Cookie… biscotti amari?

Cookie… biscotti amari?

Giu 12

cookieCome spesso accade sul web, da qualche tempo si sta diffondendo la paura, per chiunque gestisca o sia responsabile di un sito, di incorrere nelle temibili sanzioni previste dalla c.d. Cookie Law, vale a dire il provvedimento del Garante per la protezione dei dati personali dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” in attuazione della normativa europea da ultimo modificata nel 2009 e recepita in Italia con un decreto del 2012, che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo.

Anche alla luce dei chiarimenti dello stesso Garante del 05/06/2015 si può facilmente ridimensionare la portata del provvedimento, teso, soprattutto, a regolamentare i c.d. cookie di profilazione, quelli, cioè che creano un profilo delle abitudini dell’utente al fine di inviare comunicazioni pubblicitarie tarate sui suoi gusti e preferenze.

In realtà, escludendo i siti personali che non raccolgono dati destinati a una comunicazione sistematica o alla diffusione, cui non si applicano le disposizioni del c.d. Codice della Privacy, nella maggior parte dei casi, come si evince dalla tabella esplicativa elaborata dal Garante, sarà sufficiente adeguare l’informativa sulla privacy con espresso riferimento alla cookie policy. 

cookie tabella

Riepilogando, con le stesse parole del Garante:

• I siti che non utilizzano cookie non sono soggetti ad alcun obbligo

• Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.

• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.

• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:

A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);

B) la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispone.

• Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.

• Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).

• È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.

• Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

Nondimeno, al di là del fatto di non esservi obbligati per Legge, potrebbe essere opportuno dare comunque risalto, con un banner o un link evidenziato, alle informazioni sul trattamento dei dati personali del sito, nella prospettiva di una maggiore sensibilizzazione sull’utilizzo e il trattamento dei dati personali, soprattutto nel caso in cui il trattamento sfugga dal complessivo controllo del gestore del sito che si avvale di piattaforme o componenti (i c.d. plugin) di terze parti, quali, ad esempio, i pulsanti di condivisione sui social network.