Come reso noto dal Garante per la protezione dei dati personali, il provvedimento n. 229/2014 ("Cookie law"), relativo all’individuazione delle modalità per la stesura dell'informativa e l'acquisizione del consenso per l’utilizzo dei cookie nei siti Internet diventerà obbligatorio a partire dal 2 giugno 2015; è da sottolineare che tale misura si applica a tutti i siti Web, inclusi quelli responsive, e alla loro navigazione da qualsiasi dispositivo impiegato.
Nella Cookie law assume particolare importanza la distinzione tra cookie tecnici e cookie di profilazione: i primi sono in pratica quelli che permettono alla nostra applicazione di svolgere le funzioni per la quale essa è stata concepita (ad esempio memorizzare i prodotti aggiunti in uno shopping cart o navigare un'area riservata senza la necessità di doversi autenticare nuovamente); i secondi sono essenzialmente degli strumenti di marketing utili a raccogliere informazioni sulle abitudini degli utenti con fini legati all'advertising.
Da questo punto di vista assumono particolare importanza i cosiddetti cookie di terze parti, motivo per il quale anche un sito che non effettua attività di profilazione ma che dovesse presentare nelle sue pagine banner AdSense, il codice di Analytics, widget di Twitter o LinkedIn, embedding di tool forniti da YouTube o anche il semplice pulsante "Mi piace" di Facebook, dovrebbe essere obbligato all'adeguamento.
La normativa prevede che al primo accesso di un browser su un sito, i cookie tecnici possano essere rilasciati, mentre i cookie di profilazione dovranno essere bloccati attraverso un intervento a carico del codice; va precisato che il titolare del sito potrebbe anche rilasciare cookie di profilazione, senza commettere alcuna violazione, a condizione che la profilazione stessa avvenga soltanto a seguito del consenso informato dell’utente che potrà essere revocato in qualsiasi momento.
Tale consenso è quindi legato ad un'informativa (cookie policy), quest'ultima potrà essere "breve", comparendo immediatamente sulla pagina a cui l’utente accede, o "estesa", disponibile tramite link posizionato nell’informativa breve nonché attraverso un link in calce ad ogni pagina aggiornata; la versione estesa potrà essere anche una pagina a sé stante o una sezione dedicata alle policy sulla privacy.
Un sito che utilizzi unicamente cookie tecnici non sarà obbligato a fornire l’informativa breve, dovrà invece essere sempre disponibile quella estesa con tutte informazioni riguardanti l’impiego e le finalità dei cookie adottati. Da ricordare che la Cookie law prevede anche una comunicazione al Garante riguardante il trattamento operato sui cookie finalizzati alla profilazione nel caso in cui questi vengano utilizzati dal sito.
Per quanto riguarda le sanzioni, queste potrebbero andare da 6 mila a 36 mila euro per informativa omessa o non idonea, da 10 mila a 120 mila euro per l'uso di cookie di profilazione senza consenso dell’utente e, caso più grave, da 20 mila a 120 mila euro per comunicazione omessa o incompleta al Garante.
Via Garante Privacy