Come è ormai noto entro il 2 giugno 2015 entreranno in vigore anche in Italia i nuovi obblighi previsti dalla normativa europea sui cookie per la profilazione, gli adempimenti richiesti sono stati esposti dal Garante per la protezione dei dati personali tramite ilprovvedimento n. 229/2014, denominato “Cookie law“, che individua le modalità per la stesura dell’informativa e l’acquisizione del consenso per l’utilizzo dei cookie nei siti Web.
Sostanzialmente, nell’interpretazione italiana della normativa essa prevede che chi effettuaattività di profilazione degli utenti tramite i già citati cookie (o sistemi con medesima finalità come il localstorage), debba procedere con l’introduzione nel proprio sito Internet di un’informativa breve, che informi i visitatori dell’attività di profilazione, di un’informativa estesa, linkata nella prima e detta anche cookie policy che spieghi nel dettaglio le modalità del trattamento, e di uno strumento che permetta agli utenti di fornire un consenso revocabile alla profilazione.
In mancanza di un consenso informato i cookie di profilazione dovranno essere bloccati, mentre potranno continuare a funzionare i cookie tecnici, cioè quelli che permettono di accedere a funzionalità specifiche di un sito come per esempio l’autenticazione in un’area riservata; nel caso in cui il gestore di un sito Web operi in forma autonoma o in contitolarità con altri attività di profilazione, sarà necessaria anche una comunicazione al Garante da inviare telematicamente e vincolata al pagamento di 150 Euro di diritti di segreteria.
Sulla base di quanto anticipato, in molti si sono chiesti se l’utilizzo di cookie di terze parti obblighi alla stesura delle informative e alla comunicazione al Garante; da questo punto di vista è necessario sottolineare che anche l’impiego di pulsanti o widget dei social network (ad esempio il “Mi piace” di Facebook associato al post di un blog o al blog stesso), rappresenta un’attività di profilazione, motivo per il quale si consiglia sempre la redazione di una informativa estesa.
Diverso il discorso per quanto riguarda la comunicazione al Garante, la normativa infatti sembrerebbe prevedere che quest’ultima debba essere effettuata nel caso in cui i dati al quale può accedere il gestore e il titolare di un sito Web non siano stati anonimizzati; quindi come comportarsi con strumenti come Google Analytics che offrono un quadro disaggregato delle informazioni raccolte?
A tal proposito segnaliamo che Iubenda ha messo a disposizione un apposito tutorial dedicato alla IP Anonymization in Google Analytics, esso spiega in pratica come sfruttare la funzione _anonymizeIp() della piattaforma per rendere irrintracciabile un indirizzo IP . Una volta anonimizzati i dati di Google Analytics la comunicazione al Garante non dovrebbe essere più necessaria, salvo l’utilizzo di ulteriori strumenti per la profilazione.