Cookie Law: cosa dice la legge, come adeguarsi e quali siti lo devono fare

Nella giornata del 3 giugno 2015 è entrata in vigore in Italia la tanto discussa cookie law conformemente a quanto stabilito nel provvedimento del Garante per la protezione dei dati personali dell’ 8 maggio 2014, recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Per iniziare è bene precisare che l’iniziativa del nostro Garante della Privacy non nasce dal nulla e non è altro che un atto dovuto di adeguamento della normativa Italiana a quanto disposto in sede europea: la cookie law, infatti, è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l’intento di arginare la diffusione dei cosiddetti cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.

Cosa sono i cookie

Un cookie è un piccolo file di testo che viene creato all’interno del computer di chi visualizza un sito web allo scopo di registrarvi alcune informazioni relative alla visita nonché di creare un sistema per riconoscere l’utente anche in momenti successivi; tale cookie, infatti, potrà non solo essere creato ma anche letto e modificato dallo stesso sito web che lo ha generato.

In pratica possiamo dire che i cookie sono una sorta di “memoria” attraverso la quale un sito web riesce a riconoscere uno specifico utente e ad associargli delle informazioni di varia natura e per differenti finalità.

E’ bene precisare che un sito Web può impostare un cookie sul browser dell’utente solo ed esclusivamente se le preferenze configurate per quest’ultimo lo consentono e che il browser può consentire a un determinato sito Web di accedere solo ed esclusivamente ai cookie da esso impostati e non a quelli impostati da altri siti Web in quanto, come detto, il cookie è un sistema di collegamento tra uno specifico sito web ed uno specifico utente.

Le diverse tipologie di cookie

Fortunatamente è lo stesso Garante della Privacy a rendersi conto che “non tutti i cookie sono cattivi”. Nel citato provvedimento dell’8 maggio 2014, infatti, il Garante identifica due macro categorie di cookie:

  • Cookie tecnici
    Si tratta di cookie normalmente trasmessi in prima persona dal gestore del sito per finalità strettamente connesse al buon e corretto funzionamento del sito stesso. Questa famiglia di cookie comprende:

    • Cookie di navigazione (o di sessione)
      Questi cookie sono necessari per garantire la normale fruizione del sito web e desi suoi servizi permettendo, ad esempio, di autenticarsi ad aree riservate o di effettuare un acquisto.
    • Cookie funzionali
      Questi cookie, pur non essendo essenziali, migliorano la funzionalità del sito in quanto consentono all’utente di esprimere delle preferenze persistenti circa alcuni aspetti della navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all’interno di un e-commerce).
    • Cookie di Analytics (o statistici)
      Sono considerati “cookie tecnici” laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.
  • Cookie di profilazione
    Riprendendo la definizione data dal garante della Privacy i cookie di profilazione “sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.

Mentre per i cookie tecnici NON è richiesto alcun consenso preventivo da parte dell’utente (il sito web, cioè, può gestirli tranquillamente senza dover adempiere ad alcuna formalità), per i cookie di profilazione la normativa europea e italiana prevede che “l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso”.

Chi deve adeguarsi alla “cookie law”

Abbiamo detto che, in teoria, non tutti i siti web sono tenuti ad adempiere alle prescrizioni della cookie law: se un sito non fa uso di cookie o utilizza esclusivamente quelli rientranti nella categoria dei “cookie tecnici” non è tenuto a fare alcunché.

Nella pratica, tuttavia, data l’enorme diffusione della abitudine di includere “strumenti esterni” all’interno dei siti web (come i già citati strumenti di statistica o i plugin del social network) l’adeguamento alla cookie law può considerarsi, di fatto, un obbligo generalizzato per la quasi totalità dei siti web esistenti.

Vediamo, di seguito, un elenco (ovviamente non esaustivo) delle situazioni in cui è sicuramente necessario adempiere agli obblighi previsti dalla cookie law:

  • il nostro sito incorpora annunci pubblicitari di Google Adsense, Criteo o di altri servizi di advertising;
  • il nostro sito incorpora sistemi di misurazione del traffico di terze parti come, ad esempio Google Analytics;
  • il nostro sito incorpora uno o più plugin sociali come, ad esempio, il pulsante “Mi piace” di Facebook o “Follow” di Twitter;
  • il nostro sito incorpora un sistema di terze parti per la gestione di commenti ai contenuti come, ad esempio, Facebook Comments o Disqus;
  • il nostro sito incorpora video di YouTube, Vimeo o altri content provider analoghi;
  • il nostro sito incorpora una mappa di Google Maps o altri servizi analoghi.

Se rientrate all’interno di una delle casistiche esposte siete tenuti ad adeguare il vostro sito alla cookie law.

Come risulta evidente, l’impatto della cookie law in Italia sarà davvero enorme in quanto ogni sito web, che non voglia rischiare di incorrere in sanzioni pesantissime, dovrà di fatto sottostare agli adempimenti previsti dalla normativa.

Conseguenze del mancato adeguamento agli obblighi previsti dalla “cookie law”

Il mancato e/o non corretto adeguamento alle disposizioni sancite dalla nuova normativa sui cookie può avere delle conseguenze davvero pesantissime. Il provvedimento dell’8 maggio 2014, infatti, prevede sanzioni amministrative salatissime da un minimo di 6.000 fino ad un massimo di 36.000 Euro per chi non è in regola.

Ancora peggiori le conseguenze dell’installazione di cookie di profilazione senza il consenso dell’interessato: in questo caso, infatti, la sanzione va da un minimo di 10.000 ad un massimo di 120.000 Euro. La mancata notificazione al Garante, infine, prevede una sanzione da 20.000 a 120.000 Euro.

Cosa prevede la normativa italiana

Il Codice in materia di protezione dei dati personali (anche detto Codice della Privacy) prevede, all’articolo 122 comma 1, che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato (…)”.

In altre parole possiamo dire che l’utilizzo dei cookie all’interno di un sito web deve essere preventivamente accettato dall’utente, il quale deve esprimere il proprio consenso informato (tale consenso, come già detto, NON è necessario qualora un sito utilizzi esclusivamente “cookie tecnici”).

Particolarmente importante, nel contesto della normativa sui cookie, è il concetto di “informativa”: abbiamo detto infatti che prima di poter prestare validamente il proprio consenso, l’utente deve essere adeguatamente informato circa l’utilizzo che il sito fa dei cookie. Ciò, sempre secondo le disposizioni del garante, deve avvenire in due fasi distinte.