Cookie law, consenso obbligatorio dal 2 giugno 2015

Il provvedimento n. 229/2014 (“Cookie law“) emanato dal Garante per la privacy e relativo al consenso per l’utilizzo dei cookie nei siti Internet diventerà obbligatorio a partire dal 2 giugno 2015. Nella Cookie law si fa distinzione tra cookie tecnici cioè quelli che servono al sito per funzionare correttamente e cookie di profilazione essenzialmente strumenti di marketing utili a raccogliere informazioni sulle abitudini degli utenti con fini legati all’advertising. Anche un sito che non effettua attività di profilazione ma che dovesse presentare nelle sue pagine i cosiddetti cookie di terze parti (banner AdSense, codice di Analytics, widget di Twitter, LinkedIn o Youtube) dovrebbe essere obbligato all’adeguamento.

La nuova norma prevede che l’utente sia informato obbligatoriamente al primo accesso di un browser su un sito: in tal senso i cookie tecnici potranno essere rilasciati subito, mentre i cookie di profilazione dovranno essere bloccati tranne che la profilazione avvenga soltanto a seguito del consenso informato dell’utente che potrà essere revocato in qualsiasi momento. In tale senso è necessario aggiungere un’informativa (cookie policy) che dovrà essere in 2 versioni: “breve” che dovrà comparire immediatamente sulla pagina a cui l’utente accede e in versione “estesa” disponibile tramite link posizionato nell’informativa breve o in calce ad ogni pagina. La versione estesa potrà essere anche sezione dedicata alle policy sulla privacy. Un sito web che utilizza solo cookie tecnici non è obbligato a fornire l’informativa breve ma dovrà, comunque,fornire quella estesa. Inoltre se i cookie sono finalizzati alla profilazione in modo esplicito le Cookie law prevede anche una comunicazione al Garante.

Questa misura si applica a tutti i siti Web e le sanzioni potrebbero andare da €6.000 a €36.000 per informativa omessa o non idonea, da €10.000 a €120.000 per l’uso di cookie di profilazione senza consenso dell’utente e da €20.000 a €120.000 per comunicazione omessa o incompleta al Garante.

Garante per la privacy