anticipo

  • Marcello

    In questi giorni mi stavo documentando sulla questione cookie-law. Molte cose sono chiare adesso ma esprimo delle perplessità riguardo ad alcuni punti.
    Limitatamente a Google Adsense ho realizzato che i banner Adsense non possono essere visualizzati nel sito dal visitatore se non dopo che questi ha dato il suo espresso consenso anche mediante una semplice azione sul sito (click, scroll etc).
    Tenendo conto che le norme di Google non consentono di apportare modifiche al codice Adsense (che renderebbero possibile il caricamento del banner solo dopo averne dato il consenso) e non avendo diretto controllo sugli stessi annunci Adsense in che modo potrei agire?
    In buona sostanza dal momento che i banner verrebbero caricati a prescindere da tutto il resto con i vincoli imposti in che modo sarei posto nelle condizioni di ottemperare alla nuova normativa senza incorrere a sanzioni?
    Grazie in anticipo per la risposta.

    • Alessia

      Ciao Marcello,
      la questione legata ai banner di Google AdSense effettivamente non è stata ancora risolta, e non sembra essere di semplice soluzione. Non appena la situazione sarà chiarita – con il decisivo contributo di Google – ne daremo notizia.

  • Giulio

    Salve,
    io ho un sito ecommerce molto semplice realizzato con prestashop dove utilizzo soltanto google Analytics e i classici bottoni di condivisione dei social network. Analytics non è stato modificato per rendere gli ip anonimi in quanto ho preferito acquistare uno specifico modulo che mi permette di bloccare questo tipo di cookie fino al consenso del visitatore. La domanda è: nel mio caso siccome gli ip non sono anonimi è necessario fare la comunicazione al garante e pagare i 150 euro?

  • Ciao,
    nella pagina privacy del sito, generata con jubenda, si indica che si raccolgono dati tramite la pagina “contatti”, per rispondere a eventuali mail, nonché l’uso di Google analytics per sapere la provenienza dei visitatori, tempi di visualizzazione delle pagine, il tutto in forma anonima.
    Se elimino Google anaytics può andar bene la privacy policy così come generata da jubenda, ovviamente cancellando che si fa uso di Google analytics, o devo implementarla, ad esempio uso del sito?

    • Alessia

      Ciao Luigi,
      non conosco la policy di Iubenda e, pagando un servizio, credo tu abbia tutto il diritto di porre a loro queste domande 😀

  • Salve,

    grazie per le delucidazioni molto utili.
    Vorrei però una conferma se possibile: nel mio sito ho bottoni social, google analytics con ip oscurato e banner pubblicitari di TradeDoubler… va bene come ho scritto l’informativa estesa? Cosa devo fare oltre al banner e alla pagina dei cookies policy?
    Blocca qualcosa in via preventiva?
    Grazie mille

    Sara

    • Alessia

      Ciao Sara,

      sì, dovresti bloccare in via preventiva l’installazione dei cookie. Se provi a fare un controllo da Chrome o da altri browser – utilizzando un addon – puoi verificare facilmente che ciò non avviene. Nel dettaglio vedo che vengono scaricati cookie di TradeDoubler (non so dirti se profilanti o meno, ma immagino di sì, visto che non sono strettamente necessari al funzionamento del sito).

  • Christian

    Buongiorno e complimenti per il sito e la qualità con cui tratta gli argomenti.
    Un dubbio che da un po’ mi pongo:
    -microsito creato appositamente per i clienti contrattualmente legati per fornitura,
    -a ciascuno sarà attribuita una ID,
    -noi creeremo il loro profilo come master,
    -loro si sceglieranno una password,
    -Dal loro log vedrei che listino hanno visualizzato, cosa hanno ordinato etc. e potrò fare offerte ad hoc
    E’ profilazione o rientra nell’ambito del contratto di fornitura che prevede che io possa fare offerte commerciali?
    Devo mettere il banner breve o solo info estesa?
    Grazie

    • Alessia

      Ciao Christian,

      grazie mille per i complimenti 🙂
      Credo si tratti, in questo caso, di cookie di profilazione perché utilizzati per offerte commerciali. Sarebbero quindi cookie di prima parte, perché gestiti direttamente da voi.

  • Salve, sono un web master molto autodidatta, la mia domanda è. …ma se sul mio sito non esistono cookie ma c’è solo un link sulla home page di un sito di statistiche, devo inserire anche io il banner o altro???

    • Alessia

      Se il tuo sito non installa nessun tipo di cookie, direi che non devi sottostare alla normativa 🙂 niente banner, né informativa.
      Naturalmente se hai un modulo contatti o in qualche modo potresti trattare i dati degli utenti dovrai pubblicare la privacy policy.

  • Caterina

    Buongiorno ed innanzi tutto complimenti.

    Se non ho capito male, ove il mio blog creato con wp utilizzi Google analystic con ip anonimizzato non dovrei fare comunicazioni, ma, avendo anche i bottoni per la condivisione su fb devo inserire il banner che comunica l’utilizzo di cookie di terze parti, corretto?

    Devo poi creare l’informatica estesa e specificare il link dei social per deselezionare l’uso del cookie corretto?

    Ok, se già fin qui fosse corretto sarei a metà dell’ opera.

    Ora, per creare la privacy policy e l’ informativa estesa come faccio? Cioè ci sono servizi affidabili che le creano?

    Nel caso volessi aggiungere una parte di e commerce, cambierebbe tutto e sarei soggetta a notifica al garante con dovere di corrispondere il relativo corrispettivo economico?

    Mille grazie in anticipo.

    • Alessia

      Ciao Caterina,

      per quanto riguarda i bottoni social dovresti innanzitutto capire se rilasciano cookie. La maggior parte dei plugin, secondo la mia esperienza, non installano cookie di nessun genere e quindi non vanno notificati.
      Per la creazione della privacy policy puoi affidarti a esterni oppure ricorrere al fai da te (soluzione preferita da tanti, soprattutto se si ha una situazione abbastanza semplice e lineare). Naturalmente, nel caso dell’e-commerce la faccenda diventa più complessa e ti consiglierei di rivolgerti ad un esperto.

  • Mi perdoni, nel caso di utlizzo di un banale javascript per il calcolo delle statistiche come per esempio shinystat per citarne uno dei più conosciuti, mi pare che anche quello venga considerato cookie di profilazione, devo avvisare gli utenti che shinystat controlla inidirizzo ip? la cosa che rimmarrà sempre irrisolta a mio parere, nonostante le ampie e chiare delucidazioni, sarà quella della frase “di terze parti”, se un pinco pallino qualunque crea un sito della domenica su una piattaforma come per esempio altervista utilizzandone i banners, ed inserisce anche il codice di shinistat quale tipo di scervellamento dovrà sottoporsi? per un sito che nelle migliori previsioni porterà il ridicolo guadagno di un euro al mese? il garante nel giusto diritto di tutelarci ha praticamente ottenuto un triplo risultato. con unico intervento.. 1) tutelare i singoli cittadini avvisandoli che sono spiati e possono disattivare dal browser i cosidetti cookie.. cosa che non farà nessuno 2) tutelare le grandi multinazionali che continueranno a spiarci. 3) mettere una ghigliottina sul collo degli stessi utenti tutelati che hanno il doppio ruolo di utenti che navigano su internet e visitano siti internet ma anche posseggono una pagina personale dove inseriscono i loro liberi pensieri.. praticamente il solo modo per non incorrere in multe salate è quello di togliere dal proprio sito web tutti gli elementi esterni lasdando solo il puro testo.. e qui la domanda, questo basterebbe? oppure si inventerrano che bisogna mettere l’informativa anche quando google come motore di ricerca attraverso un crawler legge i nostri siti internet? cordiali saluti

  • Marco

    Salve,
    volevo sapere, laddove nel sito si facesse uso di google maps, che spiegazione dare all’utente sull’utilizzo di questo servizio. Inoltre avere conferma se oltre il banner è richiesta la normativa estesa o basta quella breve, grazie!

    Cordialmente.

  • Gioacchino

    Salve.
    A distanza di circa 6 mesi all’entrata in vigore della normativa ho ancora un dubbio: Se sul mio sito ho un pixel di FACEBOOK per il remarketing devo inviare notifica al Garante?
    Grazie.

    • Alessia

      Ciao Gioacchino, grazie per il commento. Secondo quanto affermato dal garante – ti invito a leggere gli ultimi articoli del blog al riguardo se ne avrai voglia – tutto ciò che fa profilazione va bloccato fino al consenso dell’utente. Non dovrai però essere tu a notificare al garante, tranne che per quanto riguarda i sistemi di profilazione proprietari.

  • Cristina

    Salve e grazie per l’articolo.
    Ho compreso che se ho un sito in 3 lingue devo tradurre la Cookie Policy in 3 lingue.
    Vorrei sapere se questo vale anche per la sola Privacy Policy: è una normativa italiana o anche questa va tradotta in tutte le lingue del sito?
    Grazie

    • Alessia

      ciao Cristina,

      come puoi leggere dall’articolo “La normativa in materia trova piena applicazione in tutta l’UE e non solo in Italia il che implica, conseguentemente, una necessaria conformità agli obblighi imposti dalla normativa da parte di tutti i cittadini europei.”

      Dunque è necessario tradurre la privacy policy in tutte le lingue, poiché gli utenti devono comprenderla appieno per poterla sottoscrivere.

  • Alan

    Buongiorno a tutti, vorrei sapere che fare se il sito non genera alcun cookie.
    Devo mostrare un banner o no?
    E la cookie policy ? Mi occorre comunque ?
    Grazie a tutti coloro che vorranno darmi qualche chiarimento.
    Saluti
    Alan

    • Alessia

      Ciao Alan,

      grazie per il tuo commento! Come hai verificato che il tuo sito non genera alcun cookie? Non utilizzi nemmeno Google Analytics?
      La cookie policy, a mio avviso, è sempre consigliata e lo stesso vale per la PRIVACY policy, se tratti i dati degli utenti per esempio attraverso moduli contatti et similia. Prova a dare un’occhiata agli ultimi articoli del blog 🙂 è spiegato nel dettaglio anche come mettersi in regola dal punto di vista della privacy.

      • Alan

        Ciao Alessia, grazie per la risposta, tra l’altro cosi veloce 🙂 .
        La verifica cookies lo fatta qui : https://webcookies.org/
        Curo più di un sito, in alcuni casi ho usato Analytics in altri no.
        Questi ultimi appunto non generano cookies sono semplici landing page senza form alcuno, proprio su questi ultimi mi chiedevo se creare banner ed inserire la policy cookie/privacy.
        Ho seguito il tuo consiglio ed ho visto un post di Luciano simile al mio, nessun cookie.
        A questo punto metterei un banner dove dico che non installo cookie e la policy la inserisco in ogni caso, che ne pensi ?
        Ciao e buon 1 maggio.

  • Ciao,

    ho una situazione un po’ strana. Un blog in lingua olandese di una scrittrice olandese, ma alcuni articoli (3-4 non di più) scritti in inglese ed 1 scritto in italiano. Attenzione non tradotto. Devo fare la cookie policy anche nell altre lingue oppure visto che la lingua principale è olandese ne basta una sola?

    Grazie,
    Gabriele.

    • Alessia

      Ciao Gabriele,
      personalmente ti consiglierei di scrivere la privacy policy almeno in inglese, se non anche in italiano. Ipotizza che un utente italiano acceda alla pagina relativa al tuo articolo in lingua italiana attraverso una ricerca su Google. Ovviamente dovrebbe essere informato in merito alla cookie e privacy policy, ecco perché a mio parere sarebbe meglio scrivere la privacy policy in TUTTE le lingue del sito.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Privacy Policy


Place your text here