Salve a tutti,
innanzitutto la normativa di riferimento è la direttiva 2002/58/CE, che prevede l'obbligo dell'informativa in caso di uso di marcatori (nome giuridico dei cookie). Modifiche si sono avute con la direttiva 2009/136 e poi col Regolamento sulla privacy ancora in discussione. Il Garante privacy italiano ha anche stabilito le modalità semplificate per l'informativa per i cookie.
In breve si devono distinguere i cookie tecnici e quelli di profilazione (occorre quindi una mappatura precisa dei cookie che veicola il sito.
Per i cookie tecnici non occorre alcun consenso preventivo ma è obbligatorio fornire l'informativa specifica, indicando le finalità dei cookie. Va benissimo un link a fondo pagina che invii alla pagina dell'informativa, ma l'informativa deve esserci.
I cookie tecnici sono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete telematica, oppure necessari per la fornitura di un servizio richiesto dall'utente. Ad esempio i cookie necessari per il funzionamento del carrello per l'ecommerce, i cookie che ricordano la lingua del visitatore, le credenziali di accesso al sito, ecc...
Cookie tecnici ìsono anche i cookie che analizzano gli accessi al sito, ma solo se perseguono fini statistici e non di profilazione (quindi raccolgono dati in forma aggregata).
Questi cookie devono scadere alla chiusura del browser (cookie di sessione) se no non sono più tecnici, oppure devono rimanere attivi solo per il periodo di fornitura del servizio (es. i cookie del carrello).
Per i cookie di profilazione o marketing occorre non solo l'informativa ma anche il consenso preventivo. L'informativa deve chiarire che tipo di cookie sono, che fanno (cioè se servono per profilazione, per inviare pubblicità mirate, ecc...). Per questi cookie occorre la notifica del trattamento al Garante.
Se invece si tratta di cookie di terze parti (es. Google Analytics), il gestore del sito deve informare l'utente che il sito veicola quei cookie, dando la possibilità all'utente di rifiutarli, ma non deve fornire l'informativa specifica nè deve chiedere il consenso. Dovrà però indicare l'informativa della terza parte (pagina di Google privacy).
Quindi in caso di cookie di profilazione occorre un banner ben visibile che avverte della presenza di cookie di profilazione e rinvia alla pagina dell'informativa specifica. Nell'informativa deve essere specificato come impedire l'installazione dei cookie (anche semplicemente indicando le istruzioni previste per i singoli browser).