Dal 2 giugno 2015 i gestori di blog e siti web dovranno attenersi alle disposizioni del Garante della privacy in materia di cookie e privacy, per non rischiare di incorrere in sanzioni veramente ingenti.
Ma cosa sono i Cookie?
I cookie sono stringhe di testo che un sito internet salva sul terminale dell'utente durante la visita. Un cookie può contenere dati diversi come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.. I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi.
La normativa distingue i cookie in tre grandi macrocategorie, secondo il loro scopo, e indica quali prescrizioni deve rispettare il titolare di un sito che faccia uso di una o più di queste categorie di cookie:
- cookie tecnici: spesso utili per velocizzare la navigazione o la conclusione di acquisti, facendo sì ad esempio che un sito ci riconosca in automatico se siamo già registrati
- cookie di profilazione: rientrano in questa categoria i cookie che permettono di tener traccia delle preferenze di un utente, proponendoci ad esempio offerte di voli per la sardegna dopo che abbiamo visitato il sito di un tour operator,
- cookie di terze parti: rientrano in questa categoria i cookie di servizi esterni come Google Analytics, utilizzati per ottenere le statistiche dei visitatori di un sito internet.
Purtroppo nella pratica non sempre è facile stabilire il confine fra una categoria e l'altra, non trattandosi di una distinzione prettamente tecnica, tuttavia è fondamentale poiché la normativa prevede prescrizioni differenti a seconda della categoria di cookie che il sito utilizza.
Il titolare/gestore del sito dovrà pertanto:
1) identificare tutte le categorie di cookie installati dal proprio sito e le loro finalità (cookie di prima parte);
2) identifificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
3) identifificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili).
4) aggiornare le privacy policy.
Inoltre sarà necessario apportare alcune modifiche al codice del sito ed in particolare:
1) isolare con un identifificatore specififico tutte le porzioni di codice che installano servizi terzi che potrebbero utilizzare cookie; 2) inserire un codice in tutte le pagine per gestire la visualizzazionedel banner/informativa;
3) fare in modo che tale codice interagisca con le preferenze dell'utente come indicato dal banner/informativa.
Ogni utente che visita il sito verrà informato dell'uso di cookie tramite una prima informativa breve (banner / informativa) e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata. L’informativa breve può non essere presente laddove il sito utilizzi solo cookie tecnici.
Ecco un esempio di testo per l’informativa breve per i siti che rilasciano anche o solo cookie di profilazione di terzi "Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie".
Attenzione, come indicato dal Garante, la violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose per il titolare / gestore del sito internet! In particolare, per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel Provvedimento del Garante, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy). L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice Privacy). Inoltre, l’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice Privacy).
Per ulteriori approfondimenti invitiamo a consultare il sito del Garante della Privacy e a consultare la guida in formato pdf Cookie Istruzioni per l'us