Normativa sui cookie, ecco le istruzioni

La normativa sui cookie emanata dal Garante della Privacy l’8 Maggio 2014 e pubblicato in Gazzetta Ufficiale n. 126 del 3 Giugno 2014 entrerà in vigore tra meno di due mesi per cui sarà necessario mettersi in regola, vediamo come.

Secondo il Garante è necessario che gli utenti siano consapevoli dei cookie che vengono utilizzati da ciascun sito web italiano, soprattutto quando i cookie vengono utilizzati per finalità di profilazione o comunque di marketing.

In ottemperanza alla direttiva 2009/136/CE del 25 Novembre 2009 il Garante Privacy ha approvato la nuova regolamentazione sull’utilizzo dei cookie all’interno delle pagine web.

I cookie, solitamente presenti nei browser degli utenti in numero anche molto elevato e, a volte, con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

Al fine di giungere ad una corretta regolamentazione dei cookie in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, il Garante ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice Privacy).

Si individuano pertanto due macro-categorie: cookie “tecnici” e cookie “di profilazione“.

Cookie tecnici

I cookie tecnici sono quelli utilizzati al solo fine di «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’utente a erogare tale servizio» (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Cookie di profilazione

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l’art. 122 del Codice laddove prevede che «l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3» (art. 122, comma 1, del Codice).

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che l’amministratore del sito potrà fornire con le modalità che ritiene più idonee.

I siti web che usano cookie di profilazione dovranno ottenere l’esplicito consenso dell’utente-lettore prima di utilizzarli visualizzando una informativa breve all’apertura di una qualunque pagina del sito medesimo. Chiunque utilizzi cookie di profilazione propri o di terze parti (ad esempio Google AdSense) viene imposto di esporre l’informativa in modo visibile.

L’amministratore di qualunque sito web (impresa o privato) che utilizza cookie di profilazione dovrà:

1. visualizzare l’informativa breve che spiega all’utente l’utilizzo dei cookies di profilazione (propri o di società terze);
2. l’informativa breve dovrà visualizzarsi su qualunque pagina utilizzata dall’utente-lettore come landing (ingresso);
3. l’informativa potrà comparire in alto, in basso o al centro basta che sia ben visibile e chiara;
4. dovrà essere presente un riferimento all’informativa estesa nella quale vengono elencati tutti i cookies utilizzati dal sito e le relative caratteristiche;
5. i cookie di profilazione non dovranno essere caricati contestualmente alla visualizzazione dell’informativa breve (in altre parole, non si potrà caricare, ad esempio, il codice di Google AdSense o di altri circuiti similari) ma solo successivamente all’accettazione esplicita;
6. l’informativa breve potrà contenere le modalità di accettazione tipo che la chiusura dell’informativa stessa o la prosecuzione della navigazione su altre pagine del sito comporterà l’accettazione della stessa e, di conseguenza, l’automatico caricamento dei cookies di profilazione;
7. il consenso dell’utente-lettore (chiusura dell’informativa o clic su elementi esterni alla stessa) dovrà essere tracciato dall’amministratore del sito web utilizzando un cookie tecnico. In questo modo, l’editore è dispensato da successive ulteriori visualizzazioni dell’informativa.

Il banner contenente l’informativa breve e la richiesta di consenso.

Nel momento in cui si accede alla home page o ad altra pagina di un sito web, deve immediatamente comparire un banner di idonee dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando, contenente le seguenti indicazioni:

• che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
• che il sito consente anche l’invio di cookie “terze parti” (laddove ciò accada);
• il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, in cui ci sarà la possibilità scegliere quali specifici cookie autorizzare;
• l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
• l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

E’ necessario tener traccia dell’avvenuta prestazione del consenso (tramite cookie tecnico).

L’informativa estesa.
L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell’informativa breve ed anche su ogni pagina del sito (footer).

Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

Notifica del trattamento.
I cookie di profilazione sono soggetti all’obbligo di notifica al Garante.

La scadenza per mettersi in regola è il 3 Giugno 2015.

Per approfondimenti: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884