30 luglio 2012 Marco Conte

L’Italia recepisce la Cookie Law

Dal primo giugno 2012 sono entrati in vigore nel nostro paese i decreti legislativi 69/2012 e 70/2012 che recepiscono una direttiva europea del 2009, la cosiddetta “Cookie Law”.

L’Italia è così passata dal cosiddetto sistema opt out (che consentiva un libero utilizzo dei cookies fino al manifesto dissenso dell’utente) ad un sistema opt in, secondo il quale l’utente deve necessariamente prestare il consenso, senza il quale il cookie non potrà essere attivato.

La normativa consente diverse modalità operative per richiedere il consenso dell’utente:

1. “Modal dialogue”: è previsto l’inserimento di un messaggio sulla home page del sito che invita il visitatore a fornire il consenso informandolo sui cookies utilizzati e sulla durata del consenso. Il messaggio include anche un link per visionare tutte le ulteriori informazioni (es. Legge sul trattamento dei dati etc..). In questo caso è possibile prevedere anche un consenso unico per accedere a siti collegati o landing pages (es. “fornendo il tuo consenso accetti tutti i cookies di questo sito”). E’ la modalità più invasiva, si apre un popup che obbliga l’utente a concedere il consenso per proseguire la navigazione. Un esempio lo si poteva trovare sul sito www.delmonteeurope.com (vedi immagine), che però recentemente ha cambiato in favore di un’opzione meno impegnativa (vedi al punto 3):

2. “Status bar”: il messaggio appare sopra o sotto il contenuto della pagina e viene chiesto al visitatore di spuntare un flag per accettare i cookies. Il messaggio viene visualizzato su tutte le pagine successivamente visitate se l’utente non fornisce o non nega il consenso. I messaggi comunicati con questa modalità devono essere ben visibili e ripetuti, per evitare che gli utenti ne ignorino la presenza o non li considerino. E’ la scelta utilizzata ad esempio da uk.affiliatewindow.com:

3. “Warning bar”: è previsto un messaggio di notifica, visualizzato al momento dell’accesso al sito, che informa il visitatore del fatto che verranno utilizzati dei cookies. Nel messaggio è necessario inserire un link che rimanda ad una pagina in cui il visitatore può trovare tutte le informazioni e scegliere se fornire o meno il proprio consenso prima di proseguire la navigazione. E’ la nuova modalità scelta da Delmonte Europe:

L’impatto di queste scelte è piuttosto diverso: nel primo caso si obbliga l’utente a dare un vero e proprio consenso, nel secondo lo si “stressa” un po’ con un messaggio ripetuto, nel terzo gli si dà un semplice avviso. Non è difficile immaginare quale potrà essere la scelta preferita dai web designer…

Nell’ambito UK, dove la norma è applicata già da qualche tempo, le scelte sembrano orientarsi verso la seconda e terza opzione, ipotizzando anche una sorta di consenso implicito: se il browser è settato per accettare i cookies, allora significa che li voglio accettare. La normativa italiana non sembra per il momento così elastica.

Ma per quali cookies è necessario richiedere il consenso? Secondo la normativa UE sono coinvolti non solo i cookies specifici del sito, ma anche quelli di terze parti, come ad esempio quelli di Google Analytics.

E se non ho adeguato il mio sito che succede? Premesso che non esiste un sistema tecnico che consenta il controllo sistematico del web, in Italia non sono a tutt’oggi chiare le conseguenze del mancato rispetto della nuova normativa. Probabilmente verranno stabilite più avanti, ma conoscendo i tempi del Parlamento penso che possiamo andare in vacanza tranquilli :)