Nella Cookie law assume particolare importanza la distinzione tra cookie tecnici e cookie di profilazione: i primi sono in pratica quelli che permettono alla nostra applicazione di svolgere le funzioni per la quale essa è stata concepita (ad esempio memorizzare i prodotti aggiunti in uno shopping cart o navigare un'area riservata senza la necessità di doversi autenticare nuovamente); i secondi sono essenzialmente degli strumenti di marketing utili a raccogliere informazioni sulle abitudini degli utenti con fini legati all'advertising.

Da questo punto di vista assumono particolare importanza i cosiddetti cookie di terze parti, motivo per il quale anche un sito che non effettua attività di profilazione ma che dovesse presentare nelle sue pagine banner AdSense, il codice di Analytics, widget di Twitter o LinkedIn, embedding di tool forniti da YouTube o anche il semplice pulsante "Mi piace" di Facebook, dovrebbe essere obbligato all'adeguamento.

La normativa prevede che al primo accesso di un browser su un sito, i cookie tecnici possano essere rilasciati, mentre i cookie di profilazione dovranno essere bloccati attraverso un intervento a carico del codice; va precisato che il titolare del sito potrebbe anche rilasciare cookie di profilazione, senza commettere alcuna violazione, a condizione che la profilazione stessa avvenga soltanto a seguito del consenso informato dell’utente che potrà essere revocato in qualsiasi momento.

Tale consenso è quindi legato ad un'informativa (cookie policy), quest'ultima potrà essere "breve", comparendo immediatamente sulla pagina a cui l’utente accede, o "estesa", disponibile tramite link posizionato nell’informativa breve nonché attraverso un link in calce ad ogni pagina aggiornata; la versione estesa potrà essere anche una pagina a sé stante o una sezione dedicata alle policy sulla privacy.

Un sito che utilizzi unicamente cookie tecnici non sarà obbligato a fornire l’informativa breve, dovrà invece essere sempre disponibile quella estesa con tutte informazioni riguardanti l’impiego e le finalità dei cookie adottati. Da ricordare che la Cookie law prevede anche una comunicazione al Garante riguardante il trattamento operato sui cookie finalizzati alla profilazione nel caso in cui questi vengano utilizzati dal sito.

Per quanto riguarda le sanzioni, queste potrebbero andare da 6 mila a 36 mila euro per informativa omessa o non idonea, da 10 mila a 120 mila euro per l'uso di cookie di profilazione senza consenso dell’utente e, caso più grave, da 20 mila a 120 mila euro per comunicazione omessa o incompleta al Garante.

Via Garante Privacy

9 CommentiDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

E' incredibile come a pochi giorni dall'entrata in vigore di questo obbligo di legge quasi nessuno sia pronto. Come al solito si è ampiamente sottovalutato questa normativa e le multe (anche pesanti) che verranno staccate a chi non è in regola. C'è anche da dire che la normativa non è chiarissima su alcuni punti (cookie propri, tecnici, di terzi eccc). Io mi sono chiarito le idee con l'intervista a un avvocato che ho trovato qui http://lifeinabyte.com/2015/04/23/cookie-law-tutto-quello-che-ce-da-sapere-prima-del-3-giugno/

AlessandraG
AlessandraG

1) Usando ga('set', 'anonymizeIp', true); per google analytics rendo anonima l'archiviazione dei dati e quindi non devo bloccare analytics prima del consenso ? 2) tecnicamente è possibile bloccare i cookie di facebook per i like button prima del consenso ? 3) Ho della gran confusione... ;) grazie

Stem
Stem

@Mattia: Grazie per la risposta. Io potrei anche bloccare Analytics fino a quando l'utente non accetta l'informativa breve, ma in questo modo l'utilità di un servizio di statistiche verrebbe praticamente compromessa. Le possibilità sono due, quindi: o rivolgersi a un servizio di statistiche alternativo che raccolga le informazioni in maniera realmente anonima o attendere che Google ci metta a disposizione gli strumenti necessari per metterci tutti in regola. Sicuramente nei prossimi giorni ne sapremo di più.

deep
deep

@Fabio: pienamente d'accorod. Non mi pare di aver visto nessuna risposta alle tue domande nel sito del garante. Qualcuno ha notizie più aggiornate?

Alberto
Alberto

@deep: Google Analytics produce sicuramente cookie di profilazione e non cookie tecnici. Il pop-up di condivisione apre un altro sito quindi non devi considerarlo.

Mattia
Mattia

Ora resta ancora da capire: 1) come fare la comunicazione al Garante? 2) dove fare la comunicazione al Garante? 3) come valutare l'idoneità e la congruità di una pagina informativa per stare tranquilli? 4) é necessario pubblicare nel sito una specie di report di trasmissione come quella dei fax per dimostrare l'avvenuta comunicazione oppure come tutelarsi in caso di smarrimento della stessa?

Fabio Bevilacqua
Fabio Bevilacqua

A me (ma non solo a me, dato che tutti la raccontano in maniera diversa) non è chiaro per niente il discorso "Google Analytics". Alcuni lo definiscono cookie tecnico, altri il più feroce cookie di profilazione. Quindi se io uso WordPress e Google Analytics (configurato così come Google me l'ha donato), devo mettere anche l'informativa breve? Devo bloccare i cookie di Analytics finché l'utente non chiude l'informativa? Perché capite bene che per un cookie di analisi non ha senso una cosa del genere. E poi ancora una domanda: io non uso i bottoni social (tipo il classico "Mi piace"), ma un link di condivisione creato da me, che apre un semplice pop up con la schermata di condivisione dell'articolo (ma a quel punto è una pagina di FB, non più del mio sito). Questo comportamento come va considerato?

deep
deep

Se ho cookie di terze parti, come faccio a "dire" a, per esempio, Google di bloccare i suoi cookie di profilazione per AdSense o Analytics?

Mattia
Mattia

Scusate, ma nel caso i siti siano stati fatti con piattaforme cms ( Joomla, wordpress ecc.. ) come si fa?

Stefano
Stefano