Il 3 giugno 2014 è stato pubblicato, a seguito di una consultazione pubblica, un importante provvedimento del Garante per la protezione dei dati personali in materia di cookie.

Sulla falsariga dell’art. 122 del Codice della Privacy, come modificato dal D. Lg. 69/2012 (se n’è parlato ad esempio qui), il nuovo provvedimento del Garante prende le mosse dalla distinzione tra cookie di profilazione e cookie “tecnici” (ai quali il Garante assimila anche i cosiddetti cookie analytics utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata).  Mentre i cookie tecnici vengono installati nel computer dell’utente per il corretto funzionamento del sito o al fine di migliorarne determinate funzioni, i cookie di profilazione consentono di tracciare i gusti e le preferenze manifestate dall’utente durante la navigazione per scopi commerciali e pubblicitari. Solo ai secondi si applica, quindi, il principio generale del consenso preventivo e informato dell’utente nel quadro comunitario della disciplina della privacy. Per l’installazione dei cookie tecnici non è, invece, richiesto il preventivo consenso, ma resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice della Privacy.

Allo scopo di bilanciare le esigenze degli utenti e degli editori dei siti web, il nuovo provvedimento del Garante introduce modalità semplificate per l’informativa e l’acquisizione del consenso in presenza di cookie non tecnici.

Il provvedimento prevede, anzitutto, l’obbligo di predisporre un apposito banner che compaia all’accesso dell’utente al sito web, ben visibile e distinto dal restante contenuto della pagina. Il banner deve contenere un’informativa che avverta:

  • che il sito utilizza cookie di profilazione per l’invio di messaggi pubblicitari mirati;
  • che il sito consente che anche “terze parti” possano inviare cookie da un sito diverso rispetto a quello che l’utente sta visitando;
  • un link a un’informativa più dettagliata, in cui deve essere indicata la tipologia e l’utilizzo che viene fatto dei cookie e dove è possibile negare il consenso all’installazione di ogni singolo cookie, direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  • l’indicazione che se si prosegue nella navigazione (ad esempio, accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

In merito a questo ultimo punto, il Garante ha previsto che il consenso venga manifestato dall’utente in ogni caso attraverso un’azione positiva, quale ad esempio l’obbligo imposto all’utente di cliccare nel banner al fine di procedere con la navigazione.

Ulteriore aspetto interessante previsto dal provvedimento è la distinzione tra cookiedirettamente introdotti dal gestore o titolare del sito web (“editori”) e cookie immessi da “terze parti”, distinzione che mira ad individuare le responsabilità in capo a ciascuno essi. Il Garante specifica, infatti, che non si può porre in capo agli editori (solitamente parte “debole”) la responsabilità per l’utilizzo dei cookie immessi da soggetti terzi (spesso grandi società) nel proprio sito. Il ruolo degli editori sarà dunque quello di meri intermediari “tecnici” tra le parti terze e l’utente.

Per concludere, i siti web avranno un anno di tempo per potersi adeguare alla nuova disciplina e adottare tutte le misure tecniche necessarie allo scopo.