Entro il 3 Giugno 2015 sarà necessario attivare le misure previste dal Provvedimento in materia di cookie dell’8 maggio 2014, con cui il Garante per la protezione dei dati personali individua le modalità semplificate per fornire l’informativa agli utenti e per l’acquisizione del consenso per l’uso dei cookie profilanti nel caso utilizzati.

Come spesso però accade, il passaggio dalla teoria alla pratica presenta non poche difficoltà e pertanto può essere utile considerare alcuni degli aspetti principali che dovranno essere valutati in fase di adeguamento, riprendendo, a tal fine, anche le indicazioni fornite dall’Autorità Garante per la privacy attraverso la campagna informativa recentemente svolta – che comprende un video tutorial realizzato dalla stessa Autorità ed una lista di risposte a domande frequenti (FAQ) in tema di “Informativa e consenso per l’uso dei cookie”.

Valutazione cookie proprietari o di prima parte

Una prima analisi che dovrà essere effettuata è relativa ai cookie proprietari.

Più precisamente sarà necessario verificare se il sito utilizza solo cookie tecnici (ossia cookie adoperati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“) o anche cookie profilanti (ossia cookie “volti a creare profili relativi all’utente” ed “utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete“).

Nel primo caso – quindi utilizzo di soli cookie tecnici – non occorre acquisire il consenso dell’utente ma deve essere fornita idonea informativa privacy.

Proprio in ordine all’obbligo informativo, il Garante privacy, nel provvedimento dell’8 maggio 2014 richiamato, individua un doppio livello, richiedendo cioè di impostare il sistema in modo tale che sia fornita all’utente che acceda ad un sito web “una prima informativa breve, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito) integrata da un’informativa “estesa” alla quale si accede attraverso un link cliccabile dall’utente”.

Tale doppio livello non si applica però nel caso di utilizzo di soli cookie tecnici.

In concreto, cioè, se un sito adopera solo cookie tecnici (suddivisi a loro volta in cookie di navigazione, cookie analytics e cookie funzionali), il Titolare dovrà gestire l’informativa privacy, contenente tutte le indicazioni relative a tale trattamento, ma non sarà necessario attivare il banner con l’informativa breve.

Ciò è chiarito dalla stessa Autorità per la privacy che, nelle FAQ in materia di informativa e consenso, precisa che l’obbligo di usare il banner non grava anche sui titolari di siti che utilizzano solo cookie tecnici, segnalando infatti che, “in questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito” (cfr. punto 12 FAQ richiamate).

Diversamente invece nel caso di utilizzo di cookie profilanti.

In presenza di tali cookie dovrà infatti essere gestito un banner contenente l’informativa breve (in cui riportare i cookie utilizzati, il link alla pagina dell’informativa estesa da cui rendere possibile la disattivazione dei cookie) e la richiesta del consenso, che si rende infatti necessario per l’utilizzo dei cookie profilanti.

Peraltro, oltre alla gestione di tali aspetti, poiché l’utilizzo di cookie di profilazione – come ricordato dalla stessa Autorità Garante – rientra tra i trattamenti soggetti all’obbligo di notificazione di cui all’art. 37 del D. Lgs. 196/2003 (c.d. Codice privacy), il Titolare dovrà osservare anche tale adempimento.

Un ulteriore profilo da considerare, sempre in ordine ai cookie profilanti, è inoltre legato ai tempi di loro conservazione e relativa scadenza.

Sebbene il Garante privacy nulla indichi sul punto, né nel Provvedimento dell’8 maggio dello scorso anno, né nei suoi successivi interventi informativi, essendo pacifico che l’utilizzo di cookie profilanti configura un trattamento di dati svolto, appunto, per finalità di profilazione, si ritiene che debba rispettarsi il termine massimo di conservazione di dodici mesi, individuato dal Garante privacy nel provvedimento generale del 24/02/2005 relativo ai programmi di fidelizzazione, ove l’Autorità precisa che eventuali intenzioni di trattare i dati per attività di profilazione oltre tali termini potranno essere attuate solo previa valutazione del Garante, ai sensi dell’art. 17 del Codice privacy.

Valutazione cookie di terze parti

Un’ulteriore analisi che dovrà essere effettuata in fase di adeguamento riguarda poi i cookie di terze parti.

Infatti il Garante privacy prescrive l’obbligo, per il titolare, di indicare agli utenti se il sito utilizza cookie di terze parti (tecnici o profilanti) e di riportare nell’informativa estesa “il link aggiornato alle informative e ai moduli di consenso delle terze parti”.

Un aspetto rilevante da dover considerare è legato alla tipologia di tali cookie.

Anche in tal caso, infatti, gli stessi potranno essere ricondotti all’interno delle due macro categorie richiamate per i cookie di prime parti, ossia cookie tecnici o cookie profilanti.

Ebbene, cosa avviene nell’ipotesi in cui un sito utilizzi solo cookie proprietari tecnici, ma consente l’installazione di cookie di terze parti profilanti?

E’ vero che – come detto – l’utilizzo di cookie proprietari non profilanti non comporta l’obbligo di acquisire alcun consenso, né di gestire l’informativa breve tramite apposito banner, ma, se a questi si aggiungono cookie di terze parti, detti adempimenti andranno osservati.

Infatti, come indicato nel provvedimento dell’8 maggio, i gestori dei siti web, sebbene siano titolari del trattamento solo con riguardo ai cookie installati direttamente dai loro siti, devono essere considerati “come una sorta di intermediari tecnici” tra i terzi e gli utenti.

E in tal veste – precisa il Garante – sono chiamati ad operare con riferimento al rilascio dell’informativa e, con riguardo ai cookie delle terze parti profilanti, alla gestione del consenso.

Alla luce di tali osservazioni, appare evidente l’importanza di analizzare anche i cookie di terze parti  (tecnici o profilanti), atteso che – come detto – alcuni adempimenti, non richiesti nel caso di utilizzo di cookie tecnici di prime parti, sono invece da osservare se il sito consente l’installazione di cookie di terze parti.

E peraltro, pur non potendo in tale sede approfondire tale aspetto attraverso un’analisi più puntuale, occorre rilevare che sono molti i siti che utilizzano cookie, anche profilanti, di terze parti.

Sul punto basti considerare i social buttons oggi largamente diffusi e richiamare, ad esempio, il pulsante “like” di Facebook, che consente all’utente  di esprimere la propria preferenza con un click sul relativo tasto apposto sul sito visitato.

Si tratta di un sistema attraverso il quale il sito permette, appunto, l’installazione di cookie di terze parti profilanti, con conseguente necessità, per il gestore del sito, di dover ottemperare agli obblighi sopra indicati per poter essere in linea con la normativa vigente.

Tempi per la valutazione e l’adeguamento

Dalle considerazioni svolte, emergono tanti aspetti di rilievo e tante problematiche che il gestore di un sito web dovrà analizzare in fase di adeguamento alla normativa in materia di cookie.

C’è però ancora tempo per attivarsi, atteso che il Garante per la privacy, consapevole della non facile e immediata realizzazione delle misure necessarie a dare attuazione al provvedimento sui cookie analizzato, ha previsto un periodo transitorio, entro il quale poter adeguarsi, e precisamente un anno dalla pubblicazione del provvedimento in Gazzetta, avvenuta il 3 giugno 2014.