Adeguamento alla normativa per i cookie

27/05/2015

Il 4 giugno 2014 il Garante della Privacy in base alle nuove disposizioni europee ha individuato le modalità semplificate per informare gli utenti sull’uso dei cookie all’interno dei siti web.

Il provvedimento si riferisce principalemente ai cookie di profilazione, sui quali deve essere richiesto il consenso da parte degli utenti alla loro installazione sui propri dispositivi e questo serve per dare la possibilità di manifestare un consenso libero e consapevole.

Il portale deve presentare all’utente un messaggio o un banner o quant’altro (informativa breve) la prima volta che entra (indipendentemente dalla pagina) nel quale viene linkata l’informativa completa e si comunica che il sito sta tracciando la sua navigazione specificandone i fini. Dalla seconda volta in poi, non sarà più necessario presentare questo banner.

Per ora in alcune interpretazioni sembrerebbe che non è richiesto un click esplicito per l’accettazione dei cookie di profilazione ma basta continuare la navigazione per accettare implicitamente i contenuti dell’informativa.

Comunque esistono diversi tipi di cookie:
I cookie tecnici come quelli di Google Analytics sembrano siano sono già stati autorizzati e basta inserire un’informativa sul sito quali sono utilizzati e per quale motivo senza richiedere informazione preventiva.  Sono quelli usati dalle piattaforme di Web Analytics o utilizzati dalle piattaforme web per migliorare l’esperienza di navigazione (ad esempio ricordano lingua o prodotti nel carrello) ma solo qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo. I cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik, non necessitano di consenso obbligatorio perché di pertinenza del sito.
I cookie di profilazione richiedono invece il consenso preventivo e un'adeguata informativa. Tali cookie sono utilizzati per creare profili relativi all’utente e vengono normalmente “usati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.
I cookie di terze parti sono utilizzabili ma è necessario offrire una descrizione di quali sta usando, come funzionano e perché vengono utilizzati in una pagina di informativa estesa. In questo caso si accetta che il sito web linki il detentore di queste informazioni, cioè la terza parte, per garantire le informativa necessarie.

Prima che il consenso venga fornito, nessun cookie, ad eccezione dei cookie tecnici, può essere installato e inoltre le informative devono essere linkate in tutte le pagine del sito.

La cookie policy non deve necessariamente prevedere una lista di tutti i cookie installati dal sito. Deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.

Qualora il titolare del sito installi e gestisca direttamente dei cookie non esenti dall’obbligo di consenso (come i cookie di profilazione) è necessario che all’interno della cookie policy sia possibile esercitare tale consenso.

Il Garante comunque chiede una notifica solo dei cookie persistenti che riguardano informazioni personali e i cookie tecnici non hanno bisogno di notifica.

L' articolo è nato per dare indicazione sulle nuove norme e non ci prendiamo responsabilità sulle scelte fatte sui cookie/portali perchè siamo in Italia e il dibattito in rete su cosa sia cookie di profilazione o richiesta preventiva è tuttora in corso, per cui se avete tali cookie (tipici in molti ecommerce) consigliamo di rivolgersi un avvocato specializzato.

Per maggiore informazione consultare anche il sito del Garante per la protezione dei dati: Cookie e privacy: istruzioni per l'uso