Gli obblighi prescritti dalla normativa privacy – tra cui l’obbligo informativo – incombe sul Titolare del trattamento, ma potrebbe anche individuarsi una responsabilità del soggetto esterno che abbia assunto l’impegno di adeguare il sito web alla normativa vigente.
Tale normativa prevede l’utilizzo di cookie (file di servizio del sito Internet all’utente, con lo scopo di registrare l’accesso e di rilevare altri dati) per riconoscere l’utente quando torna a visitare il sito. Tale utilizzo è possibile a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate espressamente emanate dal Garante con il Provvedimento del 3 giugno 2014 - “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.
Tutto ciò premesso, sotto il profilo soggettivo, occorre fare una prima distinzione riguardo i soggetti che installano i cookie sul terminale dell’utente.
Nel caso di cookie installato dallo stesso gestore del sito (amministratore di sistema) che l’utente sta visitando, si parla di cookie di prima parte; in questo caso, il gestore del sito (amministratore di sistema) è considerato titolare del trattamento ed ha l’obbligo di segnalarli nell’informativa privacy (Privacy Policy), senza obbligo di banner o notificazione.
Nel caso, invece, in cui il cookie sia installato da un sito diverso, per il tramite del primo, si parla di cookie di terza parte; in questo caso il gestore del sito (amministratore di sistema) non è soggetto agli obblighi e agli adempimenti previsti dalla normativa(banner e notificazione), a condizione che vengano adottati strumenti idonei a ridurne il potere identificativo.
Ciò non toglie che resta compito del Titolare del trattamento, anche attraverso il Responsabile privacy aziendale o il Data Protection Officer effettuare un’attenta analisi del sito web aziendale, provvedendo ad inserire un’adeguata privacy policy e le ulteriori eventuali informative.
