Cookie policy: breve guida per orientarsi nel labirinto degli obblighi normativi intorno ai cookie dopo l'entrata in vigore di GDPR, Cookie Law e nuove linee Guida del Garante. 

Cookie policy: prima una definizione

La cookie policy è un documento che gli articoli 13 e 14 del GDPR rendono obbligatorio. Deve descrivere in maniera semplice e chiara le modalità di trattamento dei dati personali tramite i cookie. Si articola in due parti:

• il primo livello, ovvero una informativa in forma breve entro il cookie banner. Questo deve comparire al momento in cui l'utente accede ad un sito web;
• un secondo livello che invece deve contenere l'informativa estesa. Solitamente questa è raggiungibile tramite un link presente sul banner. 

Quali informazioni deve contenere l'informativa estesa della cookie policy?

La cookie policy deve anzitutto essere chiara e comprensibile. Resta infatti valido il principio del GDPR per cui un consenso è valido solo se informato e consapevole. Al suo interno, come previsto dall'art 13 GDPR, vanno specificati:

• i cookie attivi sul sito web. Ne va indicato il nome, il fornitore, la scadenza;
• le finalità dell'utilizzo di tali cookie e la loro base giuridica;
• i dati tracciati tramite i cookie attivi;
• le modalità per accettare o rifiutare, da parte dell'utente, l'installazione dei cookie sul proprio dispositivo. E' consigliabile specificare nel testo come rifiutare i cookie sia attraverso il banner cookie sia tramite le impostazioni del browser;
• l'identità e i dati di contatto del titolare del trattamento;
• i contatti del responsabile della protezione dei dati;
• il periodo di conservazione dei dati raccolti o i criteri usati per valutarlo;
• la comunicazione dell'esistenza del diritto, per l'interessato, di chiedere l'accesso, la rettifica, la cancellazione dei propri dati personali. L'interessato può anche richiedere la limitazione del trattamento dei propri dati e il diritto alla portabilità;
• la comunicazione dell'esistenza del diritto di presentare reclamo al Garante per la protezione dei dati personali;
• in caso di processo decisionale automatizzato, si devono fornire informazioni sulla logica usata e sulle conseguenze che un trattamento tale ha per l'interessato. 

Una precisazione: cookie tecnici, di profilazione e di terze parti

Il tema è un pò ambiguo e, soprattutto se pensiamo a Google Analytics, si fa intricato. Partiamo da una distinzione basilare tra i cookie. La Cookie Law distingue i cookie in:

• tecnici
  • di sessione o di navigazione;
  • analytics;
  • di funzionalità.
• di profilazione;
• di terze parti (e di conseguenza, di prima parte).

Una specifica: uno stesso cookie può essere anche di più tipi contemporaneamente. I cookie di Google Analytics ad esempio possono essere solo tecnici se non memorizzano l'IP, ma sono da considerarsi di profilazione se invece lo memorizzano. Inoltre sono sicuramente cookie di terze parti, visto che li installa Google. 

Cookie banner: quali requisiti?

Il cookie banner deve sicuramente contenere l'informativa breve e un collegamento cliccando sul quale si può accedere all'informativa estesa. Deve indicare chiaramente quali azioni saranno valevoli come consenso (ricordiamo sul punto che lo scrolling non può più essere considerato un valido consenso). Deve prevedere un'area dove l'utente possa prestare un consenso granulare, ovvero scegliere in dettaglio quali cookie consentire e quali no. In ultimo va ovviamente previsto un pulsante che consenta all'utente di esprimere o negare il consenso. 

In quali casi c'è l'obbligo di richiedere il consenso dell'utente?

Il Garante per la protezione dei dati personali ha specificato che per i cookie di profilazione e in generale tutti i cookie anche di terze parti non indispensabili per la navigazione, va richiesti esplicito consenso dell'utente. In questi casi c'è anche l'obbligo di approntare un sistema che blocchi tutti i cookie non tecnici di default fino a quando l'utente non ha prestato il consenso. In generale, sicuramente non serve richiedere il consenso degli utenti qualora un sito web utilizzi solo cookie tecnici. E' però è necessario comunicare con un disclaimer che gli unici cookie presenti sul sito sono quelli tecnici

Una scelta molto utile questa, poiché ha semplificato non poco i casi in cui un gestore di siti web ha o meno l'obbligo di richiedere il consenso. 

Fonti utili

Occhio alle sanzioni > Ispezioni Garante: riflettori puntati su videosorveglianza e cookie. Sanzioni in arrivo
Qui la pagina tematica del Garante > https://www.garanteprivacy.it/temi/cookie