Questo articolo fa parte della serie "Legge sui Cookie", divisa in cinque parti. Per saperne di più, consulta tutte le News sulla legge sui cookie oppure contattaci.

Il proprietario del sito è tenuto a scrivere e comunicare ai visitatori una Cookie Policy.

Tale informativa può essere slegata o incorporata nella Privacy Policy del sito. Per inserire le informazioni corrette occorre:

1. elencare tutti i cookie installati dal sito e la finalità di ognuno (es. Cookie “ricordati di me” per il login interno);
2. elencare le terze parti che potrebbero inviare Cookie tramite il sito (es. Facebook Connect) e segnare il link della loro privacy policy;
3. catalogare i Cookie per finalità di trattamento;
4. aggiornare, integrando, la Privacy Policy del sito;
5. modificare il comportamento automatico del sito in merito ai Cookie.

Come modificare il comportamento automatico del sito in merito ai Cookie

Dovete chiedere agli sviluppatori di mettere mano al codice del sito per fare in modo che risponda automaticamente alle scelte (esplicite o non) dei visitatori. Nello specifico chi sviluppa la modifica al sito dovrà:

1. isolare i blocchi di codice che potrebbero inviare Cookie di terze parti (es. Javascript di tracciamento);
2. inserire in tutte le pagine la visualizzazione dell’Informativa con possibilità di interazione e scelta;
3. fare in modo che il punto 1 lavori in base alle scelte del punto 2.

Esiste poi un interessante escamotage, con i suoi pro e contro. È possibile evitare lo step 3, inviando sempre e comunque tutti i Cookie al visitatore, ma senza “attivarli” (ovvero leggerli/usarli) finché il visitatore non esprime il consenso. Per utilizzare questo escamotage nel rispetto della normativa, durante la seconda visita di visitatori che non hanno ancora espresso il consenso, il sito deve cancellare i cookie e inviarli nuovamente (come se l’utente fosse alla sua prima visita). In pratica, se il visitatore non dà il consenso esplicito il sito può inviare i Cookie, ma non li deve usare fino a comunicazione contraria e, se questa non arriva durante la visita stessa, alla visita di ritorno vanno eliminati. Tutto ciò garantisce l’assenza di lettura/aggiornamento dei Cookie durante la visita successiva e quindi l’assenza di profilazione dell’utente. Infatti, se non c’è un consenso o un diniego esplicito, occorre prevedere un Cookie tecnico che identifichi l’utente come alla prima visita, chiedendo nuovamente il consenso.

Processo

Secondo la normativa, l’interazione col visitatore del sito dovrebbe essere eseguita così:

1. mostrare l’informativa per esempio tramite banner/overlayer;
2. inviare i Cookie tecnici;
3. verificare se l’utente abbia già espresso preferenze, analizzando il suo comportamento alla prima visita. In caso di seconda visita e mancanza di esplicito consenso fare in modo di eliminare i Cookie e considerare l’utente come fosse alla prima visita;
4. in caso di negazione esplicita del consenso: blocco dei Cookie di terze parti che rilasciano Cookie di profilazione, poi rilascio dei Cookie che non profilano l’utente. In caso positivo invece: rilascio dei Cookie di profilazione;
5. salvataggio delle preferenze dell'utente in un Cookie (così da non mostrare più il banner/informativa);
6. gestione e aggiornamento della Cookie Policy.

In sostanza al primo accesso sul sito si possono rilasciare sempre i Cookie tecnici, ma non quelli di profilazione nel caso in cui l’utente non abbia ancora esplicitato il consenso.

ATTENZIONE: il Garante richiede che si tenga traccia del consenso da parte dell’utente utilizzando un Cookie tecnico, ma non ha indicato la soluzione tecnologica da adottare. Per questa ragione, a ulteriore tutela, può aver senso introdurre un processo interno di risposta veloce per gli utenti che lamentano necessità di confermare/negare il consenso oppure chiedono informazioni su come cancellare i cookie dal proprio browser.