Ancor prima dell’entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati), la questione relativa ai cookie utilizzati dai siti web era stata regolamentata mediante la cosiddetta Cookie Law. Ma procediamo con ordine, partendo da che cosa sono questi tanto famigerati cookie (in inglese “biscottini”) e quali sono le loro funzionalità all’interno di un sito web. Sommariamente, essi possono essere considerati dei file di puro testo inviati da un sito web direttamente nel computer dell’utente visitatore e che fungono da “identificatori persistenti” in grado di riconoscere il dispositivo tramite il quale l’utente accede a un determinato sito.
Lo strumento dei cookie è stato pertanto sfruttato in maniera massiva dalle aziende per scopi principalmente di marketing, ma non solo. A tal riguardo, mediante la suddetta Cookie Law, integrata oggi dalle prescrizioni del GDPR, è posto l’obbligo per il gestore del sito di raccogliere il consenso informato dell’utente prima di memorizzare o accedere alle informazioni sul dispositivo dell’utente stesso. Pertanto, se si fa uso dei cookie si deve: informare gli utenti del sito/app che si sta facendo uso dei cookie; spiegarne in maniera semplice la funzionalità e il motivo specifico dell’utilizzo; ottenere il consenso informato da parte dell’utente prima di memorizzarli.
Infatti, se non viene prima ottenuto il consenso, nessuna tipologia di cookie, eccezion fatta per le categorie “esenti” (come quelli tecnici), deve essere installata o risultare attiva. Lo sviluppatore web dovrà pertanto prevedere un blocco al codice dei cookie previo consenso dell’interessato. Un’importante distinzione da fare è quella tra: cookie di prima parte, ovvero quelli che verranno salvati direttamente dal sito interessato, e cookie di terze parti, vale a dire quei frammenti di dati inviati a siti diversi da quello visitato.
Due sono gli elementi meritevoli di menzione quando si tratta di cookie:
-
Il banner, attestante in questo caso l’indicazione dell’utilizzo di cookie da parte del gestore del sito, dove si deve poter lasciare all’utente finale la possibilità di prestare o meno il consenso;
-
La privacy policy (o cookie policy), ovvero la descrizione della politica sui cookie che si intende adottare e che può essere inserita anche in una pagina a sé stante.
Quest’ultima dovrà indicare le tipologie di cookie installate (facendo la distinzione tra quelli di prima parte e quelli di terza parte); indicare di conseguenza i soggetti terzi che installano, gestiscono o accedono ai cookie tramite il tuo sito/app, prevedendo inoltre un link alle rispettive policy; descrivere dettagliatamente le finalità di utilizzo dei cookie ed essere disponibile in tutte le lingue in cui viene fornito il servizio.
Infine, si segnala che con la stessa facilità con cui l’utente presta il consenso all’utilizzo dei cookie, quest’ultimo dovrebbe poter essere revocato con la medesima facilità. Tale strumento, data la sua grande diffusione, trova oggi una dettagliata regolamentazione all’interno del GDPR e nelle successive linee guida delle Autorità Garanti.