Proseguiamo il nostro approfondimento sulla nuova normativa sui cookie entrata in vigore il 3 giugno 2015 (leggi il primo articolo) e che obbliga i titolari/gestori di siti web ad aggiornare la metodologia di gestione dei cookie presenti sui portali.
Dopo aver visto quali tipologie di cookie sono state definite e come si distinguono le informative, vediamo quali sono le azioni da intraprendere:
- identificare tutte le categorie di cookie installati dal proprio portale e specificarne la finalità (cookie di prima parte);
- identificare tutte le terze parti che potrebbero installare cookie attraverso il sito;
- catalogare i cookie identificati in base alle finalità di trattamento;
- reperire i link a privacy policy e moduli di consenso delle terze parti con cui si hanno stipulato accordi per l’installazione di cookie (se il titolare non ha modo di contattare la terza parte o qualora fosse particolarmente difficile identificare tutte le terze parti, è necessario indicare i link alle privacy policy degli intermediari oppure il link al sito www.youronlinechoices.com/it/, limitatamente ai servizi censiti da tale piattaforma);
- aggiornare le privacy policy.
NB: si segnala che attualmente il sito www.youronlinechoices.com/it/ è operativo solamente per i cookie di profilazione pubblicitaria e rileva solo i cookie degli aderenti al portale. Per questo motivo questo strumento non può essere ritenuto risolutivo per la gestione di tutti i cookie di terze parti.
Tornando agli obblighi del titolare, dalla normativa si rileva l’opportunità di modificare il codice del sito. In questo caso bisogna creare uno script che gestisca il consenso all’interno del sito. Il titolare in questo caso deve:
- apporre identificatori specifici a tutte le sezioni di codice che installano servizi terzi che potrebbero utilizzare cookie;
- inserire in tutte le pagine il codice relativo alla visualizzazione dell’informativa breve;
- fare in modo che il codice inserito si interfacci con le preferenze, come indicato da informativa.
In alternativa il titolare può adottare sistemi che prevedano il caricamento completo delle pagine (comprensive di cookie) fin dalla prima visita, a condizione che i cookie vengano attivati solamente dopo il consenso dell’utente.
Per quanto riguarda l’interazione tra utente e portale, essa può avvenire in diversi modi:
- al primo accesso di un browser al sito possono essere rilasciati i cookie tecnici mentre quelli di profilazione devono essere bloccati. Alcuni provider prevedono un pannello di monitoraggio e gestione delle preferenze relativamente ai cookie.
- In alternativa il titolare potrebbe scegliere di rilasciare anche i cookie di profilazione a condizione che ogni raccolta di dati in questo senso avvenga solo in seguito al consenso informato dell’utente. Per fare ciò il sito web dovrà fare uso di specifici cookie tecnici di sessione per garantire che gli utenti che non abbiano espresso consenso/diniego vengano riconosciuti come nuovi utenti al successivo accesso.
È importante conoscere le modalità con cui l’utente può esprimere il consenso riguardo all’installazione dei cookie di profilazione:
- facendo click sul tasto “OK” o “X” presente nell’informativa breve;
- facendo click su un link della pagina web visualizzata;
- facendo un’azione di scorrimento della pagina (scroll down).
NB: Se l’utente non interagisce con i moduli del consenso ed esce dall’informativa chiudendola (o proseguendo la navigazione) presta il consenso per tutti i cookie a condizione che l’informativa riporti esplicitamente questa indicazione.
Infine la normativa sui cookie approvata dal Garante della Privacy indica la necessità di tenere traccia dell’avvenuta prestazione del consenso da parte dell’utente. Attualmente non esiste un sistema tecnico standard e il Garante non ha indicato una specifica soluzione tecnologica.
Ad ogni modo il consiglio è quello di adottare un sistema di risposta all’utente (indipendentemente dal fatto che al titolare del sito risulti un consenso già espresso da parte di quell’utente) il quale potrà, in caso di necessità ed urgenza, ricevere una risposta immediata su come esercitare il proprio consenso/diniego in modo selettivo o su come cancellare i cookie dal proprio browser (potrebbero risultare utili delle pagine informative).
Si ricorda che l’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante della Privacy, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Pertanto, nel caso in cui il titolare del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo.
Disclaimer: i contenuti inseriti in questo post non possono essere intesi quali pareri legali relativamente all’adozione ed all’applicazione della nuova normativa relativa ai cookie e in nessun caso potranno considerati sostitutivi rispetto alle linee guida impartite dal Garante per la Privacy (da verificare periodicamente e puntualmente).