La legge sui cookie in Italia e le regole per il corretto utilizzo dei cookie sono riportate in un provvedimento emanato dal Garante della Privacy l’8 maggio del 2014: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)”
Che cosa siano i cookie e a cosa servono lo abbiamo già spiegato in un precedente articolo, rispetto a quanto già scritto c’è da evidenziare che nel provvedimento il Garante distingue i cookie in due categorie: cookie tecnici e cookie di profilazione.
I cookie tecnici rendono possibile la navigazione e fruibile un servizio richiesto dall’utente, non vengono utilizzati per altre finalità e sono normalmente installati direttamente dal titolare del sito web. Sono i cookie di autenticazione e sessione senza i quali non sarebbe possibile o risulterebbe molto più complesso utilizzare le funzionalità del sito internet
ATTENZIONE per il Garante i cookie analytics non sono cookie tecnici
“Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.” http://www.garanteprivacy.it
I cookie di profilazione sono utilizzati per monitorare e profilare l’utente e le sue abitudine, la loro finalità è commerciale, ad esempio indirizzare una comunicazione pubblicitaria rispondente agli interessi dell’utente o fornire a terze parti informazioni sulle sue preferenze.
La distinzione tra cookie tecnici e di profilazione è fondamentale nel recepimento del provvedimento, infatti il consenso dell’utente per l’installazione dei cookie nel proprio dispositivo si rende necessario solo nel caso di cookie di profilazione per i cookie tecnici basta fornire l’informativa (art. 13 del Codice privacy) ad esempio con un apposito paragrafo nella Privacy Policy.
Quindi il titolare del sito, deve fornire un’informativa semplificata e richiedere il consenso all’uso dei cookie di profilazione, nel caso ne faccia uso, facendo apparire un banner (o altra forma di comunicazione) contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa” nella quale l’utente possa reperire tutte le informazioni sui cookie utilizzati e scegliere se e come autorizzarli, attraverso le impostazioni sul proprio browser (vedi articolo correlato).
Il Garante descrive dettagliatamente le caratteristiche che deve avere il banner:
permette altresì di utilizzare altri strumenti di comunicazione che però devono presentare “tutti i requisiti di validità del consenso richiesti dalla legge”.
Il titolare del sito può tenere traccia del consenso acquisito attraverso un apposito cookie tecnico in tal caso non sarà necessario riproporre l’informativa breve nelle successive visite da parte dello stesso utente purchè venga garantita la possibilità di negare o modificare il consenso in ogni momento garantendo facile accesso all’informativa estesa.
A tale scopo l’informativa estesa deve:
ATTENZIONE il titolare del sito che non utilizza cookie di profilazione non è obbligato al consenso ma in presenza di cookie di terze parti, in qualità di intermediario, deve redigere l’informativa estesa riportando nella stessa i link aggiornati alle informative e ai moduli di consenso delle terze parti coinvolte.
Infine solo i cookie di profilazione devono essere notificati al Garante della Privacy.
Il tempo per mettersi in regola sta per scadere entro il 2 giugno 2015 tutti i siti dovrebbero aver recepito le direttive.