Cookie, l’informativa fa tremare il web

Dal 3 giugno scatta un nuovo obbligo per difendere la privacy on line. Molto gravoso

Il 2 giugno assieme alla nascita della Repubblica Italiana si festeggia la fine del count down per attuare le prescrizioni del Garante a tutela della privacy in ambito web, che però genereranno non pochi grattacapi a tutti quei siti (si stima siano una percentuale che supera il 50%) che attualmente non sono ancora pronti. Oggetto principale del provvedimento sono i cosiddetti cookie.

Cosa significa “cookie” e perché hanno questo nome? Letteralmente “biscotto” (qui tutte le info): possiamo metaforicamente considerarli come una briciola che il server lascia sul pc del navigatore con lo scopo di conservare dei dati utili in modo che quello stesso server si possa ricordare di noi quando torneremo a fargli visita. Di per sé, quindi, non è un software dannoso, visto che ci evita la reiterazione di dati e accrediti per una esperienza più comoda di navigazione, ma come sempre la bontà o meno dipende dall’uso. Proprio da ciò nasce il provvedimento che entrerà in vigore il 3 giugno: per evitare che uno strumento potenzialmente utile possa surrettiziamente raccogliere (e quindi anche diffondere) informazioni molto pervasive sul navigatore, senza esplicito consenso preventivo ed idoneamente informato.
Il 3 giugno, in pratica, scatta l’obbligo di dare una completa informativa e di ottenere il consenso degli utenti per le attività che prevedono l’utilizzo di cookie di profilazione, ossia quelli che hanno lo scopo di generare profili dell’utente per un successivo invio di materiale promo-pubblicitario, il cui uso genera l’obbligo di notificazione al Garante.

Il Garante della Privacy nel suo Provvedimento Generale dell’8 maggio 2014 distingue poi tra cookie di profilazione e quelli tecnici: questi ultimi sono quelli definiti dall’art. 122 del Codice della Privacy come per esempio quelli di navigazione, di funzionalità e analytics, purchè utilizzati in forma anonima-aggregata. In questi casi il gestore del sito non dovrà acquisire uno specifico e preventivo consenso da parte degli utenti, ma potrà limitarsi ad una nota informativa che dovrà essere fornita con le modalità che riterrà più idonee (come per esempio dichiararne la presenza e finalità di utilizzo nell’apposita area di “privacy policy” del sito).
Esiste infine una ulteriore categoria di cookie, quelli di “terze parti”, in cui è il gestore di un sito diverso da quello che si sta visitando che istalla il cookie: in questo caso il Garante non fa ricadere esclusivamente sul gestore del sito visitato l’obbligo di informativa e raccolta del consenso, ma lo spalma su entrambi.

L’informativa che si dovrà in ogni caso fornire da parte del gestore si distingue in due categorie: quella “breve” che dovrà comparire immediatamente all’accesso al sito mediante un apposito banner di idonee dimensioni (ossia visibile anche ai meno dotati in termini di diottrie!) contenente l’informazione della presenza di cookie con la relativa tipologia; l’indicazione che la prosecuzione della navigazione mediante “salto” del banner equivarrà a prestare il consenso all’uso dei cookie ed un link ad una informativa “estesa” contenente maggiori ed analitiche informazioni sui cookie e la possibilità di negare il consenso a tutti o parte di essi mediante apposita opzione di selezione/deselezione.
Una volta fornita idonea informativa ed acquisito il relativo eventuale consenso, occorre però tenerne traccia, perciò il titolare del sito può avvalersi di un apposito cookie tecnico che non richiede a sua volta un ulteriore consenso. In presenza di tale documentazione, non è necessario che l’informativa breve sia riproposta alla seconda visita dell’utente sul sito.

Non mancano i detrattori del provvedimento, che pongono l’accento sul fatto che questi complessi adempimenti rischiano di azzoppare il settore del webmarketing e dell’internet advertising senza un reale vantaggio per il consumatore, tenuto anche conto che nella ancora fragile economia italiana questo è un comparto in positiva controtendenza, producendo occupazione ed un volume di affari che sfiora i 2 miliardi di euro nel 2014, con una crescita a doppia cifra anno su anno.
Capitolo sanzioni: si attiveranno il Garante ed il Nucleo Privacy della Guardia di Finanza, con multe molto salate che, per l’omessa o non idonea informativa, oscillano da 6.000 a 36.000 euro, per istallazione dei cookie senza previo consenso da 10.000 a 120.000, e per l’omessa o incompleta notificazione al Garante fino al massimo edittale di 120.000 euro. Meglio adeguarsi, altrimenti c’è il serio rischio che questi biscotti provochino una severissima indigestione.