Faccio il punto della situazione:
ho scritto del codice per gestire la situazione, ma prima di ragionare sul codice che ho scritto, vorrei ragionare sugli obblighi di legge.
Premessa: non sono avvocato, non sono consulente privacy, le mie considerazioni vanno intese come mie opinioni e basta, non possono essere usate per avvalorare una scelta fatta nei vostri siti. Delle scelte che fate, ovviamente dovete prendervi voi la responsabilità e non può in alcun modo essere mia.
Ciò detto veniamo a ciò che ho desunto da questo documento (senza riportare i riferimenti precisi ad ogni punto, li troverete leggendo il documento):
http://www.garanteprivacy.it/web/guest/ ... eb/31188841) Qualunque sito usi almeno un cookie, deve avere l'informativa.
2) Se si usano solo cookie tecnici, non occorre altro oltre all'informativa che può inoltre essere fornita con le modalità ritenute più opportune (quindi nessuna indicazione sull'informativa in questo caso).
Fermiamoci subito, perchè Zen Cart nella distribuzione standard usa un cookie di sesssione, che dura appunto per la sola sessione e lo scopo è quello di consentire la fruizione del sito e un cookie persistente (un mese se non ricordo male) che serve solo a verificare che il browser dell'utente ha i cookies abilitati. Sono entrambi cookies tecnici e pertanto, se non si installano plugin che comportino l'utilizzo di altri cookies, l'unico obbligo che si ha è quello di fornire un'informativa adeguata.
Poichè non mi pare eccessivamente invasiva la modalità di gestione dell'informativa prevista dal garante nei casi ci siano anche altri cookies, mi pare molto più semplice adottare il medesimo tipo di informativa in tutti i casi.
Ovvero informativa breve al primo accesso, governata da cookie tecnico (che consente quindi di farla sparire ad ogni caricamento successivo) + informativa estesa raggiungibile da link interno all'informativa breve e da link presente nel footer.
I contenuti delle due informative sono descritti in modo chiaro nel documento linkato qui sopra, non c'è granchè da dire, salvo ovviamente una considerazione sul punto in cui si individua l'obbligo di consentire agli utenti di esprimere l'accettazione per ciascun cookie.
Ci sono diverse considerazioni da fare:
1) L'opinione che va per la maggiore (ma è un'opinione...) è che i cookie tecnici non rientrino nell'obbligo. E' facilmente condivisibile l'opinione, perchè il Garante dice esplicitamente che se ci sono solo cookie tecnici, allora non è richiesto il consenso. Il dubbio nasce in seguito perchè in riferimento all'obbligo di consentire l'espressione di accettazione, la indica per ciascun cookie. La mia opinione è che non è necessario consentire l'accettazione dei cookies tecnici (ribadisco, mia opinione, non mi assumo responsabilità).
2) Per quanto riguarda i cookies di terze parti, informativa e consenso sono demandati alle terze parti, quindi l'obbligo risulta nell'indicazione delle policies e delle modalità di consenso da questi predisposte.
3) Con i due precedenti abbiamo coperto buona parte delle situazioni, senza necessità di intervenire sul codice (per gestire il consenso), rimangono i cookies creati direttamente dal nostro sito, come detto prima solo nel caso di plugin aggiuntivi che facciano questo (e che non rientrino anche questi tra i cookie tecnici).
Nel codice che ho scritto, il punto 3 non è ancora gestito, ma ho predisposto il cookie tecnico di gestione della cookie law per ospitare in futuro la gestione di questi cookies, però il codice andrà appunto scritto.
Il problema principale è che la mancata accettazione di un cookie del 'tipo' 3, deve comportare la sua eliminazione e il blocco della futura creazione. Il mio codice, con pochi interventi potrà gestire l'informazione sul consenso relativo al cookie in questione, ma non la sua eliminazione nè, soprattutto, il blocco della creazione, perchè ovviamente dipende da come questo cookie viene creato (e magari bisogna anche prevedere cosa debba accadere nel caso manchi il consenso (onde evitare che la mancanza di consenso causi errori nel codice dovuti all'assenza del cookie)).
Gradirei considerazioni in merito a tutto quanto.