Cookies’s recipe
A soli 3 giorni dalla deadline per l’applicazione della normativa in materia di cookies, ecco accorrere in soccorso – in particolar modo dei piccoli gestori- il Garante della Privacy, con un provvedimento datato 5 giugno 2015.
Ecco, dunque, la ricetta da seguire per degli ottimi cookies a prova… di Legge.
Ingredienti:
- “cookie” = sono righe di testo usate per eseguire alcune operazioni, in modo automatico, in
- “cookies tecnici” = sono i cookies che servono ad effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookies, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure.
- “cookies analitici” = sono quelli che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso.
- “cookies di profilazione” = sono i cookies utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, etc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online. Questi possono essere di Prime Parti (ossia gestiti direttamente dal titolare del sito) o di Terze Parti.
Dosaggio:
- I siti che non utilizzano Cookies (che non consentono, cioé, l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso ad informazioni già archiviate) non sono (ovviamente) soggetti agli obblighi previsti dalla normativa in materia.
- I siti che fanno uso di Cookies esclusivamente tecnici hanno l’obbligo di indicare (si badi bene, in maniera espressa) tale utilizzo nell’informativa estesa (sulla Privacy), senza, però, necessità di inserire il banner (ossia l’informativa breve) e senza obblighi di notifica al Garante[1].
- I siti che fanno uso di Cookies analitici possono essere assimilati a quelli che utilizzano cookies tecnici, laddove siano realizzati e utilizzati direttamente dal sito Prima Parte (senza, dunque, l’intervento di soggetti terzi). Si fa rilevare che tale trattamento viene riservato anche ai siti che utilizzano cookie analitici realizzati e messi a disposizione da Parti Terze (es. Google Anaytics) per meri fini statistici, non risultando, pertanto, “soggetti agli obblighi ed agli adempimenti previsti dalla normativa (notificazione al Garante in primis), qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP)”. Per l’impiego di tali cookies, é comunque richiesto che vi sia l’impegno della Parte Terza a utilizzarli esclusivamente per la fornitura del servizio, a conservarli e a non arricchirli o a non incrociarli con altre informazioni già in possesso.
Procedimento:
- I gestori dei siti Prime Parti che installino cookies di profilazione di Parti Terze, vengono identificati dal Garante come intermediari tecnici, in ogni modo coinvolti nel processo di raccolta dei dati di cui alla normativa in materia e, di conseguenza, obbligati:
- al posizionamento del banner idoneo a rendere il consenso documentabile;
- all’inserimento dei link aggiornati ai siti gestiti da Parti Terze “in cui l’utente potrà effettuare le proprie scelte in merito alle categorie ed ai soggetti da cui riceve cookie di profilazione”.
- Nel caso si utilizzino banner pubblicitari o collegamenti con social network, questi vanno identificati come semplici link a siti Parti terze non idonei ad installare cookies di profilazione[2], pertanto – ancora una volta – non generanti obblighi di informativa o di richiesta del consenso.
- L’obbligo di informativa (e di consenso) sorge solo laddove si scelga di fare uso di forme di pubblicità mirate alla profilazione mediante cookies degli utenti, piuttosto che di quelle non legate alle scelte di consumo degli stessi.
- “Le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali”.
Cookies Topper:
- Il banner deve essere sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente. Il Garante ha specificato che il consenso può essere raccolto anche tramite “accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link)” o mediante azioni di “scroll” e prosecuzione nella navigazione all’interno della medesima pagina web, le quali risulterebbero comunque idonee ad esprimere il consenso dell’utente.
- La normativa in oggetto é rivolta a tutti i siti che installino cookies sui terminali degli utenti, usando strumenti situati sul territorio dello Stato, a prescindere dalla presenza di una sede nel territorio dello stesso.
Avv. Anna Capoluongo
_____________________________________
[1] La notificazione dei cookie di profilazione (al contrario di quanto previsto per quelli tecnici) dovrà essere effettuata telematicamente (collegandosi a https://web.garanteprivacy.it/rgt/NotificaTelematica.php?h_mnu=NotificaTelematica) e comporterà il pagamento di spese di segreteria di circa 150,00€. Omettere questa notificazione esporrà i proprietari dei siti web a multe comprese tra 20.000€ e 120.000€. NB. E’ possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
[2] Ndr. Sempre consigliata la preventiva lettura delle policy Parti Terze per verificare se effettuino profilazioni.