Nella mia esperienza, mi è capitato spesso di dover verificare la compliance di un sito web con la nuova cookie law. Mi sono, purtroppo, reso conto di una generale scarsa consapevolezza in materia. Vi illustro, di seguito, alcuni dei principali errori che mi sono trovato a dover correggere:
1) Ci si limita a far visualizzare il bannerino e stop. Grave errore, perché il Garante ha analiticamente indicato che in tutti i casi di utilizzo dei cookie (anche solo cookie tecnici) occorre sempre darne atto nella Privacy Policy;
2) Si richiede il consenso, ma tutti i cookie vengono installati sempre e comunque. Il punto è abbastanza complesso (e probabilmente scriveremo un post specifico). Vi suggeriamo di leggere con attenzione i punti 4.1, e 4.2 del Provvedimento del 2014. Teoricamente, l’utente dovrebbe avere la possibilità di selezionare/deselezionare i singoli cookie e di negare il consenso all’installazione di qualsiasi cookie (anche tramite le impostazioni del browser). Ciò che sicuramente non si può fare è installare cookie fino a quando non sia stato espresso un valido consenso nelle forme di legge.
3) Si utilizza Google Analytics senza anonimizzazione e non si è proceduto a notificare il trattamento al Garante. Come abbiamo già indicato (—> approfondisci: Cookie analitici, il Garante e Google Analytics), per utilizzare Google Analytics senza essere soggetti a una normativa specifica occorre adottare alcune particolari cautele tecniche. In caso contrario, non si sfugge dall’obbligo di effettuare la notificazione al Garante. Attenzione: in caso di omessa notificazione, si rischiano sanzioni anche cospicue!!
4) Si utilizzano cookie di remarketing senza notificazione. Il Garante ha chiarito che i cookie di profilazione di prima parte sono assoggettati a tutti gli obblighi previsti dalla normativa sui cookie, anche quello sulla notificazione. Una buona fetta della comunità dei giuristi ha sostenuto che i cookie di remarketing sono cookie dove la finalità di profilazione è condivisa tra prima parte e terza parte (i.e. Facebook remarketing), per cui occorrerebbe anche in questo caso la notificazione.
5) Il copia&incolla. Probabilmente si tratta dell’ipotesi più frequente. Spesso per fare presto (o per risparmiare) si copia l’informativa pubblicata da un altro Sito. Tralasciando ovvie questioni etiche ed ulteriori implicazioni legali (diritto d’autore, questo sconosciuto), vi sconsiglio caldamente questa pratica. Nella Cookie Policy estesa, voi dovete fornire le informazioni specifiche per il Vostro sito. Dovete assicurare che gli utenti siano adeguatamente informati sui cookie che il Vostro sito installa (—> leggi anche: le cinque regole d’oro per la gestione dei cookie.). Copiare senza criterio, non è mai una buona scelta, specialmente per essere compliant con la cookie law!
Stay tuned!
L’immagine del post è realizzata da Moyan Brenn, l’immagine è rilasciata con licenza CC
