Nuova legge sull’acquisizione del consenso per l’uso dei cookie

Il nuovo Provvedimento sull’acquisizione del consenso per l’uso dei cookie sui siti web, denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014“, è entrato in vigore ormai da una settimana ma ancora serpeggiano incertezze e confusione in merito.

In realtà il Provvedimento era stato pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, ovvero esattamente un anno prima dalla sua entrata in vigore ma, si sa, anche quando si avrebbe tutto il tempo di fare le cose con calma è facile ridursi all’ultimo momento. E così puntualmente è stato.

I più previdenti, soprattutto i siti di carattere commerciale, avevano precorso i tempi adeguando già da qualche mese le proprie pagine a quanto previsto dal Provvedimento, ma i più sono corsi ai ripari appena in tempo ai limiti della scadenza, per timore delle salate sanzioni previste per gli inadempienti.

A dire il vero sull’interpretazione del provvedimento perfino gli uffici legali di molte aziende si sono trovati discordi, principalmente a causa di una diffusa disinformazione sulla natura e le funzionalità dei cookies, che sono da sempre in uso su internet, benché la maggior parte dei navigatori non ne fosse consapevole.

Riassumendo brevemente a beneficio di tutti, i cookies sono righe di testo usate su internet per eseguire in modo automatico alcune operazioni o per raccogliere dati. Essi possono essere di durata variabile (di sessione o persistenti – ovvero durevoli nel tempo), tecnici o di profilazione, di prima o terza parte.
La confusione si è generata principalmente intorno alla necessità di dichiarare o meno i cookies in uso sul proprio sito. I più ottimisti – che pensavano di essere esenti dall’obbligo – hanno scoperto con sorpresa che anche semplicemente inserendo il codice di Google Analytics (o similare) per tracciare le visite al proprio sito già si faceva uso di cookies tecnici (usati per raccogliere anonimamente dati aggregati). Ancora più impegnativa la dichiarazione per chi aveva incorporato nel proprio sito i vari servizi offerti da Youtube o dai social network, che utilizzano anche cookies di profilazione.

Va detto che la macro-distinzione fondamentale esiste tra i cookies detti tecnici e quelli di profilazione finalizzati ad inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione sul web.
Da qui è nata l’esigenza del Garante per la privacy di legiferare in merito, per assicurarsi che il navigatore fosse reso consapevole dell’esistenza di tali cookies e messo anche in condizione di rifiutarne l’installazione o di rimuoverli, correndo però il rischio di non poter usufruire di alcune funzionalità del sito.

Entrando maggiormente nel dettaglio del provvedimento, esso prevede che – nel momento stesso in cui si accede ad una qualunque pagina del sito – compaia in primo piano una informativa breve (sotto forma di banner) contenente un primo avviso che il sito contiene cookie, che la prosecuzione della navigazione comporta il consenso all’uso degli stessi e ne esplicita la natura. L’informativa breve deve contenere anche un link ad una informativa estesa destinata ad un ulteriore approfondimento. Nell’informativa estesa andranno anche indicate le modalità per rifiutare e/o rimuovere i cookie eventualmente già presenti sul dispositivo di navigazione.

Per finire, in caso di omessa o inidonea informativa il provvedimento prevede una sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice) mentre l’installazione di Cookie sui terminali degli utenti in assenza del loro preventivo consenso comporta addirittura la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

Perr maggiori informazioni vi rimando al testo del provvedimento pubblicato sul sito del Garante per la privacy: Via