Con provvedimento n. 229 il Garante è intervenuto nuovamente in materia di cookie disciplinando in maniera completa e definitiva gli obblighi di informativa e consenso previsti dal d.lgs. 30 giugno 2003, n. 196 (Codice sulla privacy).
A tal fine il provvedimento distingue tra cookie “tecnici” e cookie “di profilazione”: i primi vengono utilizzati dai gestori dei siti web unicamente per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”; mentre i secondi sono volti a creare profili relativi all’utente attraverso la raccolta di dati circa le abitudini e le inclinazioni degli internauti e vengono impiegati dai gestori dei siti per inviare messaggi pubblicitari in linea con le preferenze manifestate dagli utenti.
Per quanto concerne l’installazione di cookie “tecnici”, il Garante non richiede il preventivo consenso degli utenti, ma permane ugualmente l’obbligo di rendere l’informativa ai sensi dell’art. 13 del Codice.
Diversamente, i gestori dei siti che intendano installare cookie “di profilazione” dovranno d’ora in poi ottenere il consenso informato degli utenti.
A tal fine, il Garante suggerisce ai provider l’adozione di una “modalità semplificata” per l’informativa che consenta allo stesso tempo l’acquisizione del consenso.
Più precisamente, la soluzione proposta dall’Authority, prevede l’impostazione dell’informativa su due livelli di approfondimento successivi: in un primo momento, l’utente che acceda per la prima volta ad un sito, troverà sulla schermata un banner contenente l’informativa “breve” e la richiesta di consenso sull’uso dei cookie.
Sempre all’interno del banner sarà poi presente un link all’informativa “estesa”, la quale dovrà fornire tutte le informazioni in maniera chiara e dettagliata.
Nel caso in cui i cookie vengano installati dal gestore del sito per conto di terze parti, all’interno dell’informativa “estesa” dovrà essere inserito anche il link di aggiornamento alle informative e ai moduli di consenso delle terze parti.
Infine, il Garante ricorda che l’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione ai sensi dell’art. 37, comma 1, lett. d) del Codice, laddove sia finalizzato a “definire il profilo o la personalità dell’interessato o ad analizzare le abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.
Il provvedimento introduce una fase transitoria della durata di un anno per consentire ai titolari dei siti web di dare corso agli opportuni interventi.