Informativa e consenso per l’uso dei cookies

QUESTO E’ QUANTO IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI SCRIVE SULL’INFORMATIVA E CONSENSO PER L’USO DEI COOKIES

ULTIMO AGGIORNAMENTO 4 ottobre 2018

Cookies

Cookies

I punti 6 e 7 riportano: Per l´installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 delRegolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell´utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l´informativa va impostata su due livelli.
Nel momento in cui l´utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookie e un link per accedere ad un´informativa più “estesa”. In questa pagina, l´utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
Quindi prima di installare i cookie di profilazione devo avere un esplicito consenso e non e sufficiente dire come poterli disinstallare.

 

1. Cosa sono i cookies?
I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l´utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.

2. A cosa servono i cookies?
I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.

3. Cosa sono i cookie “tecnici”?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall´utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell´estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l´identificazione dell´utente nell´ambito della sessione, risultano indispensabili.

4. I cookie analytics sono cookies “tecnici”?
No. Il Garante (cfr. provvedimento dell´8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

5. Cosa sono i cookies “di profilazione”?
Sono i cookie utilizzati per tracciare la navigazione dell´utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

6. È necessario il consenso dell´utente per l´installazione dei cookies sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.
Per l´installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 delRegolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell´utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

7. In che modo il titolare del sito deve fornire l´informativa semplificata e richiedere il consenso all´uso dei cookies di profilazione?
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l´informativa va impostata su due livelli.
Nel momento in cui l´utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookie e un link per accedere ad un´informativa più “estesa”. In questa pagina, l´utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

8. Come deve essere realizzato il banner?
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell´utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

9. Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookies di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell´utente.
Deve contenere il link all´informativa estesa e l´indicazione che, tramite quel link, è possibile negare il consenso all´installazione di qualunque cookie.
Deve precisare che se l´utente sceglie di proseguire “saltando” il banner, acconsente all´uso dei cookie.

10. In che modo può essere documentata l´acquisizione del consenso effettuata tramite l´uso del banner?
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale “documentazione”, non è necessario che l´informativa breve sia riproposta alla seconda visita dell´utente sul sito, ferma restando la possibilità per quest´ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all´informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.

11. Il consenso online all´uso dei cookies può essere chiesto solo tramite l´uso del banner?
No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

12. L´obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookies tecnici?
No. In questo caso, il titolare del sito può dare l´informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l´inserimento delle relative indicazioni nella privacy policy indicata nel sito.

13. Cosa deve indicare l´informativa “estesa”?
Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all´utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l´installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l´utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.

14. Chi è tenuto a fornire l´informativa e a richiedere il consenso per l´uso dei cookie?
Il titolare del sito web che installa cookies di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell´informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.


Informativa e consenso per l’uso dei cookies – ULTIMO AGGIORNAMENTO 4 ottobre 2018

Schermo intero

Provvedimento – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)

Schermo intero

Informativa e consenso per l’uso dei cookies

L’informativa ed il consenso per l’uso dei cookies è spesso sottovalutato. Qui di seguito vi sono alcune FAQ riprodotte dal sito del Garante dell privacy.

I cookies tecnici servono ad effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Il Garante (cfr. provv. 8 maggio 2014) ha precisato che i cookies analytics possono essere assimilati ai cookies tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookies analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookies tecnici.
I cookies di profilazione sono quelli utilizzati per tracciare la navigazione dell´utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online. Nel momento in cui l´utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookies e un link per accedere ad un´informativa più “estesa”. In questa pagina, l´utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

Per l´installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l´informativa (art. 13 del Codice privacy). I cookies di profilazione, invece, possono essere installati sul terminale dell´utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

FAQ Garante privacy
Schermo intero

PROVVEDIMENTO 8 MAGGIO 2014
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookies
Schermo intero

GDPR e cookies – implicazioni e soluzioni

I cookies sono menzionati solo una volte nel General Data Protection Regulation (GDPR), ma le ripercussioni possono essere significative per le organizzazioni che li usano per “tracciare” le attività degli utenti.

Il punto 30 del GDPR recita:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

In conclusione: quando i cookies possono identificare una persona tramite il proprio dispositivo, sono considerati dati personali.

Non tutti i cookie sono utilizzati in un modo che possano identificare gli utenti, ma la maggior parte sono e saranno soggetti al GDPR. Ciò include cookies per analisi, pubblicità e servizi funzionali, come strumenti di sondaggio e chat.

Per diventare conformi, le organizzazioni dovranno interrompere la raccolta dei cookie offensivi o trovare una base legale per raccogliere ed elaborare tali dati. La maggior parte delle organizzazioni fa affidamento sul consenso (implicito o per “decisione di uscire”), ma i requisiti rafforzati del GDPR significano che sarà molto più difficile ottenere il consenso legale. Le conseguenze di ciò sono state discusse durante la Conferenza sulla protezione dei dati 2016 e le sue conclusioni descritte dalla legge sui cookie:

Il consenso implicito non è più sufficiente. Il consenso deve essere dato attraverso una chiara azione affermativa, come fare clic su una casella di attivazione o scegliere le impostazioni o le preferenze in un menu delle impostazioni. Semplicemente visitando un sito non conta come consenso.

I messaggi tipo ‘Usando questo sito, accetti i messaggi dei cookie’, inoltre, non sono sufficienti per gli stessi motivi. Se non esiste una scelta libera e genuina, allora non esiste un consenso valido. È necessario rendere possibile accettare o rifiutare i cookie.

Questo significa:
Deve essere altrettanto facile ritirare il consenso, quanto farlo. Se le organizzazioni vogliono dire alla gente di bloccare i cookie se non danno il loro consenso, devono prima farli accettare i cookie.
I siti dovranno fornire un’opzione di opt-out. Anche dopo aver ottenuto un consenso valido, i siti devono offrire alle persone la possibilità di cambiare idea. Se chiedi il consenso tramite caselle di attivazione in un menu delle impostazioni, gli utenti devono sempre essere in grado di tornare a quel menu per regolare le loro preferenze.

 

Raggiungere la conformità

Il consenso Soft opt-in è probabilmente il miglior modello di consenso, in base alla legge sui cookie: “Ciò significa dare l’opportunità di agire prima che i cookie siano impostati in occasione di una prima visita a un sito. Se c’è quindi un giusto preavviso, continuare a navigare può, nella maggior parte dei casi, essere un consenso valido tramite un’azione affermativa. “

Cookies – note applicative

cookies

cookies

Queste note sui cookies sono riprese dal sito del Garante Privacy sezione FAQ al quale si rimanda per approfondimenti.

 

Preliminarmente, occorre rappresentare che gli obblighi in materia di cookie derivano da una normativa europea da ultimo modificata nel 2009 – e recepita in Italia con un decreto del 2012 – che ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo. Il provvedimento del Garante, la cui definitiva adozione è stata preceduta da una consultazione pubblica, ha inteso semplificare gli adempimenti previsti dalla norma ed ha lasciato ai destinatari un anno di tempo per adeguarsi.

 

1. Ambito di applicazione
Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

 

2. Utilizzo di cookie analitici di terze parti
Nell’ottica della semplificazione che l’Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).
In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

 

3. Uso di piattaforme che installano cookie
In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.
Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.
Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.

 

4. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte
Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.
È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.
Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.
Al riguardo, si coglie l’occasione per ribadire che le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.
Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.

 

5. Modalità di acquisizione del consenso
Come noto, nel Provvedimento è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie” (cfr. punto 1, lett. e), del dispositivo).

Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.

 

6. Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU
In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).

 

7. Notificazione in caso di realizzazione di più siti web
Si ritiene condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco.
Ulteriori chiarimenti potranno essere forniti dall’Autorità a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire.

 

IN PARTICOLARE EVIDENZA

  • I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
  • Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
  • I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
  • Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
    • siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
    • la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispone.
  • Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
  • Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
  • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
  • Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

 

Cookies questi sconosciuti

blank

Internet cookies.

Queste note sono riprese dal sito del Garante Privacy sezione FAQ al quale si rimanda per approfondimenti.

La disciplina relativa all’uso dei c.d. “cookie” e di altri strumenti analoghi (web beacon/web bugclear GIF, ecc.) nei terminali (personal computer, notebooktablet pcsmartphone, ecc.) utilizzati dagli utenti, è stata recentemente modificata a seguito dell’attuazione della direttiva 2009/136 che ha modificato la direttiva “e-Privacy” (2002/58/CE). Il presente documento mira a fornire  tramite lo strumento delle FAQ  chiarimenti sulla nuova disciplina italiana e europea con particolare riguardo, appunto, ai cookie.

1. Cosa si intende quando si parla di cookie?

  • I cookie sono piccoli file di testo che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie di siti o di web server diversi (c.d. cookie di “terze parti”); ciò accade perché sul sito web visitato possono essere presenti elementi come, ad esempio, immagini, mappe, suoni, specifici link a pagine web di altri domini  che risiedono su server diversi da quello sul quale si trova la pagina richiesta. In altre parole, sono quei cookie che vengono impostati da un sito web diverso da quello che si sta attualmente visitando.
  • I cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server e di norma sono presenti nel browser di ciascun utente in numero molto elevato.
  • Alcune operazioni non potrebbero essere compiute senza l’uso dei cookie, che in alcuni casi sono quindi tecnicamente necessari: a titolo esemplificativo, l’accesso all’home banking e le attività che possono essere svolte sul proprio conto corrente online (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.) sarebbero molto più complesse da svolgere e meno sicure senza la presenza di cookie che consentono di identificare l’utente e mantenerne l’identificazione nell’ambito della sessione.
  • I cookie possono rimanere nel sistema anche per lunghi periodi e possono contenere anche un codice identificativo unico. Ciò consente ai siti che li utilizzano di tenere traccia della navigazione dell’utente all’interno del sito stesso, per finalità statistiche o pubblicitarie, per creare cioè un profilo personalizzato dell’utente a partire dalle pagine che lo stesso ha visitato e mostrargli quindi pubblicità mirate (c.d. Behavioural Advertising).

2. Cosa prevede adesso la direttiva e-Privacy?

  • La direttiva e-Privacy (2002/58/CE) è stata modificata nel 2009 da un’altra direttiva (2009/136) che ha introdotto il principio dell'”opt-in” in tutti i casi in cui si accede a o si registrano “informazioni” (compresi quindi i cookie) sul terminale dell’utente o dell’abbonato. Pertanto, affinché i cookie possano essere archiviati sul terminale dell’utente nel corso della sua navigazione in Internet, è necessario che l’utente stesso  sempre sulla base di un’informativa chiara e completa in merito alle modalità e finalità del trattamento dei suoi dati  esprima un valido consenso, preliminare al trattamento (cfr. nuovo art. 5, paragrafo 3, della direttiva 2002/58/CE).
  • Resta comunque ferma la possibilità di utilizzare liberamente i cookie (o simili dispositivi) se questi sono utilizzati “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”. In questo caso, si parla di cookie “tecnici”.

3. Come cambia la disciplina in Italia?

  • La modifica della disciplina in materia di cookie in Italia appare meno radicale rispetto al resto d’Europa. Già in precedenza vigeva, infatti, la regola dell’opt-in (consenso preventivo) ma soltanto per i cookie “tecnici”, sopra citati.
  • Ogni altro accesso ed ogni altra registrazione non autorizzati sul terminale dell’utente/abbonato erano vietati. Pertanto, in precedenza i fornitori dei servizi di comunicazione elettronica potevano utilizzare solo i cookie “tecnici” e solo nei confronti degli utenti che avessero espresso il proprio consenso sulla base di una idonea informativa sulle finalità e la durata del trattamento. La concreta regolamentazione dell’uso di tali cookie era poi demandata ad un codice di deontologia e di buona condotta.
  • Il nuovo art. 122 (comma 1) prevede oggi, viceversa, che i cookie “tecnici” possano essere utilizzati anche in assenza del consenso, ferma restando naturalmente l’informativa. È evidente, quindi, che limitatamente a tali cookie, l’attività degli operatori online risulta semplificata, in quanto essi non devono ottenere un consenso preventivo in tutti quei casi in cui l’utilizzo di cookie o altri dispositivi memorizzati sui terminali degli utenti o dei contraenti serva esclusivamente a scopi tecnici oppure risponda a specifiche richieste dell’utente o del contraente di un servizio Internet. L’assenza del consenso riduce la consapevolezza dell’interessato, che deve essere necessariamente fondata su una informativa chiara e di immediata comprensione.
  • A titolo esemplificativo –come chiarito anche dal Gruppo “Articolo 29” in un recente parere (WP194)– sono cookie per i quali non è necessario acquisire il consenso preventivo e informato dell’utente:
      • i cookie impiantati nel terminale dell’utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per “riempire il carrello” negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.;
      • i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti “analytics“) se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata; occorre però che l’informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
  • Esclusi i cookie tecnici, anche nella nuova normativa la regola generale per “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate” resta quella del consenso preventivo e informato dell’utente (opt-in). Ciò vuol dire che tutti i cookie non qualificabili come “tecnici”  che presentano peraltro maggiori criticità dal punto di vista della protezione della sfera privata degli utenti, come ad esempio, quelli usati per finalità di profilazione e marketing  non possono essere installati sui terminali degli utenti stessi se questi non siano stati prima adeguatamente informati e non abbiano prestato al riguardo un valido consenso.

4. Quali caratteristiche deve avere l’informativa agli utenti?

  • Come si è detto, l’archiviazione di cookie sui terminali degli utenti deve essere preliminarmente portata a conoscenza degli stessi mediante una chiara informativa, resa con le modalità semplificate di cui all’art. 13, comma 3 del Codice. Ciò vale a prescindere dalla necessità di ottenere il consenso degli utenti o dei contraenti (vedi punto precedente).
  • Al riguardo, il nuovo art. 122, comma 1, stabilisce che il Garante, ai fini della determinazione delle suindicate modalità semplificate,“tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente”.
  • L’Autorità, quindi, oltre a predisporre le presenti FAQ, ha avviato una consultazione pubblica diretta ai consumatori e ai principali operatori del settore, proprio al fine di acquisirne le proposte e individuare idonee modalità per informare gli utenti con messaggi che siano al tempo stesso chiari e snelli. Pur se resa con modalità semplificate, infatti, l’informativa deve indicare chiaramente quali sono le finalità perseguite mediante il ricorso ai cookie.
  • A titolo esemplificativo, la finalità consistente nel creare profili degli utenti al fine di inviare loro messaggi pubblicitari mirati, non potrà essere indicata nell’informativa  con il riferimento alla mera finalità pubblicitaria dell’uso dei cookie, ma occorrerà specificare che gli stessi consentiranno al gestore del sito di realizzare appunto una profilazione finalizzata alla successiva attività di direct marketing

5. Come si esprime il consenso preventivo all’uso dei cookie?

  • Nell’ottica della semplificazione va letta anche la disposizione secondo la quale, ai fini dell’espressione del consenso dell’utente all’uso dei cookie, possono essere utilizzate “specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”.
  • L’idea è di ricorrere a tali strumenti per permettere agli operatori di acquisire in maniera snella dall’utente il consenso all’uso dei cookie, che però, per poter essere valido, deve avere tutte le caratteristiche previste dalla legge. Deve, cioè, risultare in ogni caso specifico, libero ed espresso, come previsto dall’art. 23 del Codice. Anche la direttiva 2009/136/CE, del resto, nel prevedere il ricorso a forme alternative di manifestazione del consenso dell’utente, specifica che le stesse debbano essere comunque conformi alle pertinenti disposizioni della direttiva 95/46/CE.
  • In primo luogo, dunque, l’uso di qualunque strumento al fine di acquisire il consenso dell’utente all’installazione di cookie dovrebbe essere preceduto da un’idonea informativa, in modo tale da permettere all’utente di scegliere quali cookie accettare e per quali finalità.
  • Gli strumenti ai quali fa riferimento la previsione sopra richiamata sono, allo stato, diversi e non è escluso che, anche in poco tempo, la creatività dell’industria pubblicitaria e degli operatori della rete ne sviluppino di nuovi.
  • A titolo esemplificativo, si richiamano:
    • le impostazioni presenti nei comuni browser, che consentono o meno la memorizzazione dei cookie nei terminali usati per la navigazione in Internet e che di norma permettono anche di impostare le regole dei cookie in modo che non vengano accettati quelli di “terze parti”. Alcuni consentono anche di bloccare i cookie di alcune terze parti e non di altre, tramite una funzione che permette di indicare da quali domini consentire l’invio di cookie;
    • gli specifici programmi che possono essere aggiunti al browser (c.d. plug-in), che specializzano le funzioni comunemente rese disponibili dai software per la navigazione e che possono essere configurati dall’utente per effettuare una selezione dei cookie sulla base dei domini di provenienza;
    • il c.d. “do not track”, che consente all’utente di segnalare a ciascun sito visitato la sua volontà di essere o meno tracciato nel corso della navigazione. Questa modalità tecnica è ancora oggi in fase di discussione all’interno degli organismi di standardizzazione internazionali; inizia ad essere resa disponibile su alcuni browser di ultima generazione, ma, non essendo per l’appunto standardizzata, non vi è la certezza che i segnali che attraverso tale funzionalità l’utente invia ai server siano da questi effettivamente “ascoltati”.

6. Chi è tenuto a informare gli utenti e ad acquisirne il consenso?

  • L’obbligo di informare l’utente sull’uso dei cookie e di acquisirne il preventivo consenso incombe sul gestore del sito che li usa, in qualità di titolare del trattamento.
  • Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti” (v. punto 1), l’informativa e l’acquisizione del consenso sono di norma a carico del terzo. È necessario che l’utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale.
  • Non è escluso che, anche sulla base di accordi con i siti terze parti, l’informativa fornita agli utenti dal sito “prima parte” contenga anche le informazioni sui cookie trasmessi automaticamente dalle terze parti. Anche in tal caso, l’informativa dovrà specificare la finalità dei cookie utilizzati e, quindi, indicare se gli stessi siano finalizzati a creare profili degli utenti e a inviare loro pubblicità mirate ovvero a effettuare misure di traffico per la valutazione delle prestazioni del sito.
  • Analogamente, non si può escludere che anche il consenso venga acquisito dalle terze parti per il tramite del sito “prima parte”. Occorre tenere presente, infatti, che la richiesta del consenso dell’utente deve essere fatta in stretta relazione all’informativa resa allo stesso, in modo tale da consentirgli di fare scelte realmente consapevoli. Sarà, poi, cura dei diversi gestori coinvolti disciplinare i propri rispettivi ruoli  con particolare riguardo ai rapporti tra titolare e responsabile del trattamento conformemente alla normativa in materia di protezione dei dati personali.
Reset della password
Per favore inserisci la tua email. Riceverai una nuova password via email.

Pin It on Pinterest