Credo che il tema “cookie” abbia costituito in questi mesi uno degli argomenti più discussi da coloro che operano sul web, generando innumerevoli critiche, molteplici discussioni e diverse letture interpretative che hanno contribuito a far sorgere, nei titolari di siti web e blog, la sensazione di trovarsi in un labirinto senza via d’uscita.

Proprio in considerazione dei dubbi e dei quesiti sollevati su alcuni punti del Provvedimento dell’8 Maggio 2014, a pochi giorni dalla sua entrata in vigore, il Garante Privacy è intervenuto, fornendo dei chiarimenti in merito all’attuazione della normativa in materia di cookie.

Volendo richiamare le indicazioni fornite dall’Autorità, seguendo anche l’utile infografica di recente pubblicazione, occorre distinguere le varie ipotesi possibili:

1. il sito non installa cookie: non è necessario alcune adempimento;
2. il sito installa cookie tecnici o analitici di prima parte: sarà sufficiente segnalarli nell’informativa da gestire nel footer della pagina, senza necessità di ottemperare ad altri obblighi;
3. il sito installa cookie analitici di terze parti adottando strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone: sarà sufficiente segnalare i cookie nell’informativa;
4. il sito installa cookie analitici di terze parti senza gli accorgimenti di cui al punto 3): sarà necessario segnalarli nell’informativa, inserire il banner con una breve informativa sul sito, gestire il consenso dei visitatori e notificare al Garante;
5. il sito installa cookie di profilazione di prima parte: sarà necessario segnalarli nell’informativa, inserire il banner, gestire il consenso dei visitatori e notificare al Garante;
6. il sito installa cookie di profilazione di terze parti: sarà necessario segnalarli nell’informativa, inserire il banner e gestire il consenso dei visitatori, rimanendo la notificazione a carico della terza parte che svolge l’attività di profilazione.

Senza soffermarmi sui concetti di cookie tecnici e profilanti, di prima e terza parte (per cui comunque rinvio a un mio precedente post), credo sia utile considerare due delle ipotesi più comuni, ossia quella di un sito che installi solo cookie tecnici di prima parte ma utilizzi, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti (si pensi ad esempio a Google Analytics), e quella di un sito che, oltre a cookie tecnici propri, consenta l’installazione di cookie di terze parti profilanti (come nel caso di social widget).

– Con riferimento al caso di un sito che utilizza cookie analitici di terze parti, il Garante chiarisce che tali siti non sono soggetti agli obblighi e agli adempimenti previsti dalla normativa, ad eccezione della sola informativa, “qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP)” e l’impiego di tali cookie sia “subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano”.

In concreto, considerando un servizio come Google Analytics, sarà necessario procedere con l’anonimizzazione dell’IP, descritta qui, ma ciò non potrà ritenersi sufficiente. Come indicato dal Garante, infatti, occorre che Google si impegni contrattualmente.

Domanda ricorrente in vari forum cui partecipo: come è però possibile chiedere a Google un tale vincolo?

Google Analytics, per adeguare i trattamenti alle prescrizioni delle Autorità europee in materia di tutela dei dati personali, ha previsto, per i clienti che risiedono nell’UE, la possibilità di accettare l’emendamento sull’elaborazione dei dati, consultabile  qui, ove è espressamente indicato (tra l’altro) che: “Google will process Customer Personal Data only in accordance with Instructions from Customer through the settings of the services”.

Se dunque si accetta detto emendamento e si evita, tramite la gestione del proprio account di Google Analytics, di condividere dati e collegare altri servizi, sembra sia possibile soddisfare i requisiti indicati dal Garante e, rientrando nell’ipotesi indicata al punto 3), limitarsi a gestire l’informativa cookie in cui indicare l’utilizzo di tale servizio e relativi cookie.

– Altro caso comune che merita pertanto attenzione è legato all’utilizzo di cookie di terze parti profilanti.

Sono molti i siti infatti che utilizzano social button (come il “like” di Facebook) o social widget (quale ad esempio il twitter website widget) che rilasciano cookie, anche profilanti, di terze parti.

In tal caso, come già indicato nel provvedimento del 2014, ma ribadito anche nei chiarimenti del 5 Giugno, sarà necessario gestire, oltre all’informativa cookie, anche il banner e intervenire tecnicamente in modo tale che, concretamente, il rilascio di tali cookie di terze parti sia consentito solo previo consenso dell’utente.

La notificazione, come indicato anche nell’infografica del Garante sopra richiamata, spetta alla terza parte, purchè – si precisa – la finalità di profilazione non sia condivisa dal titolare del sito (come potrebbe ritenersi nel caso di servizi di remarketing).