La famosa cookie law, che ha messo in subbuglio il Regno Unito un paio di anni fa, alla fine è stata attuata anche in Italia attraverso il Provvedimento del Garante per la Protezione dei Dati Personali dell’8 maggio 2014. Dal 2 giugno 2015 i gestori di siti web che fanno uso di cookie sono obbligati a conoscerlo e rispettarlo.
Dobbiamo dire che una volta tanto la regolamentazione italiana è stata scritta con un certo giudizio, in modo da limitare il più possibile le beghe per i gestori. Purtroppo, però, sembra che molti siti italiani non si siano resi conto di questa semplicità, e si siano invece affrettati ad aggiungere banner (o, peggio ancora, dei meravigliosi popup) per avvertire i propri utenti dell’uso dei cookies. In realtà la maggior parte dei siti può cavarsela con pratiche molto più dignitose, meno gravose per i gestori e meno fastidiose per i visitatori.
La modalità di adeguamento alle nuove regole dipende dal tipo di cookie utilizzati, e dal soggetto fornitore del servizio che deposita un determinato cookie. Il Garante individua due tipi di cookie:
- cookie tecnici, che comprendono i cookie di sessione e qualsiasi cookie necessario ad autenticare un utente e a permettere attività specifiche sul sito, come per esempio la raccolta di prodotti nel carrello di un negozio online. Tra i cookie tecnici vengono anche inclusi i cookie depositati da software analitici, nel caso in cui i dati raccolti siano resi opportunamente anonimi e usati solo in forma aggregata. Si tratta, a nostro parere, del caso più comune, che richiede la soluzione più semplice: per rispettare le regole basta indicare la presenza di cookie nell’informativa sulla privacy. Non servono banner, non serve consenso esplicito, e la collocazione del link all’informativa è a discrezione del gestore del sito. Si può benissimo seguire l’esempio del Garante stesso, il cui sito usa solo cookie tecnici, di cui notifica i visitatori nella sua privacy policy, accessibile da un collegamento a piè di pagina
- cookie di profilazione, che sono volti a creare profili specifici di ciascun utente, e usati in particolare per inviare pubblicità mirata. In questo caso il visitatore deve non solo essere informato, ma deve aver la possibilità di esprimere un consenso. Il regolamento cita esplicitamente l’uso di banner o di altri dispositivi che costituiscano «una percettibile discontinuità nella fruizione dei contenuti della pagina web».
Il sito del Garante offre un grafico molto utile per individuare in modo semplice i vari casi e gli obblighi relativi. Per ricapitolare:
- se un sito non utilizza cookie, nulla è dovuto
- se un sito utilizza cookie tecnici, cookie analitici di prima parte1, oppure cookie analitici anonimi di terze parti basta renderne noto l’uso nell’informativa sulla privacy
- se un sito utilizza cookie analitici non anonimi di terze parti oppure cookie di profilazione di prima parte sono necessari l’informativa estesa, il banner per la richiesta di consenso esplicito, e anche la notifica al Garante
- se un sito utilizza cookie di profilazione di terze parti sono necessari solo l’informativa estesa e il banner per la richiesta di consenso esplicito (la notifica al Garante è invece a carico del soggetto che compie l’attività di profilazione).
Link utili sul sito del Garante
- Provvedimento 8 maggio 2014, «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie»
- Chiarimenti in merito all’attuazione della normativa in materia di cookie
- Cookie e privacy: istruzioni per l’uso
- Informativa e consenso per l’uso dei cookie: domande più frequenti
Nel caso di ulteriori dubbi, l’URP del Garante è a disposizione, e abbiamo verificato di persona che rispondono anche al telefono.
-
Ossia nel caso in cui il software statistico sia gestito direttamente da chi gestisce il sito stesso. Per quanto il software analitico più diffuso sia Google Analytics, esistono alternative che permettono ai gestori di mantenere il controllo sui propri dati e salvaguardare meglio quelli dei visitatori. Communikitchen usa Piwik. ↩︎