Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, in tema di cookies (Vedi QUI), ha cambiato la disciplina sui cosiddetti “cookies”. Argomento che, al di là dell’aumento della propria cultura tecnologica, è utile conoscere in particolare per i dentisti che hanno un sito web del proprio studio, gestito direttamente o attraverso un tecnico.
Come è noto, i cookies sono stringhe di testo che i siti web visitati (c.d. “publisher”, o “prime parti”), ovvero i siti web di terze parti, memorizzano e quindi archiviano, rispettivamente in modo diretto o indiretto, all’interno di un dispositivo dell’interessato (sicuramente il computer, ma anche smartphone e tablet) per ottimizzare l’esperienza di navigazione: vengono quindi raccolte varie informazioni, che possono includere indirizzi e-mail o gli indirizzi IP (identificativi univoci, e dunque dati personali). Dati che saranno poi utilizzati, in generale, per facilitare la navigazione (portando ad esempio ad una maggiore velocità nell’apertura delle pagine web consultate) o, in alcuni casi, anche per veicolare pubblicità mirata nei confronti del visitatore del sito web (di qui la differenza tra cookies tecnici, i primi, e di profilazione, i secondi).
Ed è proprio per le diverse esigenze degli utenti, sempre più orientati ad un utilizzo massivo delle nuove tecnologie, non ultimo per l’accesso ai numerosi servizi della società dell’informazione, che l’Autorità ha definito, rinnovandola, la disciplina alla quale i Titolari devono attenersi nell’uso dei cookies.
Così, in considerazione del mutato quadro giuridico di riferimento (ad oggi rappresentato dal Regolamento UE 2016/679, il “GDPR”), il Garante privacy lo scorso giugno ha adottato nuove linee guida per l’utilizzo dei cookies sui siti web e sulle applicazioni, che devono essere osservate da tutti i Titolari di trattamenti di dati personali: linee guida dettate, in particolare, per chiarire le modalità di fornitura dell’informativa e di richiesta e tracciamento del consenso dell’utente nella specifica fattispecie.
Nello specifico, fermo restando appunto l’obbligo di fornire informativa al visitatore del sito web (che ha la funzione di evidenziare i caratteri del trattamento e quindi gli scopi perseguiti, l’identità del Titolare, …), vengono aggiornate le modalità di espressione del consenso: che, nella specie, non potrà più essere implicito nell’atto stesso della prosecuzione della navigazione, ma dovrà essere esplicito, libero e “granulare”, ovvero differenziato per ciascuno scopo di trattamento, in linea con il nuovo principio cardine del Regolamento, ovvero quello di accountability.
Pertanto, il Titolare dovrà inserire, come avviene già oggi, un banner visualizzabile al primo accesso dell’utente, che indichi chiaramente la tipologia di cookies che il sito web sfrutta (solo tecnici o anche di profilazione) e quindi richiedere, con apposite caselle di flag (non preselezionate), il consenso all’installazione di questi strumenti, differenziandoli per funzioni e lasciando scegliere liberamente l’interessato, nonché tracciando le manifestazioni di volontà di quest’ultimo.
Si tratta quindi di organizzare (il termine stabilito dal provvedimento era lo scorso 9 gennaio) una più attenta gestione e un puntuale tracciamento dei consensi (con un banner, differenziato per tipologia di cookies, e relativi flag): questo attraverso soluzioni in commercio che implementano il sistema di gestione per conto del Titolare, tenendo evidenza delle manifestazioni di volontà dell’utente oppure mediante metodi integrati ad hoc all’interno della propria struttura (dal settore IT o da eventuali fornitori esterni), purché si rispettino i requisiti dettati dall’Autorità, che sono stati brevemente esposto e che si possono trovare più nel dettaglio nel citato provvedimento del Garante (Vedi QUI) , in particolare, ai paragrafi 6 e 7.