Logo Tom's Hardware

L'informativa, la privacy e le sanzioni

Dal 2 giugno tutti i siti web italiani dovranno recepire la nuova normativa sui "cookie" nel rispetto delle indicazioni comunitarie. Ecco cosa cambia rispetto al passato.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Com'è noto, la disciplina in materia di protezione dei dati personali è basata sul binomio informativa-consenso, ma la comunicazione web, nella prassi, mal si presta alla lettura di lunghi testi, che vengono oltretutto spesso "saltati" a piè pari dai lettori. Inoltre, l'estrema diffusione di dispositivi mobile (smartphone, phablet, tablet) pone ulteriori problematiche da questo punto di vista.

cookie alert 3

Il Garante ha così operato un bilanciamento: da un lato ha disposto l'obbligatorietà dell'informativa sin dal primo accesso a un sito web, dall'altro ha ideato un modello basato su due livelli di approfondimento successivi (informativa breve ed estesa: la prima è ormai divenuta "di prassi"). Più specificatamente, l'informativa sui cookie deve essere resa:

  1. in forma breve (informativa cookie breve). Quando un utente accede a una qualsiasi pagina di un sito web, deve apparire un avviso (ad es. un banner) di idonee dimensioni che manifesti discontinuità rispetto al layout del sito web e che richieda il consenso all'uso dei cookie. Essa deve indicare, fra l'altro, che il sito utilizza di profilazione e/o di terze parti (ove applicabile) e che alla pagina dell'informativa estesa (linkata) è possibile negare il consenso all'installazione di qualsiasi cookie. Il banner deve essere rimosso solo in seguito a un intervento attivo dell'utente (es., click), ma in ogni caso l'utente può revocare anche successivamente il proprio consenso;
  2. in forma estesa (informativa cookie estesa). Questa informativa deve essere accessibile sia dall'informativa breve sia da qualsiasi pagina del sito. Essa deve contenere tutti gli elementi previsti da una "tradizionale" informativa privacy, deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e anche consentirne la selezione/deselezione. Deve inoltre informare l'utente che le opzioni sull'uso dei cookie possono essere prescelte anche attraverso le impostazioni del browser, indicando la procedura da seguire. Infine, se sono installati cookie di terze parti, è necessario inserire il link aggiornato alle relative informative e ai moduli di consenso delle terze parti (o di eventuali intermediari).

I cookie di profilazione che persistono nel tempo comportano, per il titolare del trattamento, l'obbligo di notificazione al Garante privacy. Il loro utilizzo, infatti, è da considerarsi trattamento di dati personali soggetto al predetto obbligo perché è finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".

Ovviamente, l'utilizzo di cookie tecnici (ad es., quelli di sessione o comunque quelli necessari per compiere gli acquisti in un sito di e-commerce; ricordiamo però che utilizzarli per fini pubblicitari e di marketing è tutt'altra cosa!) non comporta il sorgere dell'obbligo di cui sopra.

Sanzioni per violazioni della normativa sui cookie

ley de cookies 583x365

Il crescente e spontaneo adeguamento, più o meno corretto, alla normativa si spiega forse con un motivo: le sanzioni possono essere molto "salate", soprattutto se il sito non è gestito da un'azienda dalle finanze molto floride. Esse variano da 6.000,- a 120.000,-, a seconda della fattispecie (tenendo presente che potenzialmente possono esserne violate diverse…).

In particolare, le fattispecie individuate dallo stesso Garante privacy sono:

  • omessa informativa o informativa inidonea; la sanzione amministrativa consiste nel pagamento di una somma da 6.000,- a 36.000,- euro;
  • installazione di cookie sui terminali degli utenti senza il loro preventivo consenso; la sanzione amministrativa consiste nel pagamento di una somma da 10.000,- a 120.000,- euro;
  • omessa o incompleta notificazione al Garante; la sanzione amministrativa consiste nel pagamento di una somma da 20.000, a 120.000,- euro.
Leggi altri articoli