Il 2 giugno è ormai lontano, la normativa sui cookie e la privacy è ormai entrata in vigore e, in questo lasso di tempo, non ci sono stati chiarimenti definitivi da parte del Garante. O meglio, le FAQ pubblicate sul sito ufficiale del Garante appaiono per certi versi in contraddizione con la normativa.
Pochi giorni fa, a dire il vero, è stata pubblicata un’infografica che dovrebbe – usiamo il condizionale di proposito – chiarire la situazione una volta per tutte. Sei casi possibili in tutto. Vediamoli uno per uno.
1. Nessun cookie: il caso migliore di tutti. Ma quale sito, al giorno d’oggi, non fa uso di cookie? Andiamo oltre.
2. Cookie tecnici o analitici di prima parte: i cookie tecnici, come spiegato efficacemente dall’esperto di Privacy Avv. Raffaele Romano, sono indispensabili per il funzionamento del sito e sono esenti dall’obbligo di informativa breve. Bisogna però prevedere un’informativa estesa, nella quale si illustri il loro utilizzo e il modo per disattivarli.
Anche i cookie analitici di prima parte ricadono in questa categoria. In altri termini, se un sito sviluppa un tool di statistiche proprietario non è indispensabile segnalarlo nel banner né richiedere il consenso ai visitatori. Attenzione però: in questo caso i cookie non possono in nessun modo profilare l’utente, per cui devono limitarsi a raccogliere informazioni in forma aggregata.
3. Cookie analitici di terze parti: “se sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”, sarà sufficiente l’informativa estesa e non quella breve (il banner).
In pratica, si è detto più volte che anonimizzando gli IP (clicca qui per scoprire come fare) i cookie analitici di terza parte sono assimiliabili ai cookie tecnici e, difatti, il terzo caso rispecchia esattamente il secondo (niente informativa breve, sì all’informativa estesa). Viene però aggiunta una clausola (“la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”) che scombina decisamente le carte. Cosa fare dunque se la terza parte non rispetta questo vincolo? Il Garante ce lo spiega con l’omino numero 4.
4. Cookie analitici di terze parti: “se NON sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone” occorre redigere l’informativa breve, l’informativa estesa (con richiesta di consenso all’uso dei cookie) e vige anche l’obbligo di notifica al Garante.
Qui, in realtà, sembrerebbe esserci un “non” di troppo (“la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”), ma anche in caso di errore non c’è da preoccuparsi troppo per la notifica al Garante. In un post scriptum, infatti, viene specificato che “La notificazione è a carico del soggetto terza parte che svolge l’attività di profilazione“. Per cui, se i cookie analitici di terza parte – che non raccolgono informazioni aggregate, ma specifiche – possono essere equiparati a cookie di profilazione, è corretto che la notifica sia a carico della terza parte. Il ragionamento fila?
In ogni caso, è consigliabile modificare le impostazioni dell’account Analytics (sezione Impostazioni della condivisione dei dati), così da spuntare le caselle Prodotti e servizi Google, Assistenza tecnica ed Esperto dell’account) in modo che i dati di Google Analytics vengano utilizzati soltanto per il servizio stesso di Google Analytics (qui maggiori informazioni).
5. Cookie di profilazione di prima parte: anche in questo caso vige l’obbligo di informare l’utente tramite informativa breve ed estesa, richiedere il suo consenso e notificare personalmente al Garante, con relativa spesa di segreteria di 150 €.
6. Cookie di profilazione di terze parti: in questo caso sarà necessario avvisare l’utente tramite informativa breve ed estesa e richiedere il consenso informato, mentre l’obbligo di notifica ricadrà sulla terza parte.
ITALY COOKIE CHOICES: UN PLUGIN PER WP
Ultimo punto da affrontare: il famigerato blocco preventivo dei cookie. Nell’infografica si parla dell’obbligo di “richiedere il consenso ai visitatori” senza specificare però se è necessario bloccare l’installazione dei cookie fino a quando l’utente non avrà aderito alla cookie policy. Come lo stesso Garante spiega è possibile acquisire il consenso tramite “scroll” per cui, nel momento in cui l’utente inizia ad interagire con il sito, sarà necessario ricaricare la pagina per procedere all’installazione dei cookie.
Come riuscire dunque a bloccare preventivamente il caricamento di quei plugin che rilasciano cookie? Per WordPress è stata di recente rilasciata la nuova versione di Italy Cookie Choices, un plugin in grado di bloccare i cookie fino all’acquisizione del consenso informato. Avete già avuto modo di provarlo? Fatecelo sapere nei commenti!