Siti Internet e uso dei cookies: nuovi obblighi di legge

Premessa

Il Garante per la protezione dei dati personali (così detto Garante Privacy), al termine di una consultazione pubblica iniziata nell’anno 2012, ha emanato un apposito Provvedimento in data 08/05/2014 con cui ha regolamentato in modo rigoroso l'installazione e l’utilizzo dei così detti “cookies per finalità di profilazione e marketing” da parte dei gestori dei siti web. 

Si specifica fin d’ora che le aziende avranno 12 mesi di tempo dalla data di pubblicazione del Provvedimento sulla Gazzetta Ufficiale e quindi fino al 02 giugno 2015 per adeguarsi a quanto previsto dal Provvedimento stesso.

 

Finalità dei cookies.

Si ritiene utile rammentare che i cookies sono dei piccoli files di testoche i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell'utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti in occasione delle visite successive.

Essi possono essere utilizzati sostanzialmente per le due seguenti finalità:

1) per finalità di natura “tecnica”, come ad esempio per eseguire autenticazioni informatiche, facilitare e velocizzare determinate operazioni, ecc.;

2) per finalità di “profilazione e marketing”, ossia per monitorare la navigazione, raccogliendo dati su abitudini, gusti, preferenze, scelte personali che consentono la ricostruzione di dettagliati profili dei consumatori, per poi inviare loro messaggi pubblicitari mirati.

I cookies di natura tecnica non hanno destato particolari preoccupazioni nel legislatore, il quale ne consente l’utilizzo liberamente, senza la necessità di ottenere il preventivo consenso degli utenti.

Viceversa, in riferimento ai cookies di profilazione e marketing, essendo la loro azione potenzialmente molto invasiva della sfera personale del singolo individuo, il suddetto Provvedimento dispone che i visitatori dei siti web aziendali possano sempre decidere in maniera libera e consapevolese far usare o meno le informazioni che li riguardano, raccolte durante la navigazione.

 

Obblighi per l’azienda: l’informativa breve.

Per tutelare gli utenti e consentire loro scelte libere e consapevoli, il Garante ha dunque stabilito che quando si avrà accesso alla home page o ad un'altra pagina di un sito web che effettivamente utilizza cookies di profilazione, dovrà anzitutto comparire immediatamente un’informativa “breve”, ben visibile, contenuta in un apposito “banner” a comparsa ed evidenziante chiaramente:

- che il sito utilizza cookies di profilazione finalizzati al successivo invio di messaggi pubblicitari mirati;

- che il sito consente eventualmente anche l'invio di cookies di "terze parti", ossia di cookies installati da un sito diverso dal sito che si sta visitando;

- un link ad un’ulteriore informativa articolata ed estesa (si veda sotto), contenente le  indicazioni dettagliate sulle modalità di utilizzo dei cookies inviati dal sito ed altri elementi obbligatori;

-  l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link),  l’utente presta implicitamente il consenso all'uso dei cookies.

A puro titolo esemplificativo e per agevolare le aziende, il Garante ha predisposto un modello standard di banner contenente l’informativa breve, visionabile sul sito www.garanteprivacy.it

 

Obblighi per l’azienda: l’informativa articolata ed estesa.

Come detto al paragrafo precedente, oltre all’informativa breve, dovrà essere presente anche un’informativa articolata ed estesa che sarà raggiungibile da un link inserito all’interno dell’informativa breve stessa, ma anche attraverso un link presente su ogni pagina del sito e collocato, ad esempio, nel così detto “footer” o piè di pagina.

L’informativa estesa dovrà:

- evidenziare tutti gli elementi elencati dall’art. 13 del D. Lgs. 196/2003;

- descrivere in maniera specifica ed analitica le caratteristiche e le finalità dei cookies utilizzati;

- consentire all’utente di manifestare le proprie opzioni in merito all’uso dei cookies da parte del sito, fornendogli anche la possibilità di revocare il consenso fornito in precedenza.

In merito a questo ultimo punto, sono auspicabili ulteriori note esplicative del legislatore, al fine chiarire al meglio come si debba procedere a livello pratico e tecnico.

 

Il consenso dell’utente.

Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito sarà consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente.

E’ importante ricordare che l'utente dovrà avere la possibilità di modificare in qualunque momento le proprie scelte sui cookies,  attraverso le opzioni presenti nell'informativa estesa.

 

La notifica telematica al Garante.

Il Provvedimento sottolinea che l’utilizzo di cookies di profilazione impone l’obbligo di effettuare preliminarmente la “notifica telematica al Garante” ai sensi del’art. 37, comma 1, lettera d) del D. Lgs. 196/2003, poiché tali cookies consentono di definire un dettagliato profilo dell’interessato, analizzandone abitudini e scelte di consumo.

Tale adempimento non è certo secondario e/o da sottovalutare, poiché comporterà l’iscrizione dell’azienda notificante nell’apposito Registro tenuto dal Garante.

 

Le sanzioni.

Il mancato rispetto di quanto previsto dal Provvedimento in esame, potrà comportare severe sanzioni previste dal D. Lgs. 196/2003, quali:

- sanzioni per mancato rilascio dell’informativa (da 6.000 a 36.000 euro);

- sanzioni per mancata raccolta del consenso (da 10.000 a 120.000 euro);

- sanzioni per omessa o incompleta notifica al Garante (da 20.000 a 120.000 euro).