Segue da parte I
Nella fase preliminare in cui si procede all’identificazione delle tipologie di cookie installate sul sito web, si devono distinguere quelli di “terze parti”.
TERZO PASSO: Identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie
Un ulteriore elemento da considerare riguarda l’individuazione del soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito (editore) ovvero di un sito diverso che installa cookie per il tramite del primo (terze parti).
- Editori: assumono una duplice veste, essendo titolari da un lato del trattamento dei cookie installati direttamente dal proprio sito e, dall’altro lato, quali intermediari tecnici per i cookie che le terze parti installano per loro tramite.
Dunque, per i cookie di terze parti -> gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico, è tenuto a inserire nell’informativa estesa i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
- Si dovrà identificare i link alle privacy policy e ai moduli di consenso delle terze parti con i quali il titolare del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito.
- Qualora il gestore non abbia contatti diretti con le terze parti o nel caso in cui risulti particolarmente arduo individuare tutte le terze parti, si potrà inserire:
- Link alle privacy policy degli intermediari ove disponibili;
- Link al sito youronlinechoises.com/it limitatamente ai servizi censiti da tale piattaforma o quelli di profilazione pubblicitaria.
Il Garante ha precisato che le richieste di consenso presenti nell’informativa estesa o nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.
In alcuni casi i siti utilizzano cookie analitici per meri fini statistici, realizzati e messi a disposizione da terze parti. In tali casi si ritiene che i succitati siti non siano tenuti agli obblighi e agli adempimenti previsti dalla normativa qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici utilizzati (ad es. attraverso il mascheramento di significative porzioni di IP)
- L’impiego di tali cookie deve essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte di utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non arricchirli o incrociarli con altre informazioni a loro disposizione.
- Verificare se sia necessaria la notificazione del trattamento al Garante della Privacy:
L’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37 comma 1 lett. d) del Codice della Privacy. In tal senso, i cookie di profilazione che hanno caratteristiche di permanenza nel tempo sono soggetti all’obbligo di notificazione. Quelli che rientrano nella categoria dei cookie tecnici non devono essere notificati al Garante.
- 37 Codice della privacy: Il titolare notifica al Garante il trattamento dei dati personali cui intende procedere, se il trattamento riguarda:
- d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo dei servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi agli utenti.”
Art. 38 Codice della privacy sulle modalità della notifica: “La notificazione del trattamento è presentata al Garante prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l’apposito modello ..”
- E’ possibile effettuare una sola notificazione per tutti i diversi siti web che gli editori gestiscono, indicando tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza, mantenendone aggiornato il relativo elenco.
- E’ tenuto alla notificazione e al pagamento correlato, il soggetto titolare del trattamento dei dati
- Ulteriori informazioni sono reperibili al link http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/490188
Conseguenze del mancato rispetto della disciplina: il Provvedimento individua tre diversi comportamenti sanzionabili attraverso irrogazione di sanzione pecuniaria:
- Omessa informativa o informativa non idonea: qualora non presenti gli elementi indicati, oltre che le previsioni ex art. 13 Codice della privacy;
- Installazione di cookie sui terminali degli utenti in assenza di preventivo consenso;
- L’omessa o incompleta notificazione al Garante (sanzione più elevata da E. 20.000 a 120.000)