Questa vuole essere un aiuto e guida iniziale introduttiva al provvedimento del garante e alle misure necessarie per adempire a tale provvedimento che può essere letto integralmente qui: Provvedimento del Garante per la protezione dei dati personali n. 229/2014
Se si vuole essere tranquilli, contattate un legale per fare uno studio dei cookie del Vostro sito web.

 

Le sanzioni

Partiamo subito parlando delle sanzioni per chi non si adegua

In caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel provvedimento  è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro.
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta la sanzione del pagamento di una somma da diecimila a centoventimila euro.
L’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da ventimila a centoventimila euro.

Adempimenti necessari

Dall’entrata in vigore della legge dal 2 giugno 2015 non sarà più possibile installare cookie prima di:

  • Aver predisposto e mostrato all’utente un banner informativo (informativa breve)
    Aver predisposto e mostrato all’utente una cookie policy completa (o almeno suo link)
    Aver richiesto ed ottenuto il consenso agli utenti in modo implicito o esplicito

Fortunatamente sono esenti i cookie necessari a far funzionare il sito (soprattutto se ecommerce). Tra questi:

  • Cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing, carrello, preferenze.
  • Cookie di statistica aggregata di prima parte (gestiti direttamente dal titolare)
  • Probabilmente i Cookie di statistica aggregata di terza parte (es. Google Analytics), ma solo se alla terza parte è impedito di effettuare analisi dei dati in modo disaggregato ovvero qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo.

Quindi se i  cookie tecnici sono esenti possiamo ritenerci tutti coperti??

NO! Usiamo una quantità di cookie notevole…basti pensare a tutte le condivisioni social (facebook, twitter, pinterest ecc.): queste usano tutte script che utilizzano cookies…

Ottenere il consenso

Cosa fare dunque? Intanto prima cosa è scrivere la pagina di cookie policy.
La privacy policy deve contenere il testo standard per il trattamento dei dati e deve contenere al suo interno (o come documento separato) una sezione dedicata alla cookies policy.
Un aiuto viene dato da sistemi come iubenda che possono generare la pagina ad hoc con i servizi che si usano.

Fatto questo si deve chiedere il consenso dall’utente in modo implicito o esplicito esponendo il messaggio che avverte dell’uso dei cookies e che a disposizione diamo una cookie policy.
L’accettazione della policy ha validità 12 mesi.
In ogni caso, deve essere sempre presente sul sito un link che rimanda alla privacy policy completa, e la possibilità di accettare o rifiutare in qualsiasi momento i cookies.

Infine controllare quali cookie vengono installate dal proprio sistema e verificare di aver previsto tutto. Qualora non sia possibile coprire dalla nostra policy questi cookie, disattivarli.

Comunicazione al garante

Quando facciamo una profilazione dei clienti direttamente noi stessi è necessario informare il garante attraverso una comunicazione formale. Ad esempio se prendiamo numeri di telefono per richiamare o fare sondaggi o altro.
Il consiglio è: fate fare ad aziende specializzate queste azioni!

La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento.

La notificazione va effettuata telematicamente, una sola volta e prima che inizi il trattamento dei dati.

Ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00.

Le comunicazion al garante sono tutte quelle dove c’è una profilazione, quindi in teoria anche tutte le DEM rientrano in questo ambito.
Attendiamo delucidazioni in quanto, usando sistemi per invio terzi, i cookie di profilazione sono di terze parti e quindi in teoria non dovrebbe essere necessario provvedere alla notificazione non rientrando nel nostro controllo.

Tutti i siti si devono adeguare?

Si, ma non tutti allo stesso modo. Se il nostro sito non usa cookie di profilazione ma solo cookie tecnici, basta scriverlo nella privacy policy per essere a posto. Un esempio di siti che usano questa tecnica è proprio il sito del garante della privacy che non ha un banner di avviso in quanto non usa profilazione o js di siti terzi che prendono dati. Attenzione: se si usano sistemi di analytics è necessario però anonimizzare i dati.

Intanto il garante per informare al meglio gli utenti ha fatto un video che consigliamo a tutti di guardare.