Cookie policy e Hotel: tutto quello che c’è da sapere (guest post)

Guest post di Alessia Martalò
Seguila su Twitter , Google+ e Linkedin

"Classe 1984, da sempre è appassionata di web e nuove tecnologie. Attualmente lavora come consulente SEO freelance, occupandosi in particolare di ottimizzazione e posizionamento. Ama leggere e scrivere e, un giorno, le piacerebbe vivere in una villetta sul mare". 

"Classe 1984, da sempre è appassionata di web e nuove tecnologie. Attualmente lavora come consulente SEO freelance, occupandosi in particolare di ottimizzazione e posizionamento. Ama leggere e scrivere e, un giorno, le piacerebbe vivere in una villetta sul mare". 

ensi alla cookie policy e subito ti viene in mente che l’unica certezza è la data di entrata in vigore della normativa del Garante della privacy, il 2 giugno 2015. A partire da tale data, infatti, sarà obbligatorio per i gestori di siti web e blog acquisire il consenso preventivo e informato dell’utente all’installazione di cookie di profilazione sul suo terminale. 
Questo l’antefatto. Ma quali sono più precisamente gli obblighi del titolare del sito web? Le sanzioni, l’abbiamo ormai appurato, sono importanti (si va da 6 mila a 120 mila euro, a seconda dell’infrazione) e, com’è logico intuire, il popolo del web è in rivolta, soprattutto perché – allo stato attuale – la normativa risulta di difficile interpretazione. Proviamo dunque a rispondere alle domande più frequenti, prendendo spunto proprio dall’intervista ad un legale esperto di privacy, l’Avv. Raffaele Romano. 

Cookie tecnici o di profilazione? 
Vero, ormai ne abbiamo la nausea dei cosiddetti cookie di profilazione. Ma è bene chiarire una volta per tutte come fare a distinguere i cookie tecnici da quelli, oggetto della normativa, di profilazione che, come dice il termine stesso, hanno lo scopo di delineare interessi e abitudini dell’utente al fine di proporre pubblicità mirata. 
I cookie tecnici, citando l’Avv. Romano, “sono quelli finalizzati al corretto e regolare funzionamento del sito web e/o a fornire un servizio richiesto dall’utente e, normalmente, sono installati direttamente dal titolare o gestore del sito web”.
Tutti gli altri, pertanto, sono cookie di profilazione. I servizi delle terze parti (plugin social o altre tipologie di addon) vanno sempre considerati cookie di profilazione, in quanto gestiti direttamente dalla terza parte. 

simone puorto cookies

E i servizi di statistica?
Google Analytics è uno dei servizi di statistica maggiormente utilizzati. Si è parlato, nei giorni scorsi, di una parziale apertura del Garante nei confronti di tale servizio. La cosa non è stata ancora confermata, ma sembrerebbe che, anonimizzando gli IP, sia possibile considerare come tecnici i cookie installati dal servizio di Google. Per fare ciò, si può utilizzare il plugin di Yoast per la gestione delle statistiche, che consente appunto di anonimizzare gli IP address raccolti dal servizio. 

Le famigerate terze parti
Discorso a parte per i servizi di terza parte. Come ricorda l’Avvocato, infatti, “tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web”. Parliamo per esempio di Google AdSense, Google +, Twitter, Facebook e così via. 

Il sito di un hotel che, per esempio, utilizza il servizio di Google Maps per visualizzare una mappa contenente le indicazioni relative alla posizione della struttura ricettiva, di fatto, potrebbe far uso – benché indirettamente – di cookie di profilazione. 

simone puorto cookies


Il consenso informato (preventivo)

A differenza dei cookie tecnici, i cookie di profilazione possono essere installati “soltanto dopo che il titolare del sito web abbia fornito adeguata informativa circa il loro uso ed abbia altresì acquisito il consenso da parte dell’utente”. 
Questo è il punto chiave della normativa, nonché quello più contestato. È infatti obbligatorio prevedere l’informativa breve (attraverso, per esempio, un banner presente in tutte le pagine del sito) e l’informativa estesa (contenente una descrizione dei cookie utilizzati all’interno del sito nonché i collegamenti alle privacy policy delle terze parti): ciò è realizzabile facilmente con uno dei tanti plugin che, per l’appunto, consentono di mostrare all’utente un banner con l’obiettivo di raccogliere il suo consenso informato. 
Più complicato, invece, è realizzare il blocco (o caricamento asincrono) dei plugin e dei servizi di terze parti, per fare in modo che nessun cookie di profilazione venga installato sul terminale utente prima di aver ottenuto il consenso informato.

Blocco dei cookie, il web si divide

Due sono, a tal proposito, le correnti di pensiero: c’è chi evidenzia come la normativa sia poco chiara e, in alcuni punti, contraddittoria. Il titolare del sito, infatti, non avrebbe il pieno controllo di come le terze parti potrebbero utilizzare i dati degli utenti, raccolti tramite i cookie di profilazione. E, dunque, secondo un’interpretazione soft, non ci sarebbe nessun obbligo di blocco preventivo, ma soltanto quello di informare l’utente sulla tipologia di cookie utilizzati dal sito stesso (tecnici o di profilazione). 

L’Avvocato Romano, a tal proposito, non ha dubbi: è vietato installare qualsiasi tipo di cookie di profilazione, prima di aver ottenuto il consenso dell’utente. Ma come può essere ottenuto tale Consenso informato o implicito?
In realtà, non è necessario che l’utente clicchi sul banner per poter acquisire il suo consenso. Come illustra l’esperto di privacy, infatti, “ai fini dell’acquisizione del consenso, è comunque necessario che il visitatore superi il banner informativo attraverso un ‘intervento attivo’ come, ad esempio, il clic ad elementi sottostanti il banner stesso (qualora esso sia posizionato al centro della pagina web) o comunque presenti nel sito”. 

Facciamo un esempio pratico, rapportandolo anche in questo caso all’ambito turistico: se il sito di un bed and breakfast presenta al suo interno dei video YouTube che, però, installano cookie soltanto nel momento in cui vengono avviati, il titolare non starebbe violando la normativa, in quanto l’utente ha compiuto un intervento attivo sul sito (e, a tal proposito, secondo alcuni il semplice scrolling all’interno della pagina potrebbe essere considerato intervento attivo). Dunque, i cookie potrebbero essere installati nel momento in cui l’utente sceglie di proseguire nella navigazione. 

Il caso turistico: le principali criticità

Abbiamo visto come i principali plugin di terze parti potrebbero installare cookie di profilazione sul terminale utente, citando come esempio pratico le mappe di Google Maps. Un sito turistico che desideri, quindi, mostrare la localizzazione della propria attività potrebbe per esempio decidere di richiedere un intervento utente (un clic su una voce di menu) per avviare la visualizzazione della mappa, esattamente come avviene nel caso di un video YouTube o Vimeo. Un sito turistico, però, ha l’onere di gestire anche dati personali (richieste di prenotazione, guestbook e recensioni, o contatti di altra natura) ed è dunque indispensabile dettagliare anche la privacy policy (oltre che la cookie policy). Ogni form presente sul sito dovrà essere dotato di una checkbox volta ad acquisire il consenso dell’utente e la sua accettazione della privacy policy. 
Lo stesso vale per l’iscrizione alla newsletter e la registrazione al sito al fine di salvare le proprie preferenze o accedere alla propria area personale per gli scopi più svariati.