Entro il prossimo 3 giugno i siti internet che intendono adoperare cookie dovranno adeguarsi alla misure prescritte in materia dal Garante per la protezione dei dati personali con il provvedimento dell’8 maggio 2014.
Ma quante sono le imprese (o, meglio, i siti) in regola con le indicazioni del Garante? Al momento, per la verità, regna una grandissima confusione, incentivata da soluzioni “peculiari” adottate da alcuni operatori.
#elex è una rubrica a cura dello Studio Legale E-Lex – Belisario, Scorza, Riccio & Partners, si occupa di leggi, norme e aspetti legali che riguardano il mondo del digitale con particolare attenzione al tema della privacy e dei diritti degli utenti.Per consultare gli articoli precedenti, clicca qui.
Il provvedimento distingue gli adempimenti da porre in essere in relazione alla tipologia di cookie adoperati, vale a dire se si tratti di cookie “tecnici” o cookie di “profilazione”, nonché in relazione al soggetto che installa i cookie sul terminale dell’utente, vale a dire se si tratti del gestore del sito che l’utente sta visitando (c.d. editore) o un soggetto terzo che li installi tramite il primo (cc.dd. terze parti).
Sono qualificati come tecnici i cookie di navigazione (o di sessione), di funzionalità e analytics; questi ultimi sono considerati tecnici se adoperati dal gestore del sito per raccogliere dati, in forma aggregata, sul numero di utenti e su come questi visitano il sito.
Per l’installazione di tale tipologia di dispositivi il gestore del sito non dovrà acquisire uno specifico consenso da parte degli utenti, ma potrà limitarsi a fornire una specifica informativa in proposito, con le modalità che ritenga più opportune.
Al contrario, sarà necessario acquisire un valido consenso, dopo aver fornito una adeguata informativa, per l’utilizzo di cookie di profilazione, vale a dire cookie che consentono al titolare di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.
L’utilizzo di tali cookie dovrà inoltre essere notificato al Garante per la protezione dei dati personali ai sensi dell’art. 37, comma 1,lett. d), D.Lgs. 196/2003.
Per l’eventualità in cui il sito adoperi cookie di profilazione, il Garante ha previsto delle modalità semplificate per rendere l’informativa e acquisire il consenso dall’interessato, al fine di garantire agli utenti una scelta consapevole sulla installazione di tali dispositivi sul proprio terminale ma, al tempo stesso, di ridurre al minimo l’impatto sulla navigazione e sulla fruizione dei servizi telematici da parte degli utenti stessi.
L’informativa sull’utilizzo dei cookie potrà rendersi attraverso due livelli di approfondimento successivi: una prima informativa “breve”, contenuta in un banner presentato all’utente al momento dell’accesso al sito internet, e una informativa “estesa”, richiamata attraverso un link, dove l’utente potrà acquisire informazioni più complete e intervenire sugli eventuali consensi prestati.
L’informativa breve dovrà indicare:
– che il sito utilizza cookie di profilazione;
– che il sito consente l’invio di cookie di terze parti, qualora accada;
– un rinvio alla pagina dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie;
– che, proseguendo nella navigazione, l’utente presterà il consenso all’installazione dei cookie.
Tale modalità di acquisizione del consenso deve sostanziarsi in un’azione positiva, che può consistere in un click su un’immagine o un link, nell’accesso ad un’area del sito o in una qualsiasi azione che espliciti chiaramente tale manifestazione di volontà. In altri termini, non sarà sufficiente che l’utente prosegua nella navigazione dopo che è comparso il banner relativo all’utilizzo dei cookies.
Di tale manifestazione dei consenso il gestore del sito potrà conservare prova, avvalendosi eventualmente di un apposito cookie tecnico, evitando così di riproporre nuovamente il banner ad ogni ulteriore visita dell’utente.
Naturalmente, perché il consenso sia pianamente valido, deve essere prestato prima dell’inizio del trattamento dei dati, ossia prima che i cookie siano stati inviati. Ciò vuol dire che il sito deve garantire un momento nel quale nessun cookie non tecnico sia installato sul terminale dell’utente, prima che lo stesso abbia avuto modo di manifestare la propria preferenza.
Il Garante chiarisce che, qualora il sito installi cookie “di terze parti”, l’editore (vale a dire il gestore del sito) opererà rispetto a questi ultimi quale mero intermediario tecnico, per cui in tale veste renderà l’informativa ed acquisirà il consenso per conto del titolare.
A tal fine l’informativa estesa che illustra l’utilizzo dei cookie sul proprio sito dovrà contenere i link alle informative e ai moduli di consenso delle terze parti.
