La normativa vigente prevede che il trattamento di cookies non tecnici sia possibile solo a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all´articolo 13, comma 3 del D. Lgs. 196/2003 – codice privacy (si veda sul punto l’art. 122 del codice privacy, modificato dal Decreto Legislativo 69 del 2012, di recepimento della Direttiva 2009/136/CE).

Proprio in ordine a tali modalità semplificate, alla fine del 2012, è stata avviata dal Garante per la protezione dei dati personali una consultazione pubblica, al termine della quale detta Autorità ha emanato il provvedimento generale “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l´uso dei cookie”, pubblicato il 3 giugno 2014.

In tale provvedimento, tanto atteso dagli operatori, il Garante fornisce indicazioni sulle modalità attraverso cui sarà possibile informare gli utenti e acquisire il loro consenso in ordine al trattamento dei cookies profilanti.

Più precisamente, dovrà essere gestita una informativa breve, il cui contenuto “minimo” (espressamente definito dal Garante nel provvedimento in esame) dovrà essere riportato in un banner a comparsa immediata sulla pagina tramite la quale l´utente accede al sito; tale testo dovrà essere integrato da un´informativa “estesa”, alla quale si accede attraverso un link cliccabile dall´utente.

Occorre prestare pertanto attenzione non solo alla gestione del banner iniziale (per cui si potrà far riferimento al modello fornito direttamente dal Garante), ma anche all’informativa completa, che, infatti, dovrà descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookies installati dal sito e consentire all´utente di esprimere liberamente la propria volontà, selezionando e deselezionando i singoli cookie.

Sebbene alcuni aspetti contenuti nel provvedimento del Garante pongano non pochi problemi, sia rispetto alle indicazioni precedentemente fornite dalla stessa Autorità e dal Gruppo di Lavoro Articolo 29, sia in ordine agli aspetti di tipo tecnico, occorre ricordare che gli operatori avranno termine di un anno per poter implementare le prescrizioni in materia.