Nuova normativa sui cookies e i siti web

Quesito a cura di Claudio Bianchini, consulente commercialista di AVIS Nazionale   Come noto, il Parlamento europeo ha emanato nel maggio 2011 una nuova legge sulla privacy che obbliga i siti internet a richiedere il permesso degli utenti ad utilizzare i cookies relativi ai servizi offerti. La EU Cookie Law (legge europea sui cookies) è stata approvata anche in Italia con i D.Lgs 69/2012 e 70/2012 e dopo una serie di proroghe è entrata in vigore dal 03/06/2015 a cura del garante sulla Privacy.   L’iniziativa da parte del Garante della Privacy (in attuazione della direttiva europea 2009/136) ha come principale obiettivo quello di arginare la diffusione dei cosiddetti cookie di profilazione e dei relativi rischi per la privacy degli utenti. Sono tenuti al rispetto della nuova normativa tutti i titolari di siti web, anche tramite l’utilizzo di piattaforme di terzi, che installano cookies: società, enti non profit, pubbliche amministrazioni, ecc..   Gli adempimenti differiscono a secondo dei cookie utilizzati: cookie “tecnici” o cookie di“profilazione”, nonché in relazione al soggetto che installa i cookie sul sistema dell'utente, ovvero il gestore del sito o un soggetto terzo che li installa tramite il primo (c.d. terze parti).   Cookie tecnici: sono i cookie di navigazione (o di sessione), di funzionalità e di analisi (analytics) in forma aggregata (senza cioè raccogliere gli indirizzi IP) volti a raccogliere solo il numero di utenti e su come questi visitano il sito. Per l’installazione dei cookie tecnici il gestore del sito non è tenuto acquisire il consenso degli utenti, ma dovrà unicamente fornire una specifica informativa.   Cookie di profilazione: sono quei cookie che permettono al gestore del sito di tracciare un profilo dell’utente, al fine di indirizzargli messaggi pubblicitari in linea con le preferenze manifestate nel corso della navigazione.   L’informativa sulla privacy sull’utilizzo dei cookie da parte del sito dovrà essere resa su due livelli: 1.la c.d. “informativa breve”, contenuta in un banner presentato all’utente al momento del primo accesso al sito; 2.la c. d. “informativa “estesa”, che può essere anche contenuta all’interno della privacy policy già presente sul sito, in cui saranno contenute le informazioni di dettaglio. L’informativa breve dovrà indicare: 1.se il sito utilizza cookie di profilazione; 2.se il sito consente l’invio di cookie di terze parti; 3.il link dell’informativa estesa, con la precisazione che in tale pagina sarà possibile negare il consenso all’installazione di qualsiasi cookie; 4.che, proseguendo nella navigazione (ad esempio cliccando su una pagina o su un link presente nel sito), l’utente presterà il consenso all’installazione dei cookie. Il gestore del sito dovrà registrare il consenso, eventualmente attraverso un apposito cookie tecnico, in modo da non proporre nuovamente il banner con l’ informativa breve alle successive visite dell’utente. Il Garante ha chiarito che, qualora il sito installi cookie “di terze parti” (come – ad esempio – Google Analytics oppure quelli per la condivisione su Facebook e Twitter, Youtube), incombe sul gestore del sito rendere l’informativa e acquisire il consenso. Per questo motivo, l’informativa estesa dovrà contenere i link alle informative delle terze parti. Pertanto, in sintesi, tutte le Associazioni avisine con siti web dovranno indicare: 1)I propri dati identificativi (Ragione sociale; sede legale, Codice Fiscale e, se esistente, il numero di Partita IVA, l’indirizzo di posta elettronica certificata (PEC) se attivata, il numero di Iscrizione al Registro di Volontariato e, se in possesso di personalità giuridica, il numero Repertorio economico amministrativo (REA); 2) una informativa sulla privacy; 3) una informativa sui cookie Sanzioni Si precisa che in caso di inadempienze, anche parziali, la nuova normativa prevede un sistema sanzionatorio alquanto pesante, soprattutto per gli enti non profit, con sanzioni che vanno da un minimo di Euro 6.000 ad un massimo di oltre 100.000 Euro. In particolare la mancata indicazione dell’Informativa sulla Privacy sul sito prevede a carico del responsabile del trattamento sanzioni tra i 6.000 Euro e i 36.000 Euro (art. 161, D.Lgs. 196/2003). Ulteriori informazioni sono disponibili sul sito del Garante della privacy : http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 http://www.garanteprivacy.it/cookie   Scarica allegato (informativa,Dispositivo dell'art. 122 Codice della Privacy, Provvedimento n. 229 dell'8 maggio 2014 del Garante sulla privacy)