Guida completa alla disciplina sui cookie, alle modalità di acquisizione del consenso e alle conseguenze in caso di mancato rispetto della normativa

di Monia Vasta - Il 2 giugno 2015 è entrato in vigore l'obbligo per i gestori e/o proprietari di siti internet, di inserire in home page, un "banner" in cui si comunica che il sito web ovvero la pagina internet, utilizza i cookie.

Tale normativa si applicherà a tutti i siti internet, compresi quelli responsive, ed interesserà la loro navigazione da qualsiasi terminale/device utilizzato.

Cookie: cosa sono

[Torna su]

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al terminale di quest'ultimo, solitamente al browser (a titolo esemplificativo Mozilla, Internet Explorer, Chrome ed altro), quando si visita un sito web o si utilizza un Social Network (ad esempio: Facebook, Twitter, etc.) con il pc, smartphone o tablet.

Gli stessi vengono memorizzati per essere poi ritrasmessi ai medesimi siti, alla successiva visita del medesimo utente.

Nel corso della navigazione su di un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico ed altro, i quali possono rimanere nel sistema per la durata di una sessione (cioè fino a quando non si "chiude il browser" utilizzato per la navigazione sul web) oppure per lunghi periodi e possono contenere un codice identificativo unico.

Alcuni cookie sono utilizzati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli Utenti che accedono ad una certa pagina web.

Il Legislatore, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l'obbligo di acquisire il consenso preventivo ed informato degli Utenti all'installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del D. Lgs. 28 maggio 2012, n. 69, che ha modificato l'art. 122 del Codice).

Le tipologie di Cookie

[Torna su]

I cookie si dividono in:

1) tecnici: i quali sono spesso utili, perché possono rendere più veloce e rapida la navigazione e la fruizione del web. Quest'ultimi intervengono a rendere più semplice alcune procedure, come quelle relative degli acquisti online (autentificazione ad aree con accesso riservato) oppure quando un sito web, riconosce in automatico la lingua che l'Utente utilizza nella navigazione.

Una particolare tipologia di cookie, detti analytics, sono poi utilizzati dai gestori dei siti web per raccogliere informazioni, in forma aggregata, sul numero degli Utenti e su come quest'ultimi visitano il sito stesso, permettendo in seguito di elaborare statistiche generali sul servizio e sul suo utilizzo. (Google Analytics, il cookie più utilizzato è _ga));

2) di profilazione: i quali possono essere utilizzati per monitorare e profilare gli Utenti durante la navigazione, studiare i loro movimenti ed abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, etc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising);


3) di terze parti: sono cookie utilizzati ai fini di profilazione e provengono da altri siti, ad esempio i banner pubblicitari, immagini, video od altro.

Considerata la particolare invasività che i cookie di profilazione (soprattutto quelli terze parti) possono avere nell'ambito della sfera privata del singolo Utente, la normativa prevede che quest'ultimo debba essere adeguatamente informato sull'uso degli stessi ed esprimere il proprio valido consenso all'inserimento dei cookie sul suo terminale.

Cookie: la nuova disciplina

[Torna su]

In particolare, con il provvedimento "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" dell'8 maggio 2014, il Garante ha voluto precisare che: «nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner» con cui si avverte «che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete» e «che il sito consente anche l'invio di cookie "terze parti"».

Gli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice Privacy, stabiliscono che, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, compaia un banner di idonee dimensioni contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione;

b) che il sito consente anche l'invio di cookie "terze parti";

c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

uso dei cookie tecnici e analytics;

possibilità di scegliere quali specifici cookie autorizzare;

possibilità per l'Utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito, anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;

e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.

L'art. 154, comma 1, lett. c), del Codice Privacy, statuisce che i titolari del trattamento dei dati debbano anche d'ufficio applicare le misure necessarie od idonee al fine di rendere il trattamento dei suddetti dati conforme alle disposizioni vigenti, ai sensi dell'art. 143 (i collegamenti - link - alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookie delle terze parti, con ciò intendendosi anche i concessionari).

L'Autorità di protezione dei dati personali ha, inoltre, indicato che il predetto banner debba contenere «il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics» (dando «la possibilità di scegliere quali specifici cookie autorizzare») e deve indicare «che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie», nonché «che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie».

Resta fermo che nel caso in cui l'utilizzo dei cookie è «finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti"» è necessario, comunque, provvedere alla notifica del trattamento al Garante ai sensi dell'art. 37, comma 1, lett. d, del D. Lgs. n. 196/2003.

Cookie: che succede se non si accettano

[Torna su]

La navigazione può essere, comunque, effettuata ugualmente dall'Utente senza accettare i cookie, nel seguente modo:

a) blocca i cookie di terze parti: i cookie di terze parti non sono generalmente indispensabili per navigare, quindi possono essere rifiuta per default, attraverso apposite funzioni del proprio browser;

b) attiva l'opzione Do Not Track: l'opzione Do Not Track è presente nella maggior parte dei browser di ultima generazione. I siti web progettati in modo da rispettare questa opzione, quando viene attivata, dovrebbero automaticamente smettere di raccogliere alcuni tuoi dati di navigazione;

c) attiva la modalità di "navigazione anonima": mediante questa funzione si può navigare, senza lasciare traccia nel browser dei dati di navigazione. I siti non si ricorderanno del passaggio dell'Utente e le pagine visitate non saranno memorizzate nella cronologia. La funzione "navigazione anonima", però, non garantisce con sicurezza l'anonimato, in quanto il suo utilizzo serve solo a non mantenere i dati di navigazione nel browser, mentre i dati di navigazione continueranno ad essere disponibili ai gestori dei siti web e ai provider di connettività;

d) eliminazione dei cookie: vi sono apposite funzioni per applicarlo a tutti i browser. Si deve rammentare però che ad ogni collegamento ad Internet vengono scaricati nuovi cookie, per cui tale operazione dovrà essere effettuata costantemente.

Cookie: obbligo di notifica al Garante

[Torna su]

L'uso dei cookie rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice Privacy, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli Utenti".

L'uso dei cookie è, invece, sottratto all'obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli «relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet» (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).

I cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (ad esempio per chi utilizza Google Analytics), non debbono essere notificati al Garante.

Le conseguenze del mancato rispetto della disciplina sui cookie

[Torna su]

In caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice Privacy, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy).

L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice Privacy).

L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice Privacy).

Servizi Mobile Remote Payment

Con il «Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei servizi di mobile remote payment» del 22 maggio 2014 il Garante è intervenuto per assicurare una migliore garanzia dei diritti degli Utenti che in futuro vorranno effettuare tramite strumenti elettronici (smartphone, tablet, personal computer, etc.) pagamenti o trasferimenti di denaro.

In merito, è stato evidenziato che, con tale tipo di servizi, possono essere trattate informazioni dell'Utente di natura molto diversa fra loro, non solo «i dati relativi alla numerazione telefonica, i dati anagrafici, i dati legati alla tipologia del servizio o del prodotto digitale richiesto ed al relativo importo», oppure «i dati inerenti alla sottoscrizione ed alla revoca del servizio, quelli relativi agli addebiti degli acquisti nella fattura o sulla carta prepagata e, eventualmente, quelli di posta elettronica richiesti per una maggiore fruibilità del contenuto digitale, nonché l'indirizzo IP dell'utente», ma anche potenzialmente dati sensibili «legati alla fruizione del contenuto o del servizio digitale».

Pertanto, sono stati prescritti precisi oneri a carico dei diversi soggetti che nell'erogazione dei servizi di mobile remote payment trattano dati personali. In generale, ai soli fini della fornitura del servizio di mobile remote payment, i predetti soggetti non sono tenuti a chiedere il consenso al trattamento dei dati personali dell'Utente.

In merito, il Garante ha, però, precisato che rimane, comune, necessario chiedere il consenso tutte le volte in cui i «dati forniti» dall'utente «riferibili agli acquisti effettuati» vengono poi «utilizzati per finalità di marketing diretto e/o per finalità di profilazione, anche nell'ambito di eventuali programmi di fidelizzazione», oppure nel caso in cui si desideri comunicare i dati a soggetti terzi.

È stato, inoltre, prescritto che operatori, aggregatori e venditori debbano rendere un'informativa chiara e completa degli elementi di cui all'art. 13 del D. Lgs. n. 196/2003, che specifichi le modalità di trattamento effettuato.

I dati degli Utenti, in ottemperanza agli obblighi sanciti dal Codice Privacy, possono essere in generale conservati per un limite massimo di sei mesi.

Si è sottolineato, altresì, che siccome «i fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, oltre a trattare i dati relativi alle operazioni di mobile remote payment ed alle scelte di consumo dei contenuti digitali, trattano anche dati di consumo/traffico telefonico e dati relativi alla fornitura di altre tipologie di beni digitali (quali ad esempio quelli legati alla c.d. Tv interattiva) per finalità di profilazione e marketing», è necessario che, «al fine di impedire un'eventuale profilazione incrociata dell'utenza», debbano «essere individuati appositi "meccanismi di rotazione" che consentano di applicare allo stesso Utente chiavi di codifica differenti, destinate a mascherare i relativi dati all'interno dei diversi sistemi dedicati alle attività di profilazione che l'operatore può svolgere».

Restano fermi gli obblighi di notifica del trattamento al Garante, laddove ricorrano i presupposti dell'art. 37 del d. Lgs. n. 196/2003 e la necessità di presentare una richiesta di verifica preliminare al Garante ai sensi dell'art. 17 del D. Lgs. n. 196/2013 «per ulteriori, specifici, trattamenti ed eventuali misure ed accorgimenti, previsti nell'ambito delle operazioni di mobile remote payment diversamente da quanto individuato» nel provvedimento stesso, «indicando nel dettaglio i trattamenti da effettuare, specificando le relative finalità nonché le tipologie di dati che si intenda utilizzare».

In data 5 giugno 2015 il Garante, a seguito di notevoli quesiti posti dai gestori, ha provveduto ad integrare ed esplicitare alcuni punti, trattati nel provvedimento dell'8 maggio 2014.

Nel suddetto documento viene confermato che, per l'uso di cookie tecnici è sufficiente la comunicazione dell'informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

In merito ai cookie analitici di terze parti, quest'ultimi possono essere assimilati ai cookie tecnici, quanto siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l'intervento di soggetti terzi).

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP).

L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.

Uso di piattaforme che installano cookie

[Torna su]

In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.

Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell'8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l'applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.

Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull'installazione dei cookie, consentendo loro di inibire l'installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l'installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.

Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte

[Torna su]

Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all'installazione dei cookie di profilazione provenienti da domini "terze parti", si conferma che tali soggetti rispetto all'installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

È bene precisare, tuttavia, che per la natura "distribuita" di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all'uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l'evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall'altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l'utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c'è bisogno di informativa e consenso.

Al riguardo, si coglie l'occasione per ribadire che le richieste di consenso presenti all'interno dell'informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.

Preme sottolineare che l'obbligo di rendere l'informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.

Modalità di acquisizione del consenso

[Torna su]

Come noto, nel Provvedimento è stato stabilito che "la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie" (cfr. punto 1, lett. e), del dispositivo).

Al riguardo, si rappresenta che soluzioni per l'acquisizione del consenso basate su "scroll", ovvero sulla prosecuzione della navigazione all'interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell'informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell'utente.

Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU

[Torna su]

In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy).

Notificazione in caso di realizzazione di più siti web

[Torna su]

Si ritiene condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato - attraverso eventuali modifiche della notificazione - il relativo elenco.

Ulteriori chiarimenti potranno essere forniti dall'Autorità a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire.

Cookie .... in pillole

[Torna su]

• I siti che non utilizzano cookie non sono soggetti ad alcun obbligo

• Per l'utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.

• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.

• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:

a) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell'IP);

b) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

• Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l'installazione di cookie di profilazione non c'è bisogno di informativa e consenso.

• Nell'informativa estesa il consenso all'uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).

• È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell'ambito dello stesso dominio.

• Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

Leggi anche Cookie Law: guida legale e fac-simile


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: