Perché è importante curare la Cookie Policy? E il GDPR si applica?

Come nella favola di Pollicino, i cookie sono delle “briciole di pane” che noi lasciamo durante la nostra navigazione e che vengono salvate sui nostri dispositivi (personal computer, tablet, smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni). Grazie a queste informazioni, i siti web che abbiamo visitato possono farci riprendere la navigazione da dove l’avevamo lasciata (per esempio facendoci trovare nel carrello tutto quello che avevamo scelto prima di sospendere l’acquisto, le impostazioni della lingua e così via).

Queste briciole, tuttavia, servono anche (e soprattutto) a profilare gli utenti di un sito (e magari a comunicare queste informazioni a terze parti).

I cookie, in particolare, sono strumenti di profilazione attiva.

Per questo motivo:

1. È importante selezionare con cura quali cookie rilascia un sito (per esempio un E-commerce rilascerà dei cookie diversi da un Blog)
2. È altrettanto importante che dell’esistenza di tali cookie e della relativa Policy sia debitamente informato l’utente. 

Per nostra fortuna, il Garante della Privacy ha finalmente dettato le linee guida a cui si deve ispirare chi gestisce un sito web.

In particolare, il Garante si è soffermato sull’applicazione dei principi del GDPR agli strumenti di tracciamento.

Vediamoli nel dettaglio!

Gli strumenti di tracciamento diversi dai Cookie (come il fingerprinting)

Non di soli Cookie vivrà un sito web!

Per il Garante, anche strumenti di profilazione passiva come il fingerprinting “devono … essere ricompresi nell’ambito di applicazione delle presenti Linee guida” 

Per fingerprinting si intende “quella tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato”.

In altre parole, l’utente viene profilato senza saperlo e senza che possa fare nulla per evitarlo.

Per questo motivo, dato che per il GDPR l’utente deve sempre avere la possibilità di revocare il consenso prestato (articolo 7, comma 3), il gestore dovrà essere molto prudente se decide di affidarsi a queste tecniche di profilazione passiva.

Varie classificazioni dei Cookie e degli strumenti di tracciamento

Quando si parla di strumenti di tracciamento non è solo una questione di durata (di sessione o permanenti) o di Cookie di prime e di terze parti.

La distinzione che interessa ai fini di legge e “alle esigenze di tutela della persona”, ci dice il Garante, riguarda:

• i cookie tecnici, fra i quali sono ricompresi i cookie analytics, per i quali, al verificarsi di determinate condizioni, non è necessaria la richiesta del consenso
• i cookie di profilazione, per i quali, invece, deve essere espressamente ottenuto l'esplicito consenso dell’utente.

Per i cookie di profilazione, in particolare, risulta applicabile l’articolo 25 del GDPR (con i suoi principi della Privacy by Default e della Privacy by Design) e quindi “[i]l rispetto di tali regole impone ... che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione”.

Le modalità per l’acquisizione del consenso online

Il GDPR ha sancito, in materia di Privacy, regole rigorose per quanto riguarda l’acquisizione del consenso.

In particolare, il considerando 32 ci dice che: “non dovrebbe … configurare consenso il silenzio, l’inattività o la preselezione di caselle”.

Queste regole, ci dice il Garante, si applicano anche alla Cookie Policy.

Per questo motivo, egli ribadisce che:

1. Lo scrolling, come altre modalità alternative di espressione del consenso all’uso dei cookie, non sono sufficienti, a meno che “siano realizzate … in modo tale da rendere inequivoco anche per l’utente l’effetto finale prodotto dalla propria azione”;
2. Il meccanismo del cookie wall, che si ha quando l’utente deve scegliere tra accettare i cookie in blocco, o interrompere la navigazione e non accedere in alcun modo ai contenuti del sito, “è da ritenersi illecito”.

Il gestore, dunque, deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.

È opportuno reiterare la richiesta di consenso?

Spesso accade che tornando su un sito web già visitato in precedenza questo ci chieda di nuovo di accettare la Cookie Policy.

Questa prassi non solo danneggia la user experience, ma è soprattutto inutile dal punto di vista legale!

Il consenso correttamente acquisito ai sensi della normativa del GDPR, infatti, deve essere nuovamente richiesto solo:

• “all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto”;
• “quando sia impossibile avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato. Ad esempio, nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo e il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso”.

Cosa accade se il dominio è scaduto e un altro soggetto lo ha acquistato?

Il termine “acquisto” del dominio, purtroppo, rischia di essere fuorviante, in quanto acquistare un dominio non significa che questo appartiene all’acquirente, ma semplicemente che questi lo può utilizzare per un determinato periodo di tempo (solitamente un anno). Se questo “noleggio” non viene rinnovato, infatti, chiunque potrà acquistare quel dominio, registrarlo e farne quello che preferisce, con conseguenze che possono andare dal danno d’immagine al vero e proprio furto d’identità!

Quando si parla di dominio di un sito web, per la precisione, ci si riferisce solitamente alla combinazione di un

• dominio di secondo livello (costituito solitamente dal brand per il quale si vuole essere riconosciuti e che può essere un nome proprio o di fantasia, o un marchio registrato);

con un

• dominio di primo livello, il quale a sua volta può essere
  • un ccTLD (country code top-level domain) come il classico .it per l’Italia;
  • un gTLD (generic top-level domain) come i vari .com, .org, .net, .eu e così via.

Quando si crea un sito web, dunque, la prima cosa è la scelta del dominio di secondo livello e il successivo acquisto della sua combinazione con i vari domini di primo livello. Per esempio: per il sito di Fabio Rossi, costui probabilmente acquisterà i domini fabiorossi.it, fabiorossi.com e così via.

Il mancato rinnovo del dominio e le sue possibili conseguenze

La mancata rinnovazione di un dominio può arrecare non pochi fastidi soprattutto a coloro che hanno registrato un dominio a loro nome o, ancor meglio, inserendovi un marchio registrato.

In questi casi, può accadere che questi domini vengano acquistati da altri soggetti, i quali potrebbero utilizzarli:

• per finalità che nulla hanno a che vedere con il dominio o il suo precedente proprietario. Un classico esempio è quello di un dominio del tipo mariobianchi.com o marchioregistrato.eu, al quale viene associato un sito web russo, con le scritte in cirillico, che parla di un argomento che non c’entra nulla con il vecchio sito,

oppure, ed è lo scenario peggiore 

• per sfruttare il nome o il marchio contenuto nel dominio, 
  1. o al fine di trarne un profitto (magari pretendendo una sorta di riscatto per la reintestazione al vecchio proprietario),  
  2. o, ancor peggio, per porre in essere veri e propri reati che vanno dalla truffa al furto d’identità, passando per innumerevoli altre fattispecie criminose la cui responsabilità, almeno apparentemente, ricadrebbe sullo sfortunato soggetto ex proprietario del dominio.

Cosa fare in caso di acquisto del dominio scaduto da parte di terzi?

Il primo caso è quello che presenta le maggiori insidie, in quanto spesso si presenta il seguente scenario:

• l’identità del nuovo proprietario è sconosciuta;
• il Registrar, ovvero la società presso cui è stato registrato l’acquisto (o, per meglio dire, il “noleggio”) del dominio, è situata all’estero in un paese extra UE;
• il server presso cui è ospitato il nuovo sito web associato al dominio è anch’esso situato all’estero in un paese extra UE.

In questi casi, la soluzione più semplice appare quella di incaricare una web house del recupero del dominio tramite un’offerta al nuovo proprietario.

Questo perché l’unica alternativa plausibile, dall’esito tutt’altro che scontato, appare quella dell’arbitrato internazionale, i cui costi (esclusi i costi fissi) appaiono difficilmente preventivabili.

Il secondo caso, invece, pone problemi diversi, poiché solitamente si è di fronte a degli illeciti che possono essere o civili, o penali. 

Potrebbe infatti accadere che chi ha acquistato il dominio scaduto voglia:

• sfruttare illecitamente un marchio famoso per ottenere un vantaggio personale, come nel caso deciso nel 2020 dalla corte di Cassazione nel caso Grazia contro grazia.net;
• utilizzare l’identità associata al dominio per commettere dei reati come, per esempio, la vendita di merci contraffatte;
• compiere attività di cybersquatting o domain grabbing.

In questi casi, dunque, appare opportuna l’assistenza di un legale in modo da individuare quali sono state le condotte poste in essere dal nuovo proprietario del dominio ed attivarsi con le relative tutele.

Anche in questo caso, tuttavia, bisogna stare attenti, perché se il dominio non rinnovato è composto da un gTLD (generic top-level domain), ben si potrebbe ripresentare lo scenario da incubo di cui si è detto poco sopra.

Se, invece, il dominio di primo livello è il classico .it, sarà possibile intraprendere azioni legali in Italia, o quantomeno in Europa, e sarà sicuramente più agevole fare un preventivo dei costi e, magari, anche degli esiti.

Conclusioni

Come dice il saggio: “prevenire è meglio che curare”.

Se avete dei domini di secondo livello con il vostro nome, o il vostro marchio, verificate se quelli con un dominio di primo livello generico sono liberi, contattate la vostra web house ed acquistateli subito!

Se invece questi domini sono già in vostro possesso, non commettete la leggerezza di non rinnovarli!

» l'autore

Quali vantaggi per il professionista?

È opportuno consolidare la propria presenza sul web attraverso la creazione e l'ottimizzazione di un profilo GMB per la Local SEO?

L’insieme delle attività collegate alla ottimizzazione sui motori di ricerca dei risultati locali (es. “Avvocato divorzista Firenze”, “Dentista Rossi Rovigo”) vengono chiamate in gergo Local SEO. In questo contesto, Google My Business è un servizio gratuito e di semplice utilizzabilità fornito da Google per segnalare la presenza di una determinata attività sul territorio (e quindi anche di una specifica attività). 

Per coloro che non ne hanno mai sentito parlare, invece, basterà un’immagine per capire di che cosa stiamo parlando: 

Attraverso questa applicazione, dunque, il professionsta è in grado di fornire le seguenti informazioni:

• L’indirizzo dello studio (comprese le indicazioni stradali integrate con Google Maps)
• Il suo contatto telefonico (rendendo così estremamente facile il contatto con il potenziale cliente)
• Il collegamento al suo sito web (la cui presenza, oggi, dovrebbe darsi per scontata)
• Gli orari di apertura e di chiusura
• Ulteriori informazioni sullo studio e sulle proprie aree di competenza (per questo è previsto uno spazio da riempire con un massimo di 750 caratteri)
• Le foto (!) del professionista e dello studio

Fornendo queste informazioni, infatti, il potenziale cliente che cerchi su Google il nome del professionista o della sua attività troverà sicuramente quello che cerca e, così, potrà:

• senz’altro procedere al contatto;

oppure

• andare sul sito web del professionista per verificare se questi possiede o meno le competenze richieste (si pensi al caso classico del potenziale cliente arrivato con il passaparola).

Attraverso il proprio profilo GMB, infine, sarà possibile:

• Gestire le recensioni
• Controllare le statistiche:
  • numero di telefonate ricevute
  • numero di accessi al sito
  • parole chiave che hanno condotto un potenziale cliente alla vostra scheda

Come fare per creare un profilo GMB?

Per poter usufruire dei servizi offerti da Google My Business è necessario accedere con l’account Google (Gmail) del professionista o della sua attività. Qualora questo non esistesse nessun problema: è possibile crearlo gratuitamente.

Completata la registrazione e inserite le informazioni richieste, Google procederà a verificare che l’indirizzo sia quello corretto e, per farlo, provvederà all’invio di una “cartolina”, nella quale sarà contenuto un codice numerico di cinque cifre.

Una volta arrivato il codice di verifica, questo andrà inserito accedendo al proprio profilo GMB per completare l’attivazione della scheda.

E se Google ha già creato il mio profilo GMB?

Prima di procedere con la registrazione di una nuova scheda GMB, occorre verificare che Google non abbia già creato il vostro profilo di sua iniziativa. Potrebbe apparire strano, ma Google ha tutto l’interesse (e le informazioni!!) per farlo, in quanto è suo primario interesse quello di fornire risposte utili a chi lo utilizza.

Se la scheda dovesse già esistere, nessuna paura, sarà possibile validarla e sistemare tutte le informazioni.

In questo caso, in particolare, vista anche la grave situazione sanitaria causata dalla pandemia da COVID-19, per validare il profilo basterà una telefonata o un’e-mail a seconda delle informazioni già in possesso di Google.

Per fare un esempio: se Google ha già creato la vostra scheda inserendo il numero di telefono, il codice di verifica vi sarà (in diretta) comunicato per telefono da Google.

Conclusioni

Come si è avuto modo di vedere, la creazione di un profilo GMB comporta numerosi vantaggi per il professionista.

Questa attività, tuttavia, non è da sola in grado di sostituire un piano di comunicazione integrato, realizzato con una Web Agency, il quale preveda, tra gli altri:

• la realizzazione di un sito web che valorizzi le specifiche competenze dello studio (magari integrato con un solido progetto SEO) 
• la creazione di un blog e di un piano editoriale ideato per fornire contenuti sempre aggiornati ed utili per i potenziali clienti
• una newsletter, per comunicare aggiornamenti e notizie
• l’utilizzo dei social network: non di tutti ovviamente, ma di quelli più adatti (si pensi a LinkedIn, ma non solo) a trasmettere i contenuti del sito ed a raggiungere i potenziali clienti.

» l'autore

Perché devo curare gli aspetti legali del mio e-commerce?

La realizzazione di un e-commerce di successo dipende inevitabilmente dalla qualità del sito, dalla sua capacità di intercettare traffico sfruttando il search intent e, soprattutto, dalla user experience (dalla navigabilità del sito alla sua velocità, passando per la realizzazione di contenuti di ottima qualità).

È la combinazione di questi elementi, che non sono peraltro i soli, a determinare il successo di un progetto web di e-commerce.

Tutto questo lavoro, tuttavia, non può e non deve prescindere da un'attenta valorizzazione degli aspetti legali che la realizzazione di un sito web inevitabilmente comporta, in quanto, in sua assenza: 

1. ci si espone al rischio di ricevere di sanzioni: il Garante Privacy e l’AGCM (Autorità Garante della Concorrenza e del Mercato), se il sito non è a norma, hanno sanzionato numerosi siti e-commerce con sanzioni che possono arrivare a 30 - 40.000 euro;
2. si fornisce una pessima User Experience, perché l’utente non trova le informazioni che gli sono necessarie e che sa di dover trovare su un sito e-commerce (come la privacy policy aggiornata, per esempio).

Cosa occorre, dunque, per avere un sito a norma?

I quattro requisiti per avere un e-commerce a norma di legge

Gli aspetti legali che devono essere messi in regola sono:

• Condizioni generali di vendita
• Privacy policy
• Cookie policy
• Pagine del sito

Le condizioni generali di vendita

Quando si vende beni o servizi al pubblico, non è pensabile che il venditore (in questo caso il gestore dell’e-commerce, o merchant) stipuli un contratto personalizzato con ogni singolo cliente.

Per questo motivo, per la vendita al pubblico effettuata tramite un e-commerce, il contenuto del contratto di compravendita è integrato dalle clausole condizioni generali di vendita, uguali per tutti gli utenti, i quali ne dovranno pertanto accettare il contenuto prima di completare l’acquisto.

In particolare, queste dovranno sempre contenere le seguenti informazioni:

• Dati del venditore;
• Limitazioni alla consegna; 
• Garanzia legale;
• Strumenti e modalità di pagamento;
• Diritto di recesso modalità per i rimborsi;
• ODR (acronimo di Online Dispute Resolution), i quali, peraltro, permettono di risolvere in modo informale e poco costoso eventuali controversie (soprattutto con clienti stranieri).

A questo documento, inoltre, sarà applicabile la disciplina posta a tutela del consumatore ed in particolare quella relativa:

• agli obblighi informativi del merchant;
• alle clausole vessatorie.

Per questi motivi è consigliabile che la redazione delle condizioni generali di vendita avvenga su misura con riguardo alle necessità del singolo e-commerce.

Privacy Policy e GDPR

Nella società dell’informazione, i dati personali sono diventati una vera e propria merce e per questo sono soggetti ad una specifica disciplina.

Come noto, il Regolamento (EU) n.2016/679 (meglio conosciuto come GDPR) ha introdotto i seguenti principi regolatori del trattamento dei dati personali:

• Privacy by design, per il quale il rispetto e la gestione dei dati personali dell’utente deve essere al centro di ogni progetto commerciale (ed in particolare di un progetto web);
• Privacy by default, per cui chi gestisce i dati lo deve fare solo per quelli necessari alle proprie finalità e solamente per il periodo strettamente necessario a dette finalità.

Di conseguenza, per evitare sanzioni da parte del Garante, il modulo Privacy andrà personalizzato in base alle necessità del singolo e-commerce, con riferimento in particolar modo al remarketing, alla newsletter e alla profilazione degli utenti.

Cookie Policy

Chi naviga su un sito e-commerce inevitabilmente rilascerà dei cookie, ovvero delle tracce del suo passaggio, i quali serviranno a rendere più agevole la sua navigazione.

Un esempio classico sono i cookie tecnici che salvano il contenuto del carrello: in loro assenza, infatti, questo verrebbe continuamente alterato ad ogni click.

Per questo motivo, nel sito deve essere inserita la cookie policy e l’utente deve essere informato della possibilità di disattivare i vari cookie.

La sua assenza, ancora una volta, espone al rischio di sanzioni.

Per fortuna esistono numerose piattaforme di servizi che consentono di mettere in regola i cookie e la cookie policy a costi molto contenuti e, talvolta, gratuitamente.

Pagine del sito

Un’ultima considerazione va spesa in relazione alle pagine del sito web che presentano aspetti legali di rilievo:

• il footer, il quale è visualizzabile su tutte le pagine del sito, deve contenere tutte le informazioni del venditore (in particolare l’indirizzo pec);
• le pagine relative alla Cookie Policy, alla Privacy Policy e alle condizioni generali di vendita, devono essere facilmente raggiungibili tramite links interni;
• le pagine che conducono l’utente all’acquisto devono contenere le varie formule di accettazione (per esempio quella relativa alle condizioni generali di vendita);
• le schede prodotto, il cui contenuto evidentemente non è soggetto solo alle regole del marketing, le quale devono essere veritiere e non ingannevoli.

Conclusioni

La valutazione degli aspetti legali di un e-commerce durante la sua realizzazione, oltre a proteggere il merchant da inutili rischi, conferisce valore aggiunto al sito web, migliorandone in particolar modo la user experience.

Se davvero si vuole competere con colossi come Amazon o Alibaba, la cura dei dettagli è la chiave per il successo, perché come ha scritto Sun Tzu: “Se conosci il nemico e te stesso, la tua vittoria è sicura”.

» l'autore