NORMATIVA COOKIE: un’entrata in vigore tra mille dubbi e qualche certezza

Garante Privacy - Speciale Cookie

Si è “scatenato” in questi giorni il panico sui cookie. È, infatti,  entrato in vigore il provvedimento a carattere generale del 8 maggio 2014 (in GU del 3 giugno 2014) e molte sono state le richieste di chiarimento.

Le principali domande che sono state rivolte in studio riguardavano: cosa devo scrivere nell’informativa? Quale banner di consenso devo inserire? Quando è necessaria la profilazione? Che cosa sono i cookie? Cosa devo fare?

Sicuramente le sanzioni ma anche i pochi riferimenti chiari hanno contribuito a creare preoccupazione tra gli addetti ai lavori,  ma cerchiamo di fare ordine sugli adempimenti, anche utilizzando i chiarimenti dello stesso Garante.

Innanzitutto cerchiamo di capire di cosa si tratta.

Oramai in tutti i siti sono inseriti i cosìdetti cookie che altro non sono che “stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”.

Oramai tutti i siti hanno cookie necessari anche solo al funzionamento del sito stesso. Capire quali adempimenti devo implementare è cosa più complessa.

Partiamo dall’esame seppur sommario della normativa.

La disciplina italiana sui cookie nasce dall’articolo 122 del D.lgs. 196/2003 (modificata da ultimo nel 2012), in forza del quale un cookie può essere memorizzato o acceduto solo dopo che l’utente sia stato preventivamente informato di tale circostanza e abbia prestato il proprio inequivoco ed espresso consenso.

Il legislatore ha poi previsto alcune eccezioni e, quindi,  la possibilità di non richiedere il consenso per determinate tipologie di cookie, in particolare:

• cookie finalizzati unicamente ad effettuare la comunicazione (di sessione);

• cookie strettamente necessari per rendere un servizio esplicitamente richiesto dall’utente (per i quali il consenso può ritenersi implicito nella richiesta del servizio).

Per tutti gli altri cookie, per i quali è necessario che il fornitore abbia correttamente informato al riguardo l’utente e ne abbia acquisito il consenso.

Successivamente, il Garante con il provvedimento dell’8 maggio 2014” oltre a stabilire – in linea con quanto previsto dalla legge al citato art. 122 del Codice – le modalità semplificate per rendere l’informativa agli interessati, è andato un po’ oltre i confini individuati nella legge ed ha previsto anche delle modalità semplificate di acquisizione del consenso degli interessati. Inoltre nel provvedimento il Garante divide i cookie in due categorie:

• i cookie “tecnici” : servono a effettuare la navigazione o a fornire un servizio richiesto dall'utente; non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web;
• i cookie  “di profilazione”: utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. ; con questi cookie possono essere trasmessi al terminale dell'utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

Partendo da questa distinzione vediamo quali sono gli adempimenti per l’uso dei cookie.

1. INFORMATIVA

Vale per qualsiasi cookie inserito nel sito.

Il Garante precisa che nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito)” che i deve essere “integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente”.

Nel banner contenente l’informativa breve potrà essere inserito anche la richiesta di consenso all’uso dei cookie.

L’informativa per esteso, viceversa, adempimento sia per i cookie tecnici che per i cookie di profilazione deve contenere:

• tutti gli elementi previsti dalla legge (art. 13. Dlgs. 196/2003)

• descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie

• il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l'installazione di cookie tramite il proprio sito

• la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.

Un punto a parte meritano i cookie c.d. di terze parti.

Si tratta dell’ipotesi in cui ad installare i cookie sul terminale dell'utente non sia lo stesso gestore del sito che l'utente sta visitando (indicato dal Garante come "editore") oppure il caso  di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

La gran parte dei siti web attualmente contiene cookie di terze parti sui quali il gestore del sito stesso, non ha margini di azione. Nonostante ciò, il Garante ha imposto ai gestori di siti web che ospitino al proprio interno cookie di terze parti i seguenti obblighi:

• all’interno dell’informativa estesa va inserito un “link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito”;

• “al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari)”;

• “nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse”.

A parere di chi scrive, questi adempimenti previsti dal Garante per i cookie di terze parti sono quelli più gravosi e per i quali auspico presto un provvedimento che semplifichi tali adempimenti e che sia più in linea con le dinamiche commerciali di internet. Infatti, a parere di chi scrive ciascuno può essere chiamato a rispondere solo della gestione dei cookie del proprio sito

2. CONSENSO

Da quanto previsto dal provvedimento del Garante e come ribadito nelle FAQ del 29 maggio u.s.: per l'installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell'utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

Il Garante ha poi consentito il consenso per “comportamenti concludenti” che a parere di chi scrive non si concilia molto bene con le previsioni in ambito comunitario (cft. Gruppo di lavoro articolo 29 doc. 2/2013). In particolare, il Garante ha stabilito che basta continuare la navigazione nel sito con un click o uno scroll per accettare che qualsiasi soggetto possa erogare i propri cookie e registrare le attività e abitudini online dell’utente per fini commerciali.

Tale scelta del Garante che sicuramente semplifica molto per i gestori del sito pone, a parere di chi scrive, gli utenti al rischio di “errore”.

In questo contesto, si consiglia di evitare di applicare le “semplificazioni sul consenso” e di utilizzare modalità corrette per l’acquisizione del consenso degli utenti all’uso dei cookie.

3. PROFILAZIONE

L’uso dei cookie di profilazione (non i cookie tecnici) rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del D.lgs. 196/2003, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti". Sono sottratti dall’obbligo di notifica quelli "relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo  fine di agevolare l'accesso ai contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).

Pertanto, i  cookie di profilazione, che di solito permangono nel tempo, sono soggetti all'obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

La notifica solo in modalità telematica sul sito del Garante Privacy:

* * *

Visti gli adempimenti previsti dalla normativa ecco alcuni consigli.

Se avete un sito internet, niente panico.

Per prima cosa verificate con il vostro informatico/ web master quali cookie state applicando e utilizzate, cercando di utilizzare la distinzione data dal Garante.

In particolare da verificare:

nel sito ci sono solo cookie tecnici?

nel sito ci sono cookie di profilazione?

nel sito ci sono cookie di parti terze?

A seconda dei cookie che utilizzate nel sito implementate gli adempimenti del Garante.

Oltre a ciò è necessario verificare se sul sito è presente un’informativa generale che riporta gli elementi di cui all’articolo 13 e collegarla alla policy cookie.

Si sconsiglia il copia e incolla da altri siti.

A parere di chi scrive comunque, al di là della scadenza del Garante è l’occasione per aggiornare e mettere a norma la raccolta dati sui propri siti internet che spesso riporta informative obsolete e ed è priva degli opportuni consensi.