Avete notato come ultimamente molti siti web mostrino una barra in sovrapposizione in cui si dànno indicazioni sull’uso dei cookies e dei dati che questi raccoglieranno durante la nostra navigazione? Ciò discende da alcune normative europee (alcune approvate, altre in via di definizione) che hanno giustamente posto l’accento sulla raccolta dei dati di navigazione degli utenti Internet, spesso ignari e inconsapevoli. Chi naviga su un sito web, lascia tante informazioni che i gestori dei siti stessi raccolgono, analizzano, nel peggiore dei casi rivendono.

I cookies sono utili per buona parte di noi anche come utenti: atterrare sul nostro sito web di e-commerce preferito e trovare già la home page in italiano, dei suggerimenti per gli acquisti in base alle nostre abitudini o alle precedenti navigazioni o a carrelli abbandonati il giorno prima, ecc. Sono utili anche per i gestori dei siti web, che grazie ai dati raccolti possono inserirci in cluster sempre più precisi e definiti e dunque darci ciò che vogliamo, come lo vogliamo, nel momento opportuno. Come sempre, ogni strumento può essere utilizzato più o meno correttamente, dunque l’attenzione del Garante della Privacy è corretta e dovuta.

Quello italiano ci sta mettendo un po’ di tempo, ma leggo oggi che pare abbia finalmente interiorizzato parecchi consigli di settore che le varie associazioni, a partire da IAB, hanno saputo fornire.

Innanzitutto la distinzione tra cookie tecnici (di navigazione, di sessione, di funzionalità o di web analytics) e cookie di profilazione.

I primi non dovrebbero avere bisogno di preventiva accettazione da parte degli utenti. Diverso il caso dei cookie di profilazione: gli utenti dovranno essere adeguatamente informati sull’uso degli stessi e dovranno prestare il loro consenso informato.

Secondo punto interessante, la responsabilità degli editori per i soli cookie di proprietà. Se ospito banner o elementi terzi che utilizzano cookie, io come editore non avrò responsabilità diretta per il loro uso, responsabilità che avranno i titolari degli elementi terzi stessi ospitati nel mio sito. Non è uno scarica barile, ma l’accettazione che il singolo operatore non può essere gendarme sia per limiti di controllo che può operare, sia – in alcuni casi – per limiti tecnici e di expertise.

Sicuramente l’editore dovrà prevedere un banner di idonee dimensioni contenente la prima informativa breve e link a quella estesa. In quella breve dovrà indicare:

1. l’indicazione del fatto che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
2. che il sito consente anche l’invio di cookie “terze parti”;
3. il link all’informativa estesa;
4. l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso 2 all’installazione di qualunque cookie;
5. l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad es. di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

L’informativa estesa invece (cito documento IAB):

L’informativa estesa deve descrivere le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.

All’interno di tale informativa deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito.

Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti, o su unico sito web gestito da un soggetto diverso dall’editore.

Nell’informativa estesa deve essere richiamata la possibilità per l’utente di manifestare il proprio consenso anche attraverso le impostazioni del browser, anche prevedendo un collegamento diretto.

Il consenso deve essere registrato dall’editore.

Sono previste delle sanzioni amministrative:  in caso di omessa informativa o d’informativa non idonea, da 6.000 a 36.000 euro (art.161 del Codice); in caso di installazione dei cookie senza preventivo consenso,  degli stessi comporta la sanzione da 10.000 a 120.000 euro (art. 162, comma 2-bis, del Codice); in caso di omessa o incompleta notificazione al Garante, infine, da 20.000 a 120.000 euro (art.163 del Codice).

C’è un anno per mettersi in regola (dalla pubblicazione in Gazzetta del 3 giugno u.s.).