La cookie law, il cui termine di applicazione aveva scadenza più o meno in questo stesso periodo dello scorso anno, ha destato non poche preoccupazioni, travolgendo di incertezze legali e tecnici.
Ad oggi, nonostante i molteplici chiarimenti del Garante per la Privacy, non si è ancora giunti ad uno stato di serenità riguardo l’argomento. E non mi riferisco solamente ai blogger oppure alle micro imprese, bensì anche ad una fascia estesa delle PMI.
Sono in molti coloro i quali hanno deciso di installare nell’home page del proprio sito internet il banner di avviso cookie, individuando in questa soluzione la strada più certa, a prescindere dall’attivazione di funzioni tecniche di profilazione.
Ma la questione della cookie law in realtà rappresenta solamente la punta dell’iceberg.
Sotto la superficie si nasconde una forma di incertezza generale su come affrontare la redazione di una web site policy, su come gestire informative e autorizzazioni per la privacy e, per chi si occupa di marketing, su come non allontanare gli utenti con testi e click inutili dopo aver sudato tanto per farli avvicinare.
A seguire una personale proposta di lavoro (che non ha certo la pretesa di risultare esaustiva in tutti casi), formulata step by step per rendere più amichevoli le operazioni di stesura.
Cominciamo con l’asserire che una web site policy costituisce un accordo di utilizzo del sito internet tra il gestore e l’utente. Non riguarda quindi solamente le questioni correlate alla privacy bensì anche altri aspetti a tutela di entrambe le parti.
Alcuni casi da specificare possono riguardare: proprietà e modalità di utilizzo del marchio, licenza d’utilizzo dei contenuti proposti, questioni relative alla sicurezza delle informazioni, regole etiche di interazione tra gli utenti (qualora la piattaforma lo preveda) e riferimenti di contatto per reclami oppure segnalazioni in genere.
Cominciamo quindi a delineare la sezione privacy, specificando immediatamente le informazioni relative al titolare del trattamento dei dati ed almeno un riferimento per contattarlo.
Il secondo passaggio dovrebbe riguardare invece il chiarimento agli utenti circa il funzionamento degli indirizzi IP pubblici, le ragioni per le quali provider di connessione e hosting li conservano, fornendo poi un indirizzo all’informativa sul trattamento dei dati del fornitore presso il quale è depositato il sito internet. Occorre inoltre, come terzo passaggio, effettuare lo stesso chiarimento per le e-mail appartenenti al dominio.
Dal quarto passaggio entriamo nel dettaglio degli specifici indirizzi e-mail menzionati, definendo, come parametri essenziali per ogni buona informativa, i trattamenti compiuti, stabilendone anche la durata nel tempo, le finalità ed eventuali terze parti implicate.
Il quinto, sesto e settimo step sono relativi alle interazioni del sito web con i social network: indirizzamento (le icone che dal sito aprono una piattaforma social), condivisione dei contenuti (le icone che consentono di condividere il contenuto di un sito sul proprio profilo social) e commenti (che possono essere gestiti direttamente nelle pagine oppure che appaiono sul sito ma che in realtà vengono gestiti su una o più pagine di social network).
Ovviamente, anche in questi casi, si deve fornire il link all’informativa per la privacy delle piattaforme di destinazione.
All’ottavo step prendiamo in considerazione gli strumenti impiegati per l’analisi dei traffici.
Al nono eventuali form di raccolta informazioni.
Arriviamo quindi al decimo passaggio, relativo ai cookie impiegati, specificando cosa sono, perché vengono utilizzati (facendo esplicito riferimento anche ai trattamenti sopra descritti) e guidando l’utente ad una gestione consapevole degli stessi anche attraverso link a strumenti utili e alle procedure di rimozione in base al browser utilizzato.
In questa sede non replicheremo i contenuti delle molte guide già disponibili online chiarendo cosa sono i cookie tecnici, analitici e di profilazione, ma un ulteriore passaggio circa l’obbligatorietà dell’informativa breve (il banner in home page) sarà utile compierlo.
L’informativa breve, il blocco preventivo dell’installazione dei cookie e l’acquisizione del consenso (tecnicamente tracciato) dell’utente interessato deve avvenire esclusivamente quando le informazioni raccolte dal titolare configurano una profilazione e pertanto rientrano nell’ambito degli obblighi definiti nell’art.37 del D.lgs 196/03.
E’ inoltre opportuno, in conclusione, rammentare che coloro i quali si avvalgono esclusivamente di piattaforme chiuse – all’interno delle quali non possono esercitare un sufficiente controllo tecnico, non per mancanza di competenze ma per limite effettivo dell’ambiente – devono dichiararsi intermediari tecnici, reindirizzando l’utente all’informativa descritta dal Titolare.
Attenzione però. Le piattaforme fisicamente residenti al di fuori dell’UE potrebbero non garantire un livello di sicurezza uniforme e compatibile con in requisiti richiesti sul territorio italiano. Rileggendo i principi definiti dal Garante per la Privacy in modo ordinato, questi si manifestano ancor più palesemente come criteri di apprezzabile buon senso che poco hanno a che vedere con i cavilli formali con i quali vengono spesso confusi.
Domani 29 giugno il sito Key4biz non sarà aggiornato. Le pubblicazioni riprenderanno regolarmente il 30 giugno.