A partire dal 2 giugno p.v. il Provvedimento n. 229 dell’8 maggio 2014 del Garante della Privacy relativo alla Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie entrerà pienamente in vigore, terminato il periodo transitorio di un anno che il Garante, lo scorso anno, ha attributo agli operatori del web per la individuazioni dei tali modalità e per l’adeguamento alla normativa.
Le Linee Guida Interassociative sull’utilizzo dei cookie (“Kit”)
Nel corso dell’ultimo anno Netcomm, insieme alle altre associazioni maggiormente rappresentative della industry, ha elaborato e, poi, discusso con il Garante alcune soluzioni operative dirette ad individuare modalità comportamentali uniformi, e in linea con la normativa, per consentire:
– ai titolari/gestori dei siti, di informare adeguatamente gli utenti della tipologia di cookie che i siti possono rilasciare e ottenere il consenso dei medesimi alla installazione dei cookie non tecnici (c.d. “cookie di profilazione”) con modalità che limitino, per quanto possibile, l’impatto sulla navigazione e sulla fruibilità dei contenuti del sito, e
– agli utenti in rete, di confrontarsi con informazioni chiare sulla presenza dei cookie di profilazione e sulla modalità per acconsentire o negare il consenso ai medesimi.
Il frutto della collaborazione tra le associazioni e del dialogo con il Garante (anche in contraddittorio con le associazioni dei consumatori che hanno partecipato al tavolo di lavoro presso il Garante durante il quale le soluzioni contenute all’interno del Kit sono state illustrate) è rappresentato dal “Kit cookie – istruzioni all’uso”, scaricabile gratuitamente da chiunque – titolare di un sito o utente che sia – lo desideri, anche dal sito di Netcomm oltre che delle altre associazioni che hanno partecipato al tavolo.
Il kit mira a creare un codice comportamentale comune per gli operatori e promuove il dialogo con i titolari dei siti, nel caso di eventuali lamentele, per ottenere risposte su come esercitare il proprio consenso/diniego selettivo o come cancellare i cookie dal proprio browser.
Che cosa cambia dal 2 giugno nell’accesso ai siti web
In estrema sintesi, dal 2 giugno p.v., accedendo a un sito l’utente dovrà essere in condizione di:
· sapere, attraverso un banner di idonee dimensioni (il banner deve, cioè, creare una percettibile discontinuità tra la lettura del suo contenuto e la lettura/visualizzazione del testo della pagina del sito visitato, pur non impendendo all’utente di visualizzare i contenuti della pagina stessa) che il sito che egli sta visitando installa direttamente cookie di profilazione propri o, per il suo tramite, di società terze, e scegliere se esprimere, congiuntamente, il consenso all’uso dei cookie di profilazione medesimi mediante il compimento di una delle azioni descritte nel banner (ossia: chiusura del banner oppure selezione di un elemento della pagina esterno al banner oppure scorrimento della pagina);
· prima di prestare il suo consenso ai cookie, accedere, se lo desidera, alla informativa estesa, attraverso un link contenuto nel banner stesso, per capire con maggior grado di dettaglio quali cookie possono essere installati tramite il sito che sta visitando e quali eventualmente scegliere; e
· prestare o negare selettivamente il consenso alla installazione dei cookie di profilazione:
Ø di prima parte, ove presenti, impostando la attivazione/disattivazione del cookie del sito;
Ø di terza parte, attraverso la visualizzazione del link alla informativa sulla privacy della terza parte e al relativo modulo di manifestazione del consenso, secondo la procedura descritta dalla terza parte. Il titolare del sito, infatti, non è responsabile della gestione delle scelte dell’utente circa l’utilizzo del cookie di terza parte né, prima ancora, della logica del trattamento dei dati raccolti da tale cookie, ma è esclusivamente responsabile della:
(i) individuazione delle terze parti che, tramite il sito possono installare cookie di profilazione,
(ii) descrizione della finalità del cookie; e
(iii) individuazione e messa a disposizione dei link aggiornati alla informativa privacy e ai moduli di consenso delle terze parti attraverso i quali l’utente può assumere le informazioni relative all’uso del cookie e negare il suo consenso alla relativa installazione.
· sapere che senza il suo consenso, il sito non potrà installargli cookie diversi da quelli necessari a consentire la navigazione all’interno del sito o di salvare le sue preferenze (es. auto log-in, salvataggio del carrello ecc.), dal momento che il titolare del sito dovrà dotarsi di una soluzione tecnologica che gli permetta di bloccare i cookie di profilazione, propri e di terzi, prima che l’utente manifesti il proprio consenso (generale) o il proprio diniego selettivo con le modalità sopra descritte.
Gli aspetti critici per gli operatori del web
L’ultimo punto tra quelli in sintesi sopra riportati è di particolare criticità per gli operatori in rete dal momento che il meccanismo di blocco preventivo all’installazione dei cookie (ossia prima che l’utente compia una delle azioni descritte nel banner) richiede interventi, a livello tecnico, spesso complicati soprattutto per i titolari dei siti che, in tutto o in parte, operano anche come editori: se il caricamento delle pagine con la visualizzazione degli elementi pubblicitari è possibile solo dopo che l’utente ha manifestato il consenso, il rischio di perdere impressions pubblicitarie è elevato (e, conseguentemente, il rischio di perdere importanti risorse per il titolare del sito).
Per cercare di mitigare tale criticità, nel Kit è stata introdotta, come soluzione alternativa al blocco preventivo dei cookie, la possibilità di adottare altri sistemi o procedure che consentano di caricare completamente le pagine (compresi i cookie) sin dalla prima visita, evitando così spazi vuoti nella pagina: in altre parole, il cookie di profilazione verrebbe installato ma non. Tuttavia, la condizione per la operatività di tali sistemi è che l’attivazione dei cookie già inviati al terminale dell’utente avvenga solo dopo che è stato espresso il consenso. In questo caso, quindi, i titolari dei siti devono trovare meccanismi di dialogo con le terze parti affinché l’impegno a non attivare i cookie di profilazione, al caricamento della pagina ma in assenza del consenso dell’utente, venga onorato.
Gli aspetti critici per gli operatori di e-commerce
I cookie di profilazione sono principalmente cookie pubblicitari che consentono al sito soggetto che li installa di effettuare diverse attività, più o meno targettizzate rispetto alla navigazione in rete dell’utente (es. pubblicità contestuale, pubblicità comportamentale oppure retargeting).
L’utilizzo dei cookie è fondamentale per l’economia di internet e in particolare agli operatori di e-commerce. In realtà, la disciplina sui cookie di profilazione assoggetta all’obbligo del preventivo consenso dell’utente anche cookie che al titolare del sito servono solo a raccogliere informazioni, in forma anonima, sul numero degli utenti e su come questi visitano il sito stesso e, quindi, a migliorare la fruibilità dei contenuti nonché cookie che, pur non rientrando strettamente nella categoria dei cookie tecnici, possono comunque qualificarsi come cookie di funzionalità del sito perché necessari al titolare del sito per offrire all’utente – sul proprio sito e non, genericamente, in rete) – esperienze di acquisto efficaci sia in termini di opportunità di acquisto sia in termini di tempo da dedicare all’attività di acquisto online.
Ci riferiamo, ad esempio, a tutte quelle funzionalità (lo si ribadisce, proprie del sito di e-commerce al quale l’utente si è connesso e non alla generica navigazione in rete) che consentono all’utente di visualizzare prodotti in vendita sul sito correlati a quelli selezionati, per appartenenza merceologica (es. “hai visto questo prodotto, potrebbe anche interessarti …” ) oppure oggetto di un abbinamento promozionale (es. “se compri il prodotto visualizzato puoi avere in abbinamento il prodotto “x” con il 20% di sconto…”), e guidano, in questo modo, l’utente nella effettuazione di scelte di acquisto efficienti che per l’utente rappresentano un valore aggiunto sia in termini economici sia di tempo. Da questo punto di vista, la normativa sui cookie complica non poco l’operatività dei siti di e-commerce che dovranno intervenire sui propri siti in modo tale che le funzionalità sopra descritte restino disattivate sino a quando l’utente non accetti tutti i cookie (attraverso l’azione descritta nel banner) ovvero mediante un intervento selettivo all’interno della informativa estesa.
L’intervento del Garante è comprensibile rispetto a quei cookie di profilazione, soprattutto di terzi, finalizzati a monitorare e a profilare gli utenti durante la navigazione, a studiare i loro movimenti e abitudini di consultazione del web o di consumo allo scopo di inviare pubblicità di servizi mirati, anche dopo diversi giorni o settimane dalla visita di uno o più siti.
Nel caso dei cookie utilizzati direttamente dai siti di e-commerce, però, tale rigore non sembra pienamente giustificato perché se è vero che non è ragionevole che il commesso di un negozio insegua il cliente, all’uscita dal negozio, per fargli un’offerta in qualche modo connessa al prodotto visto o acquistato all’interno del negozio, è, tuttavia, altrettanto vero che, all’interno del negozio, il commesso possa (anzi, debba) interagire con il cliente e dargli la possibilità di effettuare un acquisto economicamente soddisfacente e coerente con quanto dallo stesso scelto.
In questo senso sarebbe stato utile che i cookie di prima parte fossero sottratti all’obbligo del consenso preventivo (e, al più, se non in tutto e per tutto assimilabili ai cookie tecnici, assoggettati alla sola possibilità di rimozione ex post) dal momento che, paradossalmente, dal punto di vista della esperienza di acquisto, si è ottenuto il risultato di mettere il sito di e-commerce nella posizione di un supermercato nel quale le luci sono spente e si accendono non automaticamente, all’ingresso del cliente, ma solo in base al reparto del supermercato in cui il cliente si trova, limitando la possibilità di individuare le offerte più convenienti abbinate a prodotti situati in altri reparti del supermercato e costringendo il cliente a una permanenza più lunga per verificare se e quali siano le offerte che gli consentono di ottenere un risparmio sull’acquisto.
Rispetto ai cookie di terze parti, va, in ogni caso, detto che si tratta di una importante risorsa economica per i titolari dei siti che – con il consenso degli utenti – possono utilizzare strumenti che consentono all’utente di ricordare all’utente uno o più prodotti precedentemente visualizzati sul loro sito, anche dopo che l’utente ha concluso la navigazione all’interno dei medesimi; oppure sponsorizzare i propri prodotti o servizi attraverso meccanismi che consentono all’utente di visualizzare la pubblicità dei prodotti o dei servizi del sito di e-commerce correlati al tipo di ricerca che egli sta facendo su alto sito o su un motore di ricerca: es. se l’utente visualizza informazioni su un determinato scrittore, potrebbe visualizzare nella stessa pagina informazioni relative al sito di e-commerce nel quale uno o più libri del medesimo autore sono offerti in promozione.
Gli auspici per il futuro: l’evoluzione della tecnologia e l’autoregolamentazione
Complessivamente, è auspicabile che una volta assolta la funzione pedagogica della norma, ossia una volta raggiunto un grado di conoscenza adeguato sul funzionamento dei cookie e sulla possibilità per gli utenti di gestire le rispettive preferenze sugli stessi, si passi a un sistema di “implied consent” come quello indicato dall’ICO (l’autorità garante inglese) che, nel gennaio 2013, ha ritenuto operare un’inversione nella applicazione della normativa comunitaria e, impregiudicata la corretta ed esaustiva informativa sull’utilizzo dei cookie, ha ritenuto, da un lato, di lasciare all’utente la possibilità di gestire le sue preferenze e, dall’altro, di potenziare i meccanismi per la rimozione dei cookie medesimi.
Ciò anche alla luce della evoluzione della tecnologia e della diffusione di sistemi di tracciamento (ben più invasivi dei cookie) rispetto ai quali gli utenti non hanno alcun potere di rimozione diretto, dal momento che tali sistemi (es. fingerprinting) non risiedono sui browser degli utenti ma sui server dei soggetti che li utilizzano.
A tendere, inoltre, sarà anche auspicabile dirigersi verso strumenti di autoregolamentazione che diano regole chiare ma uniformi agli operatori in rete. La compliance alla normativa è senz’altro un’opportunità per tutti perché genera (o dovrebbe generare) affidamento negli utenti e, quindi, premia (o dovrebbe premiare) i siti più virtuosi. Tuttavia, va anche detto che la compliance ha un costo e, al momento, rischia purtroppo di diventare uno strumento di concorrenza sleale perché rispetto ai colossi dell’e-commerce, prevalentemente extra UE, i titolari dei siti di e-commerce italiani hanno minore capacità competitiva essendo tenuti al rispetto di norme che, per quanto assolutamente corrette, all’atto pratico, producono un impatto significativo sui siti limitando, in ultima istanza, la possibilità per gli stessi di competere “ad armi pari”.
Netcomm e il Sigillo
Al fine di contribuire alla creazione di una catena di valore e di fiducia tra tutti coloro che operano nell’e-commerce, Netcomm ha ideato, fin dallo scorso anno, il Sigillo per dare a chi compra online sicurezza, chiarezza e trasparenza.
L’adozione del Sigillo di fiducia, da parte dei merchant, ha il valore di orientare e rassicurare l’utente, consentendogli di affidarsi al sito online prescelto per lo shopping, cogliendo le opportunità, il risparmio e le promozioni proposte.
A partire dal 2 giugno p.v. saranno ricompresi nel Sigillo anche gli adempimenti informativi descritti nel Kit (e, prima ancora, nel Provvedimento 229/2014 del Garante). Pertanto, tra i requisiti di trasparenza che chi espone il Sigillo si impegna a inserire sul sito saranno comprese le informazioni sulla presenza della informativa breve ed estesa nonché sui relativi contenuti. Peraltro, nel caso di eventuali reclami, gli utenti – impregiudicati i rimedi descritti nel Kit circa la collaborazione del titolare del sito per ottenere risposte su come esercitare il proprio consenso/diniego selettivo o come cancellare i cookie dal proprio browser – potranno anche avvalersi gratuitamente del sistema di conciliazione paritetica a cui molti dei siti che hanno ottenuto il Sigillo aderiscono.
