Il Garante differenzia il caso in cui il soggetto che installa i cookie sul terminale dell'utente è direttamente lo stesso gestore del sito Internet che l'utente sta visitando gestore che viene indicato come “editore” da quello in cui sono un soggetto e un sito web diversi ad installare cookie per il tramite del sito web dell’editore c.d. “terze parti” .
I soggetti tenuti al rilascio dell’informativa ed alla acquisizione del consenso. I soggetti tenuti al rilascio dell’informativa da rendere sia per i cookie tecnici che per quelli di profilazione ed alla acquisizione del consenso per i soli cookies di profilazione degli utenti sono i gestori dei siti web e i terzi soggetti che inviano loro cookies per il tramite del sito web del gestore. Il Garante differenzia infatti il caso in cui il soggetto che installa i cookie sul terminale dell'utente è direttamente lo stesso gestore del sito Internet che l'utente sta visitando gestore che viene indicato come “editore” da quello in cui sono un soggetto e un sito web diversi ad installare cookie per il tramite del sito web dell’editore c.d. “terze parti” . Il Garante esclude che si possa obbligare l'editore ad inserire sulla home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Saranno queste ultime a dover predisporre il contenuto e rilasciare le proprie informative. Link aggiornato alle informative e ai moduli di consenso delle terze parti. Per quanto concerne invece l'acquisizione del consenso per i cookie di profilazione di terze parti che operano sul proprio sito, gli editori devono inserire all’interno della propria informativa il solo link aggiornato e non anche i testi alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Anzi, il Garante prescrive che gli editori acquisiscano, già in fase contrattuale, tali link. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Informativa breve all’atterraggio sulla home page del sito web dell’editore. Il Provvedimento Generale del Garante individua due momenti informativi la resa on line di una informativa sintetica e semplificata tramite banner e il rinvio – tramite link in tale banner – ad una informativa estesa. Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner di dimensioni sufficienti e a comparsa immediata sulla home page o altra pagina tramite la quale l'utente può accedere al sito , integrata da un'informativa “estesa” alla quale deve essere possibile accedere attraverso un link cliccabile dall'utente contenuto nel banner. Contenuto dell'informativa breve avviso presentato in home page nel momento in cui l’utente inizia la navigazione 1. informazione che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete 2. informazione che il sito consente anche l'invio di cookie terze parti laddove ciò ovviamente accada 3. link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare 4. indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie 5. indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso ad esempio, di un'immagine o di un link comporta la prestazione del consenso all'uso dei cookie. Il contenuto della informativa estesa. L’informativa estesa deve contenere tutti gli elementi previsti dall'articolo 13 del Codice, deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie non tecnici per i quali esprimere o meno il consenso. Come detto, l’informativa estesa deve essere raggiungibile mediante un link inserito nell'informativa breve inoltre essa deve sempre essere visionabile in ogni pagina del sito mediante link collocato in calce alla medesima. All'interno della informativa estesa deve poi essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Nel medesimo spazio dell'informativa estesa deve essere poi richiamata la possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall'utente, l'editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse. Consenso alla operatività dei cookies di profilazione e modalità di acquisizione. Circa il consenso alla operatività dei cookie di profilazione, va ricordato che esso deve essere sempre espresso e non basato su comportamenti concludenti taciti o ex silentio dell'utente circa i modi in cui è possibile esprimere un valido consenso vi sono ad esempio differenti tools ritenuti legittimi quali pop up, splash screen, nonché mediante la configurazione del browser o altre applicazioni. Difatti lo stesso Garante nel Provvedimento generale ricorda che nella informativa breve deve essere contenuto un richiamo circa il fatto che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso ad esempio, di un'immagine o di un link comporta la prestazione del consenso all'uso dei cookie. Il consenso deve essere poi preventivo, prestato cioè prima dell’inizio del trattamento dei dati. Pertanto prima che i cookies siano stati inviati o l’informativa sia stata prestata – il sito deve garantire un momento nel quale nessun tipo di cookies non tecnico sia installato sul computer dell’utente, prima che lo stesso abbia avuto modo di esprimere la propria preferenza. Il consenso deve poi essere libero, specifico, documentato e informato il meccanismo per la sua espressione deve permettere all’utente di poter scegliere se accettare tutti i cookies o solo una parte, ovvero declinare il consenso per tutti o alcuni. Pertanto, l’utente deve avere la possibilità i di modulare il consenso in ordine alla totalità o a parte dei meccanismi di tracciabilità, nonché ii di modificare, in futuro, l’opzione espressa. Si parla in tal caso di consenso selettivo o granulare il c.d. general access al sito web non può infatti essere subordinato all’accettazione preventiva di tutti i cookies all’utente deve essere data cioè la possibilità di scegliere ad esempio mediante un pannello di controllo online con checkboxes di attivazione/disattivazione di ogni singolo cookie non tecnico o di cookie raggruppati per ambiti di finalità se prestare o meno il consenso, modulando la scelta in relazione ai differenti tipi di cookies utilizzati. L’utente potrà per esempio accettarne alcuni e rifiutarne altri, senza che ciò possa inficiare la fruizione dei contenuti del sito web e dovrà poter sempre modificare nel tempo le opzioni manifestate. Ovviamente, in assenza di consenso, l'editore non potrà installare cookie sia propri che di terze parti nel terminale dell'utente. Il Garante nel proprio Provvedimento Generale fornisce poi alcune utili indicazioni in merito al consenso. In primo luogo indica come necessario che la richiesta di consenso all'uso dei cookie non tecnici sia inserita proprio nel banner contenente l'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell'informativa estesa, la possibilità di esprimere scelte più specifiche. In secondo luogo il Garante ritiene lecito per documentare l'avvenuta prestazione del consenso dell'utente l’editore possa avvalersi proprio di un apposito cookie tecnico che consentirebbe di registrare e tracciare il consenso prestato e permetterebbe poi all'editore di non riproporre l'informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito. Va anche ricordata, infine, la possibilità di acquisire il consenso tramite un fornitore dello specifico servizio diverso dall’editore e dalle terze parti si potrebbe definire un consent provider , che offre e predispone uno specifico servizio in grado di registrare i consensi manifestati dagli utenti un esempio di questo genere è rappresentato da www.youronlinechoices.eu . Notificazione del trattamento. Infine il Garante ricorda che l'uso dei cookie di profilazione rientra tra i trattamenti soggetti all'obbligo di notificazione ai sensi dell'articolo 37, comma 1, lett. d , del Codice, della privacy. Difatti in questo caso i cookie rappresentano un finalizzato a «definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti». L'uso dei cookie tecnici è invece sottratto all'obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli «relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet». Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all'obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics non debbono essere notificati al Garante.