I cookies rappresentano un potentissimo strumento di acquisizione di dati, che spesso vengono trattati dal titolare del sito Web in maniera non sufficientemente trasparente. Questa guida evidenzia i diritti dei navigatori e i doveri dei gestori del sito.

Il garante britannico, Information Commissioner Office, ha recentemente pubblicato un prezioso manuale, che illustra in dettaglio le modalità con cui il gestore di un sito Web deve informare i navigatori sui dati che vengono acquisiti, sia in forma esplicita, sia in forma implicita, ad esempio tramite cookies.

La guida comincia offrendo una definizione di questo strumento informatico:

  • un cookie è un file di testo che viene scaricato nell’apparecchio della navigatore, quando egli si collega ad un sito Web. Questo file permette al gestore del sito Web di riconoscere l’apparato utilizzato e archiviare alcune informazioni sulle preferenze del navigatore, ricavate dalle presenti e passate azioni.

Tanto per cominciare, poiché questa attività rappresenta una raccolta di dati personali, la regola fondamentale è quella che bisogna avvertire il navigatore che esistono questi strumenti di acquisizione dei dati, quali sono i dati che vengono acquisiti e le finalità e infine occorre ottenere il consenso dell’interessato per caricare questo file sull’apparato usato dal navigatore.

Per semplificare questa procedura, non è necessario ottenere queste informazioni e consensi ogni volta che il navigatore si collega, ma solo in occasione del primo collegamento.

Prudenza però consiglia che, ad intervalli regolari, venga riproposta la sequenza al navigatore. La stessa cosa deve farsi se le funzionalità e le modalità di raccolta di informazioni cambiano nel tempo.

Andiamo adesso a vedere quali informazioni devono essere offerte al navigatore.

Il regolamento non illustra in dettaglio quali sono le informazioni che devono essere fornite, ma un requisito fondamentale è che l’informativa sia comprensibile e trasparente. Mi rendo conto che il concetto espresso da questi due aggettivi varia molto, in funzione del livello di preparazione e cultura del navigatore, ed ecco la ragione per la quale il Web master è bene che imposti la informativa su un livello relativamente basso di cognizioni informatiche del navigatore.

Il passo immediatamente successivo alla offerta di informativa è evidentemente la raccolta di consenso. Il consenso deve essere dato liberamente, deve essere specifico ed essere informato. È essenziale che il consenso venga espresso mediante un’azione deliberata da parte del navigatore, per esempio contrassegnando un box, e non siano accettabili le frequenti forme di raccolta di consenso, che, ad esempio, affermano che il consenso si ritiene espresso se il navigatore prosegue nella navigazione dopo aver visualizzato l’informativa. Si tratta di un tipo di raccolta di consenso che è stato già più volte sanzionato dall’autorità Garanti nazionali.

Nel caso i cookies che vengono utilizzati siano di diverso livello di invasività, è inoltre indispensabile offrire al navigatore la possibilità di disabilitare alcune funzioni, che egli non desidera vengano attuate. Ad esempio, è indispensabile che venga richiesto un consenso specifico quando il gestore del sito Web raccoglie informazioni particolari, come ad esempio dati sanitari od altri dati, che permettono di profilare l’utente stesso.

Vediamo adesso quali possono essere le possibili esenzioni.

Queste sono raggruppabili in due grandi categorie, così classificabili:

  • i cookies vengono utilizzati esclusivamente per gestire il collegamento via Internet e cessa le sue funzioni, quando il collegamento viene interrotto;
  • il cookie è necessario per offrire un servizio via Internet, che viene esplicitamente richiesto dal navigatore. È ovvio che in questo caso non viene richiesto il consenso, ma solo a condizione che le funzioni di acquisizione deidati personali siano limitate solo alla gestione della richiesta di accesso.

Ad esempio, certamente molti lettori si saranno accorti che, collegandosi ad un sito di vendita di volumi on-line, che viene frequentemente contattato, l’utente dopo un poco viene accolto dal sito con il suo nome di battesimo ed anche con una proposta di volumi, che potrebbero essere allineati con le sue precedenti scelte.

Parimenti non è richiesto il consenso per l’utilizzo di cookies, che garantiscono la sicurezza del collegamento, ad esempio durante un servizio di banca on-line.

In vista della possibile invasività dei dati acquisiti tramite cookies, è certamente indispensabile per il gestore del sito Web di sviluppare una valutazione di impatto, soprattutto per valutare l’opportunità di utilizzare dei dati pseudo anonimi, invece che dati in chiaro. Una tipica situazione è quella in cui il cookies viene utilizzato non per fornire un servizio all’utente, ma semplicemente per contare i visitatori che si sono collegati ad un sito Web.

Infine, vale la pena di segnalare che queste considerazioni generali si applicano anche all’utilizzo di app, e pertanto chi sviluppa delle app deve fornire chiare informazioni all’utente sulle funzioni di questo software, prima che l’utente clicchi sul pulsante di installazione.

A completamento di questo brillante documento, viene offerta anche una lista di controllo, che sono lieto di offrire ai lettori.

La lista di controllo afferente all’utilizzo di cookies

Questa lista di controllo deve essere utilizzata dal Web master di un qualsiasi sito Web, che voglia essere certo di avere attivato un appropriato meccanismo di utilizzo dei cookies, sia di sessione, sia persistenti, con adeguata offerta di informativa e corretta modalità di raccolta del consenso, da parte del navigatore.

Il ruolo dei cookies

  • abbiamo capito che cosa sono i cookies e per quali finalità sono usati
  • conosciamo la differenza tra cookies di sessione e cookies persistenti, che memorizzano dati afferenti al navigatore
  • abbiamo capito il significato dell’espressione “tecnologie similari”, che possono acquisire dati di un navigatore che si collega ad un sito Web.

Audit sull’uso di cookies

  • abbiamo una completa conoscenza dei cookies che vengono utilizzati dai nostri servizi on-line o che abbiamo intenzione di utilizzare
  • abbiamo rimosso i cookies di cui non abbiamo bisogno
  • abbiamo confermato la finalità di ogni cookie
  • abbiamo identificato quali informazioni vengono catturate da ogni cookie, compresi i collegamenti ad altre informazioni, che già disponiamo in merito all’interessato, operante come navigatore
  • laddove sono coinvolti dati personali, abbiamo verificato che le modalità di trattamento siano conformi alle richieste dell’articolo 25 del regolamento europeo e, se appropriato, anche alle richieste dell’articolo 35
  • abbiamo suddiviso i cookies di sessione da quelli persistenti
  • abbiamo definito il tempo di conservazione dei dati acquisiti dai cookies, procedendo in seguito alla cancellazione
  • abbiamo identificato quali cookies sono indispensabili e quali no

Offerta di informativa sui cookies

  • abbiamo verificato che siamo in grado di fornire una informativa chiara e comprensibile, idonea al livello medio di formazione e cultura del navigatore, che si collega al sito
  • ci siamo accertati che le informative offerte siano complete e coprano tutti i tipi di cookies che utilizziamo

Raccolta del consenso per i cookies

  • abbiamo attuato un meccanismo di consenso che permette agli utenti del nostro servizio on-line di controllare l’abilitazione o meno di cookies, che non sono strettamente necessari
  • abbiamo verificato il fatto che la nostra procedura di raccolta del consenso è in linea con i requisiti del regolamento generale sulla protezione dei dati
  • conserviamo una registrazione del consenso per un adeguato periodo di tempo

Documentazione e riesame dell’utilizzo dei cookies

  • tutte le risposte precedentemente offerte sono documentate
  • abbiamo individuato un appropriato periodo di revisione ed aggiornamento eventuale di quanto sopra

La guida (pdf)

Fonti: Puntosicuro.it, ICO