Come sicuramente avrete ben noto, l’8 maggio 2014 il Garante della privacy ha pubblicato il provvedimento n. 229, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, per la “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie”.

Il provvedimento nasce nell'ambito delle direttive del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva 2002/58/CE e successive modifiche e indicazioni dei vari Gruppi di Lavoro) e descrive in modo dettagliato il tipo di informativa che deve essere mostrata all'utente che naviga un sito WEB ed i casi ed i modi in cui deve essere chiesta esplicita conferma di accettazione all'uso dei cookie.

Si rimanda all'integrale del provvedimento per gli approfondimenti

(http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884)

Riprendendo dalla “PREMESSA” del provvedimento stesso:

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

Nel provvedimento viene poi descritta la differenza tra cookie tecnici, per i quali basta informare l’utilizzatore senza richiedere obbligatoriamente il consenso e cookie di profilazione che invece lo pretendono.

WEBESSE3, utilizzato nel modo standard ed all'interno della propria cornice applicativa, utilizza UN solo cookie tecnico e nessuno di profilazione e quindi necessiterebbe della sola informativa senza richiesta di consenso.

Sentiti diversi pareri, pur essendo chiara la non obbligatorietà della richiesta esplicita di consenso nel caso di cookie tecnico, sulla definizione di “cookie tecnico” non c’è equivalente chiarezza e per questo motivo abbiamo deciso di implementare comunque, in WEBESSE3, la modalità completa, con la memorizzazione del consenso all'interno del cookie stesso (eliminando il cookie si elimina anche la dichiarazione e quindi si torna alla richiesta di consenso).

Nel testo del provvedimento viene anche esplicitata la scadenza di questo adempimento:

un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate

Quindi il 2 giugno 2015 è la data entro la quale bisogna aderire al provvedimento.

Il punto 7. Conseguenze del mancato rispetto della disciplina in materia di cookie. Indica anche le sanzioni in caso di inadempimento:

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

La release di ESSE3/WEBESSE3 che includerà questo adeguamento normativo è la 13.05.02, nella quale sarà disponibile sia il banner informativo con annessa richiesta di consenso, sia il link e la relativa pagina con la descrizione della cookie policy standard.

Ma a parte l’impianto standard di WEBESSE3, è però anche noto che ogni Ateneo ha sia scelto la propria modalità per la “esposizione” dei servizi di WEBESSE3 ai navigatori, sia aggiunto propri servizi sviluppati in Ateneo o, ancora, servizi di terze parti (es.: Google Maps) o di analisi (es. Google Analytics) e tutte queste diverse opzioni posso richiedere differenti luoghi, momenti e condizioni di presentazione della policy e di richiesta di consenso.

In questi casi suggeriamo una esaustiva verifica di come sia più opportuno configurare e posizionare la richiesta (es.: sul portale di Ateneo o “solo” al richiamo di funzioni di WEBESSE3) e come scrivere la propria cookie policy.

L’implementazione si basa però su una configurazione comunque accessibile all’ateneo stesso (via KML Multilingua) in modo che si possa modificare o implementare ulteriormente gli script forniti allo scopo.

Nelle release note della 13.05.02 saranno descritti i dettagli necessari per una completa gestione.

Original post date: 04/05/2015