Ciao se sei arrivato qui è perchè hai deciso di adeguarti al Provvedimento del Garante per la protezione dei dati personali n. 229/2014, obbligatorio per tutti i siti a dal 2 giugno 2015.

Ambito e tempistiche

Ciò che trovate descritto in questo post è obbligatorio per tutti i siti italiani dal 2 giugno 2015. Chi  è titolare di un sito deve garantire la conformità alla normativa entro quella data, quindi l’1 giugno 2015 alle 23:59:59 tutto deve già essere in regola. Le norme qui indicate sono obbligatorie per ogni sito indipendentemente dal device attraverso il quale viene fruito e utilizzato. Insomma vale anche per siti mobile, siti responsivi e app.

1. Cookie tecnici e Cookie di profilazione

Il Garante ha idealmente catalogato i cookie rilasciati da un sito in due categorie: Cookie tecnici eCookie di profilazione. I Cookie tecnici non necessitano consenso preventivo da parte del visitatore e tantomeno un’informativa breve, mentre quelli di profilazione si.

Cookie tecnici

I Cookie definiti “tecnici” indicati dal Garante sono quelli

  1. relativi ad attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto;
  2. relativi ad attività di salvataggio delle preferenze (es. prodotti inseriti nel carrello, impostazione di lingua e valuta ecc.);
  3. relativi alla statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.

Cookie di profilazione

I Cookie definiti “di profilazione” indicati dal Garante sono quelli

  1. di profilazione pubblicitaria;
  2. di retargeting;
  3. dei social network;
  4. di statistica gestiti da terze parti.

2. Informativa breve e Informativa estesa

Si tratta, né più né meno, di un testo necessario a informare il visitatore su quali aspetti del suo comportamento online vengono registrati e utilizzati, come e da chi. L’informativa in questione serve – in teoria – per consentire al visitatore di scegliere se desidera concedere l’archiviazione e l’utilizzo dei cookie sul proprio terminale/dispositivo. Si parla per questo motivo di “consenso informato”. Dico in teoria perché di fatto l’informativa non la legge mai nessuno (verificate attraverso il vostro sistema di analytics), sia perché come italiani non diamo ancora grande peso a questi aspetti, sia perché si tratta spesso di un testo in legalese lungo un infinito (e direi appositamente studiato per non essere letto. Chapeau!).

Informativa breve: cos’è?

Necessaria solo nel caso in cui il sito invii cookie di profilazione. E’ un’informativa estremamente sintetica, visibile non appena si carichi una qualsiasi pagina del sito, al primo accesso e per ogni accesso successivo quando non sia stato espresso il consenso all’utilizzo dei cookie. Deve sempre contenere il link all’informativa estesa. In termini di layout, lo spazio dedicato all’informativa breve (es. un banner, una fascia ecc.) deve essere differenziato dal resto dei contenuti ed evidente, preferibile introdurre caratteristiche come: dimensioni adeguate, animazione/espandibilità, caratteri evidenti, colori contrastanti ecc

Informativa estesa: cos’è?

Si intende l’informativa completa sull’utilizzo dei Cookie. Può essere una pagina dedicata a tale scopo oppure una sezione all’interno della Privacy Policy del sito. In ogni caso deve contenere come minimo:

  1. quanto richiesto dall’articolo 13 del d.lgs 196/2003 “Codice privacy”, caratteristiche già teoricamente presenti in tutti i siti
  2. una spiegazione sintetica e chiara su cosa sono i cookie e come gestirli/eliminarlitramite le impostazioni del browser;
  3. l’indicazione di come viene prestato il consenso (cfr. il copy di esempio per il banner);
  4. le tipologie e la descrizione dei Cookie tecnici divisi per finalità;
  5. le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo – singolo – specifico modulo di consenso;
  6. le tipologie e la descrizione dei Cookie di terze parti con relativa finalità, specifico link all’informativa e al modulo di consenso della terza parte.

Cosa bisogna fare

Il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy, tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

  1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
  2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
  3. catalogare i Cookie per finalità di trattamento;
  4. aggiornare, integrando, la Privacy Policy del sito;
  5. modificare il comportamento automatico del sito in merito ai Cookie.

Le sanzioni possono essere onerose, alcuni esempi:

  1. omessa Informativa o Informativa non idonea, sanzione da 6.000 a 36.000 euro;
  2. installazione Cookie senza preventivo consenso, sanzione da 10.000 a 120.000 euro;
  3. omessa o incompleta notificazione al Garante, sanzione da 20.000 a 120.000 euro.

Tutto questo è applicabile a i soggetti stabiliti in Italia. Si intende il luogo dove viene effettivamente esercitata l’attività di trattamento in maniera stabile (indifferente se trattasi di sede legale o succursale o filiale con personalità giuridica).