Lo scorso 2 giugno è scaduto il termine per dare attuazione alle prescrizioni del Garante Privacy in materia di cookies, come previsto dal provvedimento dell’8 maggio 2014 (entrato in vigore il 3 giugno scorso), su cui si veda la nostra newsletter del mese di giugno 2014 disponibile al link. Con il provvedimento citato, il Garante Privacy aveva infatti previsto un periodo transitorio di un anno dalla pubblicazione del provvedimento in Gazzetta Ufficiale (avvenuta il 3 giugno 2014) per implementare le procedure di informativa semplificata e di raccolta del consenso degli utenti rispetto all’archiviazione di cookies di profilazione (propri o di terzi) nei loro terminali previste nel provvedimento.

1. IN VIGORE LE PRESCRIZIONI DEL GARANTE PRIVACY SUI COOKIES
Federica De Santis
Lo scorso 2 giugno è scaduto il termine per dare attuazione alle prescrizioni del Garante Privacy in materia di cookies,
come previsto dal provvedimento dell’8 maggio 2014 (entrato in vigore il 3 giugno scorso), su cui si veda la nostra
newsletter del mese di giugno 2014 disponibile al link.
Con il provvedimento citato, il Garante Privacy aveva infatti previsto un periodo transitorio di un anno dalla pubblicazione
del provvedimento in Gazzetta Ufficiale (avvenuta il 3 giugno 2014) per implementare le procedure di informativa
semplificata e di raccolta del consenso degli utenti rispetto all’archiviazione di cookies di profilazione (propri o di terzi) nei
loro terminali previste nel provvedimento.
Quanto all’informativa semplificata, riordiamo che il provvedimento prevede l’obbligo per il gestore del sito di fornire una
prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede (ad esempio, tramite un banner
dinamico), e un’informativa estesa, accessibile tramite un link nell’informativa breve, che dovrà contenere anche i link
aggiornati alle informative e ai moduli di consenso delle terze parti che installino cookies di profilazione tramite il sito (es.,
targeting cookies di social networks). Con riferimento alle modalità con cui ottenere il consenso all’uso dei cookies di
profilazione, la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello
stesso (ad esempio, un’immagine o un link) comporta la prestazione del consenso all’uso dei cookies.
In recenti “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015, il Garante Privacy
ha chiarito che soluzioni per l’acquisizione del consenso basate su cd. “scroll”, ovvero sulla prosecuzione della navigazione
all'interno della medesima pagina web, sono considerate in linea con i requisiti di legge, a condizione che queste (i) siano
chiaramente indicate nell’informativa e (ii) siano in grado di generare un evento, registrabile e documentabile presso il
server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente (i “Chiarimenti”
citati sono disponibili al seguente link.
Nel caso in cui il sito utilizzi esclusivamente cookies tecnici è richiesto il solo rilascio dell’informativa con le modalità
ritenute più idonee (ad esempio, all’interno dell’informativa privacy del sito), senza necessità di realizzare il banner
previsto dal provvedimento né di trasmettere una notifica al Garante Privacy (necessaria, invece, se si utilizzano cookies di
profilazione di prima parte).
Per quanto riguarda i cookies analitici (come i cookies di Google Analytics), che servono a monitorare l’uso del sito da
parte degli utenti per finalità di ottimizzazione dello stesso, i “Chiarimenti” sopra citati chiariscono che tali cookies possano
essere assimilati ai cookie tecnici a condizione che:
(a) il gestore del sito implementi delle modalità idonee a ridurre il potere identificativo di tali cookies analitici (ad
esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP - Google offre una funzione, cd.
“_anonymizeIP”, per realizzare l’anonimizzazione dei dati, descritta a questo link.
(b) l’impiego di tali cookies dovrebbe essere subordinato a “vincoli contrattuali” tra siti e terze parti, nei quali si faccia
espressamente richiamo all’impegno della terza parte o ad utilizzarli esclusivamente per la fornitura del servizio, a
conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.