In primis chiariamo le diverse tipologie di cookie
Nel provvedimento dell'8 maggio 2014 il Garante identifica due macro categorie di cookie:
- Cookie tecnici
Si tratta di cookie normalmente trasmessi in prima persona dal gestore del sito per finalità strettamente connesse al buon e corretto funzionamento del sito stesso. Questa famiglia di cookie comprende:
- Cookie di navigazione (o di sessione)
Questi cookie sono necessari per garantire la normale fruizione del sito web e dei suoi servizi permettendo, ad esempio, di autenticarsi ad aree riservate o di effettuare un acquisto.
- Cookie funzionali
Questi cookie, pur non essendo essenziali, migliorano la funzionalità del sito in quanto consentono all'utente di esprimere delle preferenze persistenti circa alcuni aspetti della navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all'interno di un e-commerce).
- Cookie di Analytics (o statistici)
Sono considerati "cookie tecnici" laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.
- Cookie di profilazione
Riprendendo la definizione data dal garante della Privacy i cookie di profilazione "sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete".
Nuove direttive sull'utilizzo dei cookie sui siti web
Gli obblighi in materia di cookie derivano da una normativa europea da ultimo modificata nel 2009 (direttiva 2009/136/CE) - e recepita in Italia con un decreto del 2012 - che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo. Il provvedimento del Garante, la cui definitiva adozione è stata preceduta da una consultazione pubblica, ha inteso semplificare gli adempimenti previsti dalla norma ed ha lasciato ai destinatari un anno di tempo per adeguarsi.
Dal 3 Giugno 2015 è scattato l'obbligo di adeguamento per tutti i siti web che facciano uso di cookie sia direttamente che indirettamente, sia per motivi tecnici che per motivi di profilazione dei visitatori.
Poiché il Provvedimento del Garante ha suscitato confusioni, polemiche e richieste di chiarimenti soprattutto sugli aspetti tecnologici, ancora viene data una certa tolleranza all’adeguamento normativo prima di incorrere in sanzioni pecuniarie.
In particolare, tra i punti più spinosi e complessi, parzialmente chiariti dal Garante solo negli scorsi giorni, c’è l’utilizzo dei cookies di terza parte di Google Analytics e alcuni script di condivisione dei social network.
Il chiarimento pubblicato dal Garante in merito al provvedimento mette questi punti in evidenza:
-
I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
- Per l'utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
- I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
- Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell'IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
- Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l'installazione di cookie di profilazione non c'è bisogno di informativa e consenso.
- Nell'informativa estesa il consenso all'uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
- È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell'ambito dello stesso dominio.
- Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.
Chi usa Google Analytics come deve adeguarsi alla normativa?
Secondo la nostra interpretazione i siti che utilizzano Google Analytics dovranno in primis:
- Mascherare l’IP di Google Analytics
- Disabilitare le funzionalità di condivisione dati di Google Analytics
In questo modo non hanno l’obbligo di notifica al garante. Dopo di ché potranno attuare la seguente configurazione da noi suggerita per comunicare l’utilizzo di cookies all’utente:
- banner semplificato di avvertimento (un banner informativo e non di richiesta consenso) all'apertura tramite il quale a) si avverte che il sito fa uso di cookie tecnici per ricordare la scelta dell'utente, b) si avverte che il sito consente anche l'invio di cookie di terze parti, c) si indica il link all'informativa completa d) si comunica che comunque è possibile scegliere di non autorizzare i cookie di analisi tramite il sito del terzo.
- informativa completa tramite la quale si devono rendere tutte le informazioni ex art. 13 Codice Privacy (su come disabilitare i cookies dal browser) e le informazioni relative al link all'informativa privacy di Google Analytics, incluso il link alla pagina in cui Google spiega come disabilitare i cookies analitici.
Per ulteriori informazioni sull'argomento vi rimandiamo direttamente al link del provvedimento e dei chiarimenti sono stati pubblicati sul sito del Garante sulla Privacy:
ULTIMI CHIARIMENTI
http://garanteprivacy.it/cookie
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
PROVVEDIMENTO
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884