Assicurazioni e nuove tecnologie: Cookie law. Cosa cambia, in sintesi, per i portali web (anche assicurativi)

Eccoci dunque al via.
Fra mille perplessità degli operatori del mondo del marketing e del digitale entra oggi in vigore il provvedimento del Garante per la riservatezza dei dati personali nr. 229 dell’8 maggio 2014.
Poco più di un anno fa il Garante aveva infatti definito i punti cardinali di una nuova frontiera della tutela della riservatezza dei dati personali.
Tutto muoveva dalla presa d’atto che “I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”.
In quest’ottica è anzitutto fondamentale capire la summa divisio fra cookie tecnici e cookie di profilazione.
I primi – rilevava l’Authority –hanno la funzione di consentire alcune funzionalità tecniche del sito e possono a loro volta distinguersi secondo due criteri:
un criterio “finalistico”!
1. cookie strettamente necessari per la fruizione del sito ( es. : “salva nel carrello”)
2. cookie che consentono l’impostazione di alcune preferenze (es.: “scegli la lingua”
3. cookie di statistica (che monitorano il numero di accessi degli utenti e la frequenza degli stessi;
ed un criterio “temporale”
1. cookie di sessione/navigazione : che durano fintanto che il collegamento con il sito web persiste
2. cookie persistenti: la cui durata trascende quella della sessione stessa.
I secondi – invece – sono quelli quelli “volti a creare profili relativi all’utente” ed “utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.
Ciò posto il Garante affermava che in relazione al primo gruppo di cookie non sarebbe necessario chiedere un consenso dell’utente, laddove, per l’installazione dei cookie del secondo tipo rileva sempre la necessità di richiederlo preventivamente.
Come fare, quindi, per garantire un’ acquisizione consapevole del consenso dell’utente di un portale all’installazione di cookie sul proprio device?
Il sistema ideato è quello di un doppio livello di informazioni.
 
1. A) Anzitutto l’obbligo di presentare alcune informazioni in forma sintetica.
Il Garante suggerisce l’uso di un banner (pur sottolineando la liceità di modalità alternative) che riporti alcuni contenuti minimi, ovvero:
1. a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete
2. b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
3 .c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
4. d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
5. e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
1. B) In seconda battuta l’obbligo di implementare una “informativa estesa” che deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
Il provvedimento rimandava poi – per la sua entrata in vigore – ad un anno dopo.
Ovvero proprio lo scorso 3 giugno.
Fin qui la norma.
Va però utilmente segnalato che lo scorso 5 maggio alcune associazioni di categoria del mondo del marketing digitale e di quello della pubblicità (DMA Italia, Fedoweb, IAB Italia, Netcomm, UPA) hanno illustrato – alla presenza del Garante stesso e dopo un anno di lavoro con il Suo ufficio – un kit di implementazione della cookie law che spiega come districarsi fra le nuove regole.
Questa guida ha l’encomiabile merito di superare i dubbi circa talune opacità critiche del provvedimento originario nonché quello di proporre soluzioni pratiche per assicurare la compliance al nuovo regime autorizzativo.
Quali i principali passi avanti rispetto al testo regolamentare?
Proviamo a descriverli in rassegna:
1. viene offerto un modello di informativa breve da calibrare a seconda del tipo di cookie che vengono effettivamente in linea di conto;
2. viene indicato il riferimento ad un sito web (youronlinechoices.com) che offre uno strumento di gestione dei cookie, con l’avvertenza dei limiti dello stesso;
3. viene analiticamente chiarito quali cookie possano essere sussunti entro il paradigma della “profilazione”;
4. viene resa un’ indicazione più chiara di cosa debba intendersi per cookie c.d. analytics e quando questi possano assimilarsi ai c.d. cookie tecnici;
5. viene chiaramente indicato come gestire il rapporto fra il titolare del sito web e le terze parti che si avvalgono di questo sito per installare propri cookie.
Tanto il provvedimento del Garante quanto il kit di implementazione da esso avallato si chiudono con un importante memento: le sanzioni per la violazione di queste regole sono – di fatto – le stesse già previste in materia di violazione delle norme sulla riservatezza dei dati personali dal C.d. Codice della privacy.
Giova infine ricordare che allo scopo di districare ulteriormente i dubbi sulla materia è possibile consultare le faq che il Garante mette a disposizione sul proprio portale.
Sorge quindi spontanea la curiosità di chiedersi quanti, nel mondo telematico assicurativo abbiano già applicato correttamente le nuove regole.
Uno sguardo, anche distratto, ad alcuni portali web del comparto consente di capire che – ad onta di tante discussioni, chiarimenti, indicazioni – ad oggi c’è ancora un po’ di confusione su alcuni punti nevralgici della nuova regolamentazione.
Ci penserà il Garante?
Avv. Ivan Dimitri Calaprice