Tutto quello che devi sapere sulla Cookie Law [GUEST POST]

Una guida alla sopravvivenza per poter mantenere il proprio sito web online senza rischiare di incorrere in sanzioni

Questo articolo è stato scritto da Roberta Rapicavoli, avvocato che esercita l’attività nel settore della Privacy e dell’Information Technology. È una docente Ninja Academy.

A pochi giorni dall’entrata in vigore del provvedimento dell’8 maggio 2014 del Garante Privacy in materia di cookie, c’è ancora molta confusione e in tanti sono alla ricerca di una sorta di “guida alla sopravvivenza” per poter mantenere il proprio sito web online senza rischiare di incorrere in sanzioni.

Al di là dei provvedimenti ed interventi dell’Autorità Garante (disponibili qui) quali sono in concreto i passi da compiere per mettersi a norma o verificare di essere a norma?

1) Il titolare del sito web deve analizzare quali cookie sono utilizzati ed installati.

E’ necessario fare un esame dei cookie – o degli altri strumenti analoghi (come ad esempio web beacon/web bug o clear GIF) – utilizzati dal sito, prestando attenzione a distinguere:
i cookie di prime parti (installati direttamente dal titolare del sito) dai cookie di terze parti (installati da terzi attraverso il sito del titolare)
i cookie profilanti (volti a creare profili relativi all’utente ed utilizzati per l’invio di pubblicità mirata) dai cookie tecnici (quali sono quelli che garantiscono o agevolano la navigazione e fruizione del sito web e quelli che sono utilizzati direttamente dal titolare per raccogliere informazioni, in forma aggregata, sulle visite al sito).

2) In base all’analisi effettuata, il titolare del sito deve osservare alcuni adempimenti.

Gli adempimenti, tecnici e documentali, si differenziano a seconda dei cookie utilizzati.
In estrema sintesi:
Se il sito utilizza solo cookie tecnici, non è necessario il banner ed è sufficiente gestire le indicazioni sui cookie all’interno di apposita informativa (da rendere disponibile nel footer della pagina), oppure, come indicato dal Garante Privacy nelle FAQ di chiarimento, all’interno della policy privacy del sito web.
Esempio di sito che rientra in tale ipotesi: sito web che ha solo cookie che consentono l’autenticazione in aree riservate e la navigazione in base alla scelta della lingua e non utilizza strumenti quali widget di Twitter o pulsante like di Facebook.

Se il sito utilizza cookie profilanti di prime parti sarà necessario gestire una breve informativa (da fornire tramite apposito banner a comparsa immediata sulla home page o altra pagina di atterraggio al sito) ed una informativa estesa (il cui link deve essere indicato già nel banner e poi reso sempre disponibile durante la navigazione in modo da consentire un facile accesso alle indicazioni specifiche sui cookie utilizzati e ai moduli per la gestione delle proprie scelte), acquisire dall’utente, prima dell’installazione dei cookie sul terminale, espresso consenso (tramite il click su un tasto interno al banner stesso, la selezione di un link interno alla pagina visitata o un’azione di scroll) ed effettuare la notifica al Garante Privacy.
Esempio di sito che rientra in tale ipotesi: sito web che ha cookie che tengono traccia dei prodotti acquistati per inviare pubblicità mirata all’utente profilato.

Se il sito utilizza cookie di prime parti solo tecnici, ma consente l’installazione di cookie di terze parti profilanti, valgono gli adempimenti descritti sopra, e quindi sarà necessario bloccare i cookie (non tecnici) delle terze parti finché l’utente non presti il consenso e gestire apposito banner contenente un’informativa breve, integrata da un’informativa estesa (in cui dovranno essere descritti i cookie installati dal sito e indicati i link ai siti e ai moduli di consenso delle terze parti).
In tale caso non sarà invece necessario provvedere alla notificazione, in quanto le finalità perseguite con l’uso dei cookie profilanti di terze parti non rientrano nel controllo del titolare del sito attraverso il quale vengono installati.
Esempio di sito che rientra in tale ipotesi: sito web che ha solo cookie che garantiscono la navigazione ma utilizza servizio share di AddThis e pulsanti like social.

Probabilmente il passaggio dalla teoria alla pratica non è semplicissimo e immediato, ma con gli strumenti di sopravvivenza giusti è certamente possibile!