Oramai mancano pochi giorni alla scadenza fissata per il 2 giugno 2015, entro questa data tutti i siti che utilizzano cookies dovranno adeguarsi alla normativa.
Il Garante presenta due tipi di classificazione: cookie “tecnici” vs cookie “di profilazione” e d inoltre questi vengono divisi in cookie installati dal gestore del sito vs cookie cosiddetti “di terze parti“. I cookie tecnici sono quelli che vengono usati per fornire il servizio in modo migliore a chi ne usufruisce. Sono ad esempio usati dalle piattaforme di Analytics ma sono anche quelli che il sito usa per migliorare l’esperienza di navigazione. Ad esempio i cookie che si ricordano che cosa hai nel carrello o la lingua che preferisci sono autorizzati e basta inserire una informativa su quali usi e perché. In altre parole, non è necessario un preventivo consenso degli utenti per il loro utilizzo.
I cookie di profilazione, usando le parole del Garante, sono “volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”. Per questi è necessaria una adeguata informativa e una richiesta di consenso perché sia il Garante che l’Europa li considerano invasivi rispetto alla sfera privata degli utenti. I cookie di terze parti sono utilizzabili ma l’editore deve creare una descrizione di quali sta usando e perché in una pagina di informativa (la c.d. “informativa estesa” di cui vi parlo più avanti). La differenza con i cookie di profilazione è che il Garante accetta che un editore non sia necessariamente informato su tutti i cookie di terze parti che vengono installati e sul loro funzionamento. In questo caso si accetta che l’editore link il detentore di queste informazioni – cioè la terza parte – per garantire le informativa necessarie.
All'utente viene presentato un banner/pop-up/messaggio on-top la prima volta che entra nel sito nel quale viene spiegato che c’è una informativa e che il sito sta tracciando qualche aspetto della sua navigazione, ovviamente in modo del tutto anonimo. Dalla seconda volta in poi, non sarà più necessario presentare questo banner. Il banner deve essere presente in tutte le pagine del sito, non solo nella home page perché l’utente potrebbe arrivare su qualsiasi contenuto del sito .
Chiunque ha la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti. Fortunatamente non è richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma basta continuare la navigazione per accettare implicitamente i contenuti dell’informativa. Inoltre, i cookie tecnici non hanno bisogno di alcuna autorizzazione!
Dopo di che va predisposto un layer-pop-up- banner – la cosiddetta “informativa breve” – da presentare a tutti i nuovi visitatori del sito in cui mettere il link alla privacy policy e una spiegazione del fatto che continuando la navigazione (leggi: seguendo qualche link o cliccando ovunque) si sta implicitamente accettando che il sito possa usare cookie per migliorare la nostra esperienza di navigazione. Nell’informativa breve va anche indicato se il sito utilizza o meno cookies di terze parti.
Dobbiamo quindi tenere traccia dell’accettazione o meno della privacy policy e dei cookie di terze parti. Il bello è che il Garante stesso suggerisce di farlo… con un cookie tecnico ;-) L’informativa estesa deve essere linkata da tutte le pagine del sito, anche solo nel footer.
L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti. Quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo” vanno notificati. Traducendo tutto in termini pratici: il Garante chiede una notifica solo dei cookie persistenti che riguardano informazioni personali. Tutti i cookie tecnici – compresi quelli di Web Analytics espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.
Le sanzioni sono molto pesanti:
