Privacy sul web: dal 2 Giugno nuove regole per i cookie

Nuova legge sull’utilizzo dei cookie: il Provvedimento del Garante per la protezione dei dati personali n. 229/2014, relativo all’”individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, diventerà obbligatorio dal 2 Giugno 2015.

Il Provvedimento mira a rendere effettivi e concreti i principi di protezione dei dati, la trasparenza dei trattamenti e l’esercizio dei diritti degli utenti.

Ambito di applicazione

Il Provvedimento si applica a tutti i siti, inclusi quelli responsive, e alla loro navigazione da qualsiasi terminale/device utilizzato.

Cosa sono i cookie

I cookie sono dei piccoli file di testo che i siti inviano al terminale (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti, ma anche per la raccolta di dati su gusti, abitudini e scelte personali, in modo da ricavare dettagliati profili dei consumatori.

Cookie tecnici e cookie di profilazione

Ai fini dell’applicazione del Provvedimento, il Garante ha individuato due macro-categorie di cookie: i cookie tecnici e i cookie di profilazione.

I cookie tecnici comprendono:

  • i cookie relativi ad attività strettamente necessarie al funzionamento e all’erogazione del servizio;
  • i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione (ad esempio, i cookie flash player se non superano la durata della sessione, i cookie di salvataggio del carrello o delle preferenze sulla lingua/valuta);
  • i cookie di statistica, laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata.

I cookie tecnici non necessitano di un preventivo consenso dell’utente.

I cookie di profilazione includono:

  • i cookie di profilazione pubblicitaria di prima o terza parte;
  • i cookie di retargeting;
  • i cookie di social network;
  • i cookie di statistica gestiti completamente dalle terze parti.

I cookie di profilazione necessitano di un preventivo consenso dell’utente.

Cookie di prime e di terze parti

Il Garante ha altresì distinto tra cookie di prime e terze parti. Le prime parti sono l’editore o il gestore del sito. Le terze parti sono, invece, tutti gli altri soggetti che installano un cookie tramite la prima parte. E nel mondo di Internet, queste terze parti sono molto numerose, tant’è che non sempre gli editori sono in grado di conoscerle.

Informativa breve e informativa estesa

Al fine di non ostacolare la continuità di fruizione dei siti, il Garante ha distinto tra informativa breve e informativa estesa.

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite cui l’utente può accedere al sito), integrata da un’informativa “estesa”, a cui si accede sia attraverso un link inserito nell’informativa breve, che attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, ma occorre inserire l’informativa estesa per fornire informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito.
Qualora il sito utilizzi anche cookie di profilazione, occorre invece mostrare l’informativa breve tramite un banner dinamico che deve avere, preferibilmente, le seguenti caratteristiche:

  • dimensioni tali da renderlo facilmente visibile o, in alternativa, espandibile;
  • caratteri (font) più evidenti rispetto a quelli del sito;
  • un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso.

Dall’informativa breve, così come da un link presente su ogni pagina, l’utente potrà poi accedere all’informativa estesa.

Sanzioni previste

Il mancato rispetto del Provvedimento in oggetto può comportare severe sanzioni secondo quanto previsto dal D. Lgs. n. 196/2003. Nello specifico, in caso di:

  • omessa informativa o di informativa non idonea è prevista una sanzione (art. 161 del Codice) per una somma compresa fra i 6.000 e 36.000€;
  • installazione dei cookie sui terminali degli utenti senza il loro preventivo consenso è prevista una sanzione (art. 162, comma 2-bis, del Codice) per una somma dai 10.000 ai 120.000€;
  • omessa o incompleta notificazione al Garante è prevista una sanzione (art. 163 del Codice) per una somma dai 20.000 ai 120.000€.