L'Autorità Garante per la protezione dei dati personali, nel seminario di formazione tenutosi questa mattina presso il CEFODIFE di Roma, ha spiegato come gestire correttamente i cookie, confermando sostanzialmente i Chiarimenti del 5.6.2015.
Per i cookie tecnici e cookie statistici - di prima parte o di terza parte ma impostati senza tracciamento IP utente e senza condivisione di dati con la terza parte - é sufficiente informare l'utente che il sito utilizza cookie, indicandone la categoria di appartenenza. A tal fine l'informativa può essere redatta con modalità molto semplici, ad esempio inserendo un paragrafo dedicato nella privacy policy.
Per i cookie di profilazione, invece, vale la regola dell'OPT-IN: l'editore del sito può installare il cookie solo con il consenso dell' utente, che deve essere specifico, libero, espresso, informato e precedente al trattamento. A tal proposito è necessaria un'informativa a più livelli (banner di consenso + informativa estesa). L'uso di cookie di profilazione, inoltre, impone alla parte che "profila" di notificare il trattamento all'Autorità Garante.
Di particolare interesse l'approfondimento sull'utilizzo dei cookie di statistica di Terza Parte (es Google Analytics), che così si può riassumere:
- se il Titolare del sito NON anonimizza IP utente e NON imposta la modalità di non condivisione dei dati con la Terza Parte, ha obbligo di inserire nel sito banner di consenso + informativa estesa + deve presentare notifica al Garante;
- se il Titolare del sito anonimizza IP utente ma NON seleziona la modalità di non condivisione dati con la Terza Parte, il cookie va trattato come cookie di profilazione di Terzi e pertanto nel sito va inserito banner di consenso + informativa estesa. In questo caso la notifica è adempimento della Terza Parte;
- se il Titolare del sito anonimizza IP utente e seleziona la modalità di non condivisione dati con la Terza Parte, il cookie è equiparabile ad un cookie tecnico e come tale va trattato: obbligo di informare l'utente sulla presenza del cookie - anche mediante un'informativa semplificata.
Preziosi spunti di riflessione per guidarci nella corretta interpretazione del Provvedimento "cookie".