Cookie e Privacy: Ultimi giorni per adeguarsi

Il 2 giugno 2015 è il termine ultimo relativo all’implementazione dell’informativa e acquisizione del consenso per l’uso dei cookie nei siti web.

Cosa deve fare il titolare/gestore del sito ?

Il titolare di qualsiasi sito web, indipendentemente da quale terminale venisse utilizzato per la navigazione, deve:

• Identificare tutte le categorie di cookie installati dal proprio sito e le loro finalità;
• Identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
• Catalogare i cookie in base alle finalità di trattamento;
• Identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito;
• Aggiornare le privacy policy.

Inoltre deve fornire:

1. una prima informativa breve, a comparsa immediata su qualsiasi pagina del sito, solitamente è un banner dinamico;
2. un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link
   in calce ad ogni pagina del sito aggiornata.

Al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie di profilazione non possono essere rilasciati. In alternativa, rispetto al suddetto blocco preventivo, il titolare del sito potrebbe anche rilasciare cookie di profilazione a condizione che ogni eventuale profilazione possa avvenire solo a seguito del consenso informato dell’utente.

Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, tuttavia deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito.

Qualora il sito utilizzi anche cookie di profilazione, occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve tramite un banner dinamico che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti.

L’utente può esprimere il proprio consenso come indicato nel banner, ovvero:

• compiendo un’azione di scorrimento (c.d. scroll down);
• facendo click su uno dei link interni della pagina;
• facendo click (preferibilmente) sul tasto “OK” o sul tasto “X”

Qualora l’utente decida di accedere all’informativa estesa, il titolare dovrà fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie.

Distinzione tra cookie tecnici e di profilazione

Il Garante ha individuato due macrocategorie di cookie:

• cookie tecnici (per i quali non è necessario il consenso dell’utente) si intendono i cookie relativi ad attività strettamente necessarie al funzionamento ed all’erogazione del servizio, i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione, i cookie di statistica, laddove utilizzati direttamente dal gestore del sito;
• cookie non tecnici (che necessitano di un preventivo consenso dell’utente) sono i cookie di profilazione pubblicitaria di prima o terza parte; cookie di retargeting; cookie di social network; cookie di statistica gestiti completamente dalle terze parti.

Nota per i cookie di profilazione

L’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante. Pertanto, nel caso in cui il titolare/gestore del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt.

Si fa altresì presente che, in coerenza con quanto indicato dal Garante in tema di conservazione dei dati personali per finalità di profilazione, i cookie non possono rimanere archiviati sul dispositivo dell’utente
per un periodo superiore a 12 mesi.

Sanzioni

La violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose.

da 6.000 a 36.000 euro per omessa o inidonea informativa;
da 10.000 a 120.000 euro per installazione dei cookies nei terminali degli utenti senza preventivo consenso;
da 20.000 a 120.000 euro per omessa o incompleta notificazione al Garante.