COOKIE LAW for dummies - proviamo a toglierci gli ultimi dubbi
Lo scorso 2 giugno è scaduto il termine per attuare la c.d. Cookie Law, ovvero la disciplina in materia di trattamento dei dati personali “a mezzo cookie”, che mira a governare la “profilazione di massa”.
Ripercussioni soprattutto su Professionisti, Artigiani e Piccoli e Medi Imprenditori che, pur non avendo competenze o risorse per capire cosa fare per mettersi in regola e soprattutto come farlo, si ritrovano obbligati ad adempiere alla legge.
L’Autorità ha pubblicato dei chiarimenti e un’efficace infografica per chiarire le idee almeno sui casi più ricorrenti (anche se qualche ragione di dubbio inesorabilmente rimane).
Caso 1 – Solo cookie tecnici
Se l’utente che ha un sito internet e non è interessato a profilare i suoi utenti, ma si limita ad installare dei c.d. cookie tecnici sui browser di chi transita per le sue pagine web:
Deve inserire nell’informativa privacy del sito (se non ce l’ha, la deve creare) un’indicazione che chiarisca che nel corso della navigazione attraverso le pagine del sito potranno installarsi sul browser dell’utente dei cookie c.d. tecnici e, come tali, privi di qualsiasi finalità promozionale.
Nessun obbligo di far comparire alcun banner, nessuna esigenza di richiedere il consenso né di notificare alcunché al Garante.
Caso 2 – Solo cookie tecnici e analytics “a basso potenziale identificativo”
Se l’utente usa cookie tecnici e anche uno o più servizi “a basso potenziale identificativo”(es. di analitycs, per sapere quanti visitatori sfogliano le pagine del proprio sito, da quali aree geografiche si collegano e a quali contenuti sono più interessati)
L’Autorità ha equiparato tali cookie a quelli tecnici: anche per il loro utilizzo è sufficiente una semplice informativa e non serve nessun banner, nessun consenso, né notifica al garante (indistintamente se i cookie sono gestiti direttamente dal titolare del sito o da una terza parte).
Resta un problema: come fa un non addetto ai lavori abbia un sito internet a capire se i servizi di analytics che utilizza (es. quelli di Google) sono basati su cookie a basso potenziale identificativo? Mahhhhh…..
Caso 3 – Cookie tecnici e cookie analytics NON “a basso potenziale identificativo” e cookie di profilazione di prima parte
Se il gestore di un sito utilizza sia cookie tecnici che cookie analytics non considerabili “a basso potenziale identificativo” assieme – o non assieme – a cookie di profilazione di prima parte, si cade nell’ipotesi in cui rispettare le nuove regole è più faticoso.
In questo caso il gestore del sito è titolare di un trattamento di dati personali a tutti gli effetti e, pertanto, è tenuto a prestare ai visitatori del suo sito un’idonea informativa ed a raccogliere il loro consenso, prima che il trattamento abbia inizio.
Per maggiori dettagli leggi l'articolo completo
Caso 4 – Cookie tecnici e cookie analytics “a basso potenziale identificativo” e cookie di profilazione di terza parte
Se il gestore del sito installa solo cookie tecnici e/o a basso potenziale identificativo ma consente a terze parti di installare cookie di profilazione, gli adempimenti sono gli stessi necessari ad adempiere alle nuove regole nel caso 3 ma, il gestore del sito che non è titolare di alcun trattamento di dati personali non è tenuto a procedere a nessuna notificazione al Garante.
Ovviamente, in questo caso, il gestore del sito pur dovendo impedire alle terze parti ogni trattamento di dati personali prima che l’utente sia stato posto in condizione – attraverso il banner – di scegliere se prestare o meno il consenso, non sarà poi responsabile in alcun modo dei trattamenti posti in essere dalle terze parti.
Non vuoi gestire anche questo impiccio?
Crea il tuo sito con webPortal e ci pensiamo noi! Scopri webPortal
Fonte: Wired.it Leggi l'articolo completo
Approfondimenti: Norme e provvedimenti