Normativa sui Cookie

Dal 3 giugno 2015 entrerà in vigore la nuova legge approvata dal Garante per la Privacy italiano e pubblicata in Gazzetta Ufficiale il 3 giugno 2014.

Riassumendo in poche parole e cercando di evitare polemiche sull'opportunità di questa legge, la nuova normativa obbliga i gestori di siti web a richiedere agli utenti l’autorizzazione per l’utilizzo dei cookie cosiddetti “di profilazione” (prima che l’attivazione avvenga). Per assicurare la conformità con la nuova normativa sarà necessario adottare modelli di informativa chiari e che permettano all’utente di esprimere il proprio consenso riguardo l’archiviazione dei cookie.

Entrando più nel dettaglio, la normativa sui cookie viene applicata a tutti i siti indipendentemente dal terminale utilizzato per la consultazione. Essa inoltre distingue chiaramente tre tipologie di cookie:

  1. cookie tecnici: sono quelli utilizzati dal gestore del sito per garantire ed agevolare la normale navigazione e fruizione del sito (consentendo, ad esempio, di autenticarsi per accedere ad aree riservate, di salvare prodotti nel carrello, ecc.) e per raccogliere informazioni in forma aggregata sugli utenti.
  2. cookie analitici, assimilati ai cookie tecnici, utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso.
  3. cookie di profilazione: sono quelli utilizzati dal sito web per raccogliere dati personali sui visitatori, grazie a cui verranno costruiti profili dettagliati degli utenti sfruttabili a fini di marketing.

Prima che l’utente esprima il proprio consenso, nessun cookie (ad eccezione di quelli tecnici) può essere attivato. In questo senso il Garante per la Privacy ha specificato che i cookie che necessitano di un preventivo consenso dell’utente per l’attivazione sono tutti quelli non tecnici quindi in particolare tutti i cookie di profilazione pubblicitaria di prima o terza parte, cookie di social network e cookie di statistica gestiti completamente da terze parti.

Ci sono categorie di cookie relativi ad "analytics" esenti dall’obbligo di consenso: cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazione da parte di terzi e cookie gestiti da terza parte in relazione ai quali la terza parte non possa accedere ai dati in forma disaggregata (Google Analytics).

Il Garante specifica inoltre l’obbligo per i gestori dei siti di prevedere due livelli di approfondimento per l’utente qualora egli ritenga necessario ottenere maggiori informazioni riguardo alla modalità di gestione dei cookie del sito su cui sta navigando: un’informativa breve a comparsa immediata direttamente sulla pagina tramite cui l’utente accede al portale (preferibilmente un banner dinamico che catturi l’attenzione dell’utente) e un’informativa estesa, raggiungibile tramite link inserito all’interno dell’informativa breve e tramite link presente in ogni pagina del portale.

L’informativa estesa dovrà contenere:

  •    Riferimenti all’art. 13 D.Lgs. 196/2003;
  •    Definizione in generale di cosa sono i cookie e della gestione degli stessi tramite le impostazioni del browser;
  •    Breve descrizione di come l’utente può prestare il consenso;
  •    Descrizione dei cookie tecnici suddivisi per finalità;
  •    Descrizione dei cookie di profilazione di prima parte con relativo modulo di consenso;
  •    Descrizione dei cookie di profilazione di terza parte con link all’informativa e link al sito degli intermediari.

Per quanto riguarda le sanzioni, queste potrebbero andare da 6 mila a 36 mila euro per informativa omessa o non idonea, da 10 mila a 120 mila euro per l’uso di cookie di profilazione senza consenso dell’utente e, caso più grave, da 20 mila a 120 mila euro per comunicazione omessa o incompleta al Garante.

Se avete necessità di assistenza tecnica per l’implementazione del provvedimento Non esitare a contattarci