Entro il 3 giugno 2015 (un anno a decorrere dalla pubblicazione sulla Gazzetta Ufficiale del provvedimento del Garante Privacy n. 229/2014) tutti i gestori di siti internet comunitari devono

attuare le disposizioni della legge, detta “Cookie Law”, approvata con i decreti legislativi 28 maggio 2012, n. 69, che ha recepito le direttive 2009/140/CE e 2009/136/CE, modificando il Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) e il Codice delle comunicazioni elettroniche (D.Lgs. 1 agosto 2003, n. 259), e n. 70, che costituisce il quadro normativo di riferimento in materia.
L’Unione Europea, attraverso la direttiva 2009/136/CE del 25 novembre 2009, ha imposto l’ottenimento del consenso preventivodell’interessato nel caso di raccolta di informazioni sensibili attraverso i cookie. In Italia la direttiva è stata recepita nel 2012 con i due citati decreti n. 69/2012 e n. 70/2012.
Il Garante della Privacy, con il provvedimento n. 229 del 8 maggio 2014 (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014), avente ad oggetto “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, oltre a individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati, ha fornito idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge.
Successivamente, con delibera n. 161 del 19 marzo 2015, pubblicata sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015, il Garante per la privacy ha emanato le “Linee guida in materia di trattamento dati personali per profilazione on line”.
Le regole varate armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di “profili” di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate.
Dovranno essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali motori di ricerca, posta elettronica, mappe on line, social network, pagamenti elettronici, cloud computing.
Soggetti alla nuova normativa sono tutti i siti comunitari che fanno uso di cookie. Nel dettaglio, tutti i siti che utilizzano cookie non richiesti da un azione utente per soddisfarla correttamente. Quindi siti che utilizzano cookies di terze parti (social widgets come facebook o twitter, analytics, disqus, ecc.) o che utilizzano propri cookies per tracking, analisi o affiliati senza una diretta accettazione.
Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi:
– cookie di profilazione pubblicitaria di prima o terza parte;
– cookie di retargeting;
– cookie di social network;
– cookie di statistica gestiti completamente dalle terze parti.
Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line.
L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito.
Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio: i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, ecc.) potrà essere effettuata esclusivamente con il consenso informato dell’utente.
Pesanti le sanzioni previste per la mancata applicazione della normativa relativa ai cookie. In particolare:
1) per la omessa informativa o di informativa inidonea è prevista una sanzione amministrativa del pagamento di una somma compresa fra i 6.000 e 36.000 euro (art. 161, D.Lgs. n. 196/2003);
2) per l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta la sanzione del pagamento di una somma da 10.000 a 120.000 euro (art. 162, comma 2-bis, D.Lgs. n. 196/2003);
3) per l’omessa o incompleta notificazione al Garante viene applicata una sanzione con il pagamento di una somma da 20.000 a 120.000 euro (art. 163, D.Lgs. n. 196/2003).

Per scaricare il testo delle linee guida del Garante per la privacy clicca qui.

Per scaricare il testo del provvedimento del Garante per la privacy n. 229/2014 clicca qui.

Per scaricare il testo della direttiva 2009/136/CE clicca qui.