201506.03
Off
5

Cookies: Nuovi adempimenti in materia di Privacy

by in Pubblicazioni

Sono entrate in vigore le disposizioni del Garante per la protezione dei dati personali in materia di cookies, di cui al provvedimento n. 229 dell’8 maggio 2014 (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).

I cookies vengono definiti nel provvedimento in questione quali “stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”.
Trattasi quindi di dati impiegati dal sito visitato dall’utente per gestire tutta una serie di attività, che ricomprendono, ad esempio, l’esecuzione di autenticazioni informatiche, il monitoraggio delle sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc..

PREMESSA DI CARATTERE NORMATIVO
L’esigenza di regolamentare l’utilizzo dei cookies è stata avvertita dapprima a livello europeo, ove si è assistito sia ad interventi normativi (a partire dalla direttiva 2009/136/CE del 25 novembre 2009 del Parlamento europeo e del Consiglio, che ha apportato, tra le altre, modifiche alla direttiva 2002/58/CE in materia di trattamento dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche) che ad attività di tipo consultivo (si pensi al “Gruppo di lavoro per la tutela dei dati personali” istituito dall’art. 29 della direttiva 95/46/CE e alla sua opinion 04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e al working document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013).
La direttiva 2009/136/CE, in particolare, ha evidenziato (considerando n. 66) che “possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus)”.
Il principio generale di cui occorre tener conto, quindi, è quello per cui gli utenti devono essere informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare da parte di terzi l’accesso e l’archiviazione di informazioni che li riguardano.
A tal fine gli Stati membri devono assicurare che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito “unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”. (art. 5 par. 3, direttiva 2002/58/CE).
Il legislatore italiano ha recepito tale principio con il decreto legislativo 28 maggio 2012, n. 69, che ha apportato diverse modifiche al Codice in materia di protezione dei dati personali (d’ora innanzi Codice), tra cui, per quanto qui d’interesse, l’art. 122 comma 1.
Le disposizioni previste dal regolamento del Garante in esame, tengono conto della consultazione pubblica avviata ai sensi del predetto art. 122, volta ad individuare modalità semplificate per l’informativa di cui all’art. 13, comma 3, del Codice.

TIPOLOGIE DI COOKIES
Il Garante ha individuato differenti tipi di cookies al fine di fornire una diversa regolamentazione a seconda del carattere più o meno “invasivo” degli stessi.
I cookies tecnici sono quelli utilizzati per garantire la normale fruizione dei contenuti del sito, permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate. Ad essi vengono assimilati anche i c.d. cookies analytics, laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, nonché i cookies di funzionalità, che invece consentono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per tali cookies non è richiesto il consenso dell’utente, bensì la sola informativa da rendere con le modalità meglio illustrate in seguito.
I cookies di profilazione sono invece volti alla creazione di profili relativi all’utente, tra i cui fini vi è quello di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della loro particolare invasività, l’utente non solo deve essere adeguatamente informato, ma deve altresì esprimere il consenso al loro utilizzo.

I SOGGETTI COINVOLTI
Nella maggior parte delle ipotesi, il gestore del sito (sia esso indifferentemente il titolare del trattamento, il responsabile, o l’editore, così come sinteticamente indicato nel provvedimento in esame) non ha un’adeguata conoscenza della tipologia di cookies installati dagli altri siti collegati al suo e a cui l’utente accede nel corso della navigazione.
Trattasi di cookies di terze parti, in relazione ai quali il Garante non intende porre in capo al gestore l’obbligo di fornire l’informativa ed acquisire il consenso alla loro installazione.
Ciò in considerazione del fatto che il gestore dovrebbe verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Inoltre, non di rado tra il gestore e le terze parti si frappongono altri soggetti che svolgono il ruolo di concessionari, con la conseguenza che diventerebbe molto complesso per il gestore, se non praticamente impossibile, controllare l’attività di tutti i soggetti coinvolti.
Si aggiunga, infine, che i cookies di terze parti potrebbero essere modificati nel tempo e risulterebbe poco funzionale pretendere che i gestori tengano traccia anche di tali modifiche.
In considerazione di tutto ciò, il Garante, ritenuto che il gestore è comunque titolare del trattamento quanto ai cookies installati direttamente dal proprio sito, ma non contitolare di quelli installati per il suo tramite dalle terze parti, ha ritenuto corretto considerarlo quale “intermediario tecnico” tra quest’ultime e gli utenti, con particolari conseguenze in tema di informativa e consenso.

I DUE LIVELLI DI TUTELA
Per far fronte all’obbligo di fornire un’adeguata informativa che tenga conto, al contempo, della semplificazione richiesta dall’art. 13 del Codice e della necessità di descrivere i singoli cookies installati sul terminale (o sul browser) dell’utente, il Garante ha escogitato una tutela a due livelli.
Il primo livello è rappresentato da una informativa breve, da inserire in un apposito banner che deve apparire sopra la pagina visitata e che sia quindi posto in evidenza rispetto a qualsiasi altro dato presente nella pagina stessa.
Lo scopo è quello di far sì che l’utente prenda subito visione delle informazioni necessarie per poter proseguire consapevolmente nella navigazione del sito.
L’informativa breve deve poi contenere un richiamo ed un collegamento ad una seconda e più estesa informativa -quella appunto di secondo livello- che consenta all’utente di acquisire maggiori e più dettagliate informazioni sui cookies e di operare una scelta su quelli da installare sul proprio terminale.

L’INFORMATIVA BREVE
Il banner, che deve avere dimensioni tali da creare una percettibile discontinuità nella fruizione dei contenuti della pagina visitata, deve contenere le seguenti informazioni:

  1. a) se il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. b) se il sito consente anche l’invio di cookies di terze parti;
  3. c) il collegamento all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookies tecnici e analytics, e sulla possibilità di scegliere quali cookies autorizzare;
  4. d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  5. e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookies.
    Con riferimento a tale ultimo punto, il provvedimento specifica che il superamento della presenza del banner al video deve essere possibile solo attraverso un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso). E’ quindi sufficiente, ad esempio, che l’utente punti il selettore in altra area dello schermo.

Resta ferma naturalmente la possibilità per il gestore del sito di ricorrere a modalità diverse da quella descritta nell’informativa breve per l’acquisizione del consenso online all’uso dei cookies, sempreché tali modalità assicurino il rispetto di quanto disposto dall’art. 23, comma 3, del Codice.
In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte del titolare del trattamento, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).
La presenza di tale “documentazione” delle scelte dell’utente consente poi al gestore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere accessibile da ogni pagina del sito.

L’INFORMATIVA ESTESA
L’informativa estesa deve innanzitutto contenere tutti gli elementi tipici dell’informativa “tradizionale”, ossia le informazioni elencate nell’art. 13 del Codice.
Essa deve inoltre descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookies installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookies.
Come sopra accennato, l’informativa estesa deve essere resa accessibile sin da subito all’utente, mediante un collegamento inserito nel banner, nonché attraverso un riferimento in ogni pagina del sito, collocato in calce alla medesima.
All’interno di tale informativa, deve essere inserito anche il collegamento aggiornato alle informative e ai moduli di consenso delle terze parti.
L’informativa deve inoltre prevedere la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookies da parte del sito, indicando le procedure per configurare le relative impostazioni del browser, eventualmente predisponendo un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

LA NOTIFICAZIONE
Il Codice prevede l’obbligo di notificazione di determinati trattamenti, tra cui quelli volti a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti” (art. 37, comma 1, lett. d del Codice).
Se, quindi, i cookies impiegati dal sito prevedono l’acquisizione di tali informazioni, il relativo trattamento va senz’altro notificato.
Sono invece sottratti all’obbligo di notificazione quei trattamenti “relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet” (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81). La definizione include quindi i cookies tecnici, a cui sono assimilati, ai fini dell’applicazione del provvedimento in esame, i cookies analitici e di funzionalità sopra descritti.
Dal quadro sopra delineato emerge pertanto che, mentre i trattamenti mediante cookies di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione, quelli che impiegano cookies tecnici non debbono essere notificati al Garante.

SANZIONI
L’omessa o incompleta informativa in ordine a quanto prescritto dal provvedimento in esame (oltre che a quanto stabilito in linea generale all’art. 13 del Codice), comporta la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

ENTRATA IN VIGORE
Sebbene il provvedimento risalga allo scorso anno -trattasi infatti del provvedimento n. 229 dell’8 maggio 2014- il Garante ha concesso un periodo transitorio di un anno decorrente dalla sua pubblicazione nella Gazzetta Ufficiale (avvenuta, come detto inizialmente, il 3 giugno 2014), in considerazione“dell’impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo”.