Cookie law: profilazione, terze parti, consenso preventivo
Nella cookie law ci sono 3 paroline chiave che possono essere utili per capire come deve essere applicata:
- A. profilazione
- B. terze parti
- C. consenso preventivo
A. Cookie di "profilazione" rispetto a "cookie tecnici"
La legge stabilisce queste due tipologie di cookie. Dal punto di vista "tecnico" (scusando il gioco di parole) non c'è nessuna differenza tra un cookie di profilazione e uno tecnico, ovvero questa distinzione non riguarda il browser e server web, ne il protocollo http, ma come verranno utilizzate le informazioni associate a questi cookie.
Se ai cookie verranno associate delle informazioni allo scopo di creare dei profili che possono servire per fare pubblicità mirata verso l'utente, questi sono di profilazione:
"... posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza"
Ed è il caso dei cookie installati dai social, e anche analytics in particolari circostanze.
vedi punti 3, 4 e 5 del chiarimento http://www.garanteprivacy.it/
B. terze parti
Quando si utilizzano componenti di terze parti (social, analytics, youtube, google maps, etc.) all'interno della pagina che installano dei cookie, come si può capire se questi verranno utilizzati dalla terza parte come cookie di profilazione?
Il garante richiede che
"L'impiego di tali cookie deve essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano"
Generalmente l'uso di questi componenti corrisponde all'accettazione di norme del fornitore, e quindi si dovrebbe spulciare ben bene queste norme prima di utilizzarli, e conseguentemente capire se esiste la possibilità che tali cookie siano usati per fare profilazione dell'utente.
C. consenso preventivo.
Prima di installare i cookie di profilazione, è necessario acquisire il consenso preventivo dell'utente:
"... l'obbligo di acquisire il consenso preventivo e informato degli utenti all'installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche "
questo significa che non è sufficiente mettere l'informativa e l'accettazione sopra una pagina, che contiene codici di terze parti (o ovviamente anche di prima parte), e poi dire all'utente che se ne può andare se non accetta le condizioni dopo che gli è stato installato il cookie.
Bisognerà (in ogni pagina, e non solo nell'home page!) richiedere il consenso e solo dopo averlo acquisito potranno essere caricate queste componenti di terze parti.
Una volta chiariti questi punti, ci si può affidare alla infografica del garante:
dove viene mostrato che in caso di cookie "di profilazione terze parti" è necessario non solo la segnalazione nell'informativa (che può essere ad esempio una pagina di spiegazioni dettagliate richiamata nel footer) ma anche "inserire il banner e richiedere il consenso [preventivo] ai visitatori"
Commenti