Riassumendo quanto anticipato nel precedente articolo dedicato alla cosiddetta Cookie Law, le disposizioni del Garante per la tutela della privacy impongono che dal 2 giugno 2015 non sarà più possibile installare cookie per la profilazione prima di: aver redatto e reso disponibile un'informativa estesa sulla natura e l'utilizzo di tali strumenti (cookie policy), aver incluso nel proprio sito Web un'informativa breve collegata a quella estesa e aver richiesto il consenso (revocabile) agli utenti che lo visitano.
Esiste però un'ulteriore incombenza, sicuramente la meno gradita nel quadro di un nuovo regolamento per molti versi di difficile interpretazione se non di implementazione pratica, che riguarda la comunicazione al Garante. A tal proposito è bene ricordare che l’impiego di cookie di profilazione è assoggettato all’obbligo di notifica preventiva al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Quindi, cosa comporta tale procedura e chi è obbligato ad effettuarla?
Come indicato dalla stessa Authority, per la quale l'utilizzo del termine "autonomo" non è di secondaria importanza:
La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento.
La notificazione va effettuata telematicamente, una sola volta e prima che inizi il trattamento dei dati. A ciò si aggiunga che:
ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00.
Prima di mettere mano al portafogli sarà comunque bene tenere presente che nel caso in cui il gestore (o titolare) di un sito Web impieghi unicamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione, questo perché le modalità e le finalità del trattamento perseguite non rientrano nel controllo di quest'ultimo. Unica eccezione il caso in cui il medesimo soggetto possa effettivamente accedere ai dati raccolti in forma disaggregata dai cookie.
In quest'ultimo caso infatti, ai fini della notificazione, si dovrà valutare la presenza di "contitolarità" o di titolarità autonoma del trattamento, come nel caso in cui gestore (o titolare) abbia dato vita ad accordi con le terze parti riguardo allo sfruttamento dei cookie di profilazione.