x

x

Chiarimenti in merito all’attuazione della nuova normativa in materia di “Cookie”

Chiarimenti in merito all’attuazione della nuova normativa in materia di “Cookie”
Chiarimenti in merito all’attuazione della nuova normativa in materia di “Cookie”

Con la decisione dell’8 maggio 2014 (pubblicata sulla Gazzetta Ufficiale n. 126/2014), il Garante per la Protezione dei Dati Personali (di seguito, il “Garante”) è intervenuto su un tema già affrontato sia a livello comunitario che nazionale ed avente ad oggetto l’utilizzo dei c.d. “cookie”.

In particolare, il provvedimento del Garante segue la Direttiva 2009 n. 136 del 25 novembre 2009 e il Decreto Legislativo n. 69 del 28 maggio 2012, recante modifiche al Decreto Legislativo n. 196 del 30 giugno 2003 (il Codice in materia di protezione dei dati personali e, di seguito, semplicemente il “Codice”), e individua talune misure “semplificate” che hanno lo scopo di informare gli utenti internet e fornire loro gli strumenti per formare ed, eventualmente, prestare un consenso consapevole.

Il provvedimento è stato inoltre emanato in esito ad una consultazione pubblica diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per ciò che concerne i tempi per adeguarsi alle nuove prescrizioni, il provvedimento, nel prendere atto dell’“impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo”, ha riconosciuto agli operatori internet interessati una finestra temporale di un anno.

È d’altra parte risaputo che rinviare l’efficacia di norme cogenti, per periodi relativamente lunghi, in genere, invece di favorire la riflessione sulle misure più efficaci da adottare e rendere più agevole e meno onerosa la transizione ha l’effetto di procrastinare gli interventi correttivi sino a pochi giorni prima della scadenza del termine.  

Detto termine è alfine sopraggiunto, imponendo ai soggetti interessati (in pratica, tutti i titolari o gestori di siti internet) di correre ai ripari e implementare al più presto le misure obbligatorie salvo, in caso contrario, andare in contro ad importanti sanzioni amministrative.

Alla luce del quadro testé descritto, ci pare opportuno analizzare la decisione del Garante e dedicare qualche riflessione ai nuovi adempimenti previsti a tutela degli utenti della rete.

Cosa sono I “Cookie”?

Il Garante dedica la sezione introduttiva del provvedimento ad alcune considerazioni preliminari volte ad inquadrare l’ambito di operatività e l’oggetto della decisione. Innanzitutto, chiarendo cosa sono i cookies. L’approfondimento al riguardo è tutt’altro che fuori luogo, non essendo l’intera platea degli utenti interessati preparata sull’argomento.

Al riguardo, il Garante precisa che “i cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”. In altri termini, i siti internet fanno ricorso ai cookie per personalizzare l’esplorazione degli utenti e raccogliere informazioni sull’utilizzo del sito. In molti siti, inoltre, i cookie vengono utilizzati per archiviare informazioni che assicurano una maggior coerenza tra le sezioni del sito e rendere più agevole, fluida ed efficiente la navigazione. Ad esempio, taluni cookie sono utili per identificare e risolvere errori. In altri casi, i cookie sono utilizzati per finalità totalmente differenti, quali la raccolta di informazioni per ragioni commerciali e di marketing.

Naturalmente, questo processo non è neutro in termini di diffusione ed utilizzo di informazioni personali e, per questo motivo, impone delle misure informative che consentano all’utente di prestare un consenso consapevole, ove richiesto.

Tipologie di “Cookie”

Quest’ultima precisazione (sulla necessità del consenso) è importante perché serve ad introdurre un altro tema centrale nella descrizione dei cookie. Questi ultimi, difatti, non sono tutti dello stesso tipo e non comportano una uguale invasione della privacy dell’utente.

A questo riguardo il Garante è chiaro nell’affermare che non vi sono delle caratteristiche tecniche che li differenziano alcuni cookie da altri, ma sono le finalità per cui questi strumenti sono usati che consentono di distinguerli.

In genere, i cookie sono ripartiti in due macro categorie:

Cookie Tecnici: raccolgono informazioni su come un utente utilizza un determinato sito. Essi servono 1. ad “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (articolo 122, comma 1, Codice). Essi sono installati direttamente dal titolare o gestore del sito web e sono suddivisi in: (i) cookie di navigazione o di sessione (necessari per la normale navigazione e fruizione del sito web); (ii) cookie analytics (utilizzati dal gestore del sito web per raccogliere informazioni in forma aggregata sul numero degli utenti e sulle modalità di visita del sito); e (iii) cookie di funzionalità (che permettono di migliorare l’esperienza di navigazione nel sito); 2. Cookie di Profilazione: come si intuisce dalla denominazione, sono quelli finalizzati a creare il profilo dell’utente, al quale saranno poi inviati messaggi pubblicitari mirati a soddisfare le preferenze manifestate nell’ambito della navigazione in rete.

Il legislatore riserva un trattamento diverso a seconda dell’utilizzo del dispositivo. In particolare, l’obbligo di acquisire il consenso preventivo ed informato degli utenti all’installazione ricorre soltanto per quei cookie utilizzati per finalità diverse da quelle meramente tecniche. Così dispone infatti l’articolo 122 del Codice “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”. 

I soggetti coinvolti

Per quanto riguarda l’impatto del provvedimento, non vi è dubbio che quest’ultimo coinvolga un numero amplissimo di operatori del settore web. “Qualunque decisione in merito alle modalità di informativa e consenso online” riguarderà “in pratica chiunque abbia un sito internet”. 

Per questo motivo, si immagina che le scelte del Garante abbiano provato a contemperare le esigenze di tutela, che giustamente richiede la privacy degli utenti, con quelle di funzionamento della rete. Senza, peraltro, sacrificare i legittimi interessi degli operatori e dei providers di servizi online. 

Le misure adottate si rivolgono a due categorie di soggetti, i quali sono individuati sulla base dell’interesse che il rispettivo cookie installato sul terminale dell’utente è volto a soddisfare. L’installazione del cookie, in particolare, avvenire direttamente da parte del gestore del sito web che l’utente sta navigando, definito “editore”, ovvero da soggetti gestori di altri siti web che usano quello dell’editore, per proprie finalità, come strumento di accesso all’utente (c.d. “terze parti”).

Il Garante precisa come questa distinzione si renda necessaria alla luce dei differenti ruoli e delle responsabilità di ciascun soggetto e, di conseguenza, dei rispettivi differenti obblighi informativi. Non è difatti possibile (rectius, opportuno) imporre agli editori di farsi carico degli obblighi informativi e di raccolta del consenso anche per conto delle terze parti.

Questa imposizione aggraverebbe significativamente la posizione economico-giuridica degli editori i quali, peraltro, non sempre hanno gli strumenti tecnici, giuridici ed economici per verificare la corrispondenza al vero delle dichiarazioni rese dalle terze parti. Queste ultime, inoltre, potrebbero modificare l’utilizzo dei cookie in un momento successivo. Senza dimenticare che l’editore potrebbe addirittura non conoscere tutte le terze parti che utilizzano il suo sito per raccogliere informazioni e dati né, a maggior ragione, le finalità per cui queste raccolgono i dati, essendo molto comune l’intervento di intermediari e concessionari che si interpongono tra l’editore e la terza parte. Ciò detto, non si può escludere in toto il coinvolgimento degli editori, quanto meno in termini di intermediazione tecnica tra gli utenti e le terze parti. È infatti tramite il sito dei primi che le terze parti accedono ai dati degli utenti. Sarà, dunque, indispensabile un loro intervento, ai fini del rilascio dell’informativa e dell’acquisizione del consenso.

Le misure prescritte

Vediamo, dunque, quali sono gli adempimenti prescritti dal legislatore. Dalla lettura del provvedimento, si apprende che il sistema informativo si snoda su più livelli di approfondimento: un primo, più superficiale, automatico ed immediato; un secondo, più esteso, approfondito e volontario. Informativa breve

Nel momento in cui l’utente accede ad un determinato sito web, dovrà apparire una prima stringa informativa (c.d. “banner”), contenente: (i) un avviso che il sito utilizza cookie; (ii) una preliminare e sintetica descrizione dei cookie, dei fini per cui sono utilizzati e, specificamente, se vengono installati cookie di profilazione; (iii) se il sito utilizza cookie di terze parti; (iv) il link che rimanda all’informativa estesa; (v) l’indicazione che nell’ambito dell’informativa estesa è possibile negare il consenso a tutti o ad alcuni cookie; e (vi) l’avvertimento che la prosecuzione della navigazione all’interno del sito equivale alla prestazione del consenso.

Es. “Questo sito utilizza cookie anche di terzi per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, leggi qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque elemento acconsenti all’uso dei cookie”.

Il provvedimento precisa che il banner deve essere di dimensioni tali da causare nell’utente un’interruzione nell’esperienza di navigazione, onde evitare che possa passare inosservato.

Informativa estesa

L’informativa estesa (accessibile sia dal link contenuto nel banner sia in calce ad ogni pagina del sito web) ha evidentemente lo scopo di fornire all’utente tutti i ragguagli di cui questi abbia bisogno, ai sensi dell’articolo 13 del Codice. Innanzitutto, descrivendo in maniera chiara ed analitica quali cookie sono installati (tecnici o di profilatura, funzionali o pubblicitari, etc.) e descrivendone gli usi. Essa dovrà inoltre chiarire che l’utente potrà rifiutare tutti o alcuni cookie, eventualmente descrivendo la procedura per disattivarli.

Con riferimento al ruolo di intermediario assunto dall’editore nei confronti delle terze parti, l’informativa estesa dovrà contenere i link aggiornati alle informative ed ai moduli di consenso delle terze parti.

Notificazione

In aggiunta alle misure informative, l’articolo 37, comma 1, lettera d), del Codice prescrive un obbligo di notificazione al Garante laddove l’utilizzo dei cookie sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. Così, i cookie di profilazione risultano senz’altro soggetti all’obbligo di notificazione al Garante.

Penali

Per rendere cogente l’applicazione del provvedimento, il Garante ha ritenuto opportuno sanzionare eventuali comportamenti in violazione applicando significative penali. Nello specifico, in caso di omessa informativa o di informativa inidonea, è prevista una sanzione variabile da seimila a trentaseimila euro (articolo 161 del Codice). L’installazione di cookie in assenza di idoneo consenso comporta, invece, una sanzione variabile da diecimila a centoventimila euro (articolo 162, comma 2- bis, del Codice). Infine, l’omessa o incompleta notificazione al Garante è sanzionata con il pagamento di un importo variabile da ventimila a centoventimila euro (articolo 163 del Codice).

Articolo pubblicato per gentile concessione della rivista delle imprese

Con la decisione dell’8 maggio 2014 (pubblicata sulla Gazzetta Ufficiale n. 126/2014), il Garante per la Protezione dei Dati Personali (di seguito, il “Garante”) è intervenuto su un tema già affrontato sia a livello comunitario che nazionale ed avente ad oggetto l’utilizzo dei c.d. “cookie”.

In particolare, il provvedimento del Garante segue la Direttiva 2009 n. 136 del 25 novembre 2009 e il Decreto Legislativo n. 69 del 28 maggio 2012, recante modifiche al Decreto Legislativo n. 196 del 30 giugno 2003 (il Codice in materia di protezione dei dati personali e, di seguito, semplicemente il “Codice”), e individua talune misure “semplificate” che hanno lo scopo di informare gli utenti internet e fornire loro gli strumenti per formare ed, eventualmente, prestare un consenso consapevole.

Il provvedimento è stato inoltre emanato in esito ad una consultazione pubblica diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per ciò che concerne i tempi per adeguarsi alle nuove prescrizioni, il provvedimento, nel prendere atto dell’“impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo”, ha riconosciuto agli operatori internet interessati una finestra temporale di un anno.

È d’altra parte risaputo che rinviare l’efficacia di norme cogenti, per periodi relativamente lunghi, in genere, invece di favorire la riflessione sulle misure più efficaci da adottare e rendere più agevole e meno onerosa la transizione ha l’effetto di procrastinare gli interventi correttivi sino a pochi giorni prima della scadenza del termine.  

Detto termine è alfine sopraggiunto, imponendo ai soggetti interessati (in pratica, tutti i titolari o gestori di siti internet) di correre ai ripari e implementare al più presto le misure obbligatorie salvo, in caso contrario, andare in contro ad importanti sanzioni amministrative.

Alla luce del quadro testé descritto, ci pare opportuno analizzare la decisione del Garante e dedicare qualche riflessione ai nuovi adempimenti previsti a tutela degli utenti della rete.

Cosa sono I “Cookie”?

Il Garante dedica la sezione introduttiva del provvedimento ad alcune considerazioni preliminari volte ad inquadrare l’ambito di operatività e l’oggetto della decisione. Innanzitutto, chiarendo cosa sono i cookies. L’approfondimento al riguardo è tutt’altro che fuori luogo, non essendo l’intera platea degli utenti interessati preparata sull’argomento.

Al riguardo, il Garante precisa che “i cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”. In altri termini, i siti internet fanno ricorso ai cookie per personalizzare l’esplorazione degli utenti e raccogliere informazioni sull’utilizzo del sito. In molti siti, inoltre, i cookie vengono utilizzati per archiviare informazioni che assicurano una maggior coerenza tra le sezioni del sito e rendere più agevole, fluida ed efficiente la navigazione. Ad esempio, taluni cookie sono utili per identificare e risolvere errori. In altri casi, i cookie sono utilizzati per finalità totalmente differenti, quali la raccolta di informazioni per ragioni commerciali e di marketing.

Naturalmente, questo processo non è neutro in termini di diffusione ed utilizzo di informazioni personali e, per questo motivo, impone delle misure informative che consentano all’utente di prestare un consenso consapevole, ove richiesto.

Tipologie di “Cookie”

Quest’ultima precisazione (sulla necessità del consenso) è importante perché serve ad introdurre un altro tema centrale nella descrizione dei cookie. Questi ultimi, difatti, non sono tutti dello stesso tipo e non comportano una uguale invasione della privacy dell’utente.

A questo riguardo il Garante è chiaro nell’affermare che non vi sono delle caratteristiche tecniche che li differenziano alcuni cookie da altri, ma sono le finalità per cui questi strumenti sono usati che consentono di distinguerli.

In genere, i cookie sono ripartiti in due macro categorie:

Cookie Tecnici: raccolgono informazioni su come un utente utilizza un determinato sito. Essi servono 1. ad “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (articolo 122, comma 1, Codice). Essi sono installati direttamente dal titolare o gestore del sito web e sono suddivisi in: (i) cookie di navigazione o di sessione (necessari per la normale navigazione e fruizione del sito web); (ii) cookie analytics (utilizzati dal gestore del sito web per raccogliere informazioni in forma aggregata sul numero degli utenti e sulle modalità di visita del sito); e (iii) cookie di funzionalità (che permettono di migliorare l’esperienza di navigazione nel sito); 2. Cookie di Profilazione: come si intuisce dalla denominazione, sono quelli finalizzati a creare il profilo dell’utente, al quale saranno poi inviati messaggi pubblicitari mirati a soddisfare le preferenze manifestate nell’ambito della navigazione in rete.

Il legislatore riserva un trattamento diverso a seconda dell’utilizzo del dispositivo. In particolare, l’obbligo di acquisire il consenso preventivo ed informato degli utenti all’installazione ricorre soltanto per quei cookie utilizzati per finalità diverse da quelle meramente tecniche. Così dispone infatti l’articolo 122 del Codice “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”. 

I soggetti coinvolti

Per quanto riguarda l’impatto del provvedimento, non vi è dubbio che quest’ultimo coinvolga un numero amplissimo di operatori del settore web. “Qualunque decisione in merito alle modalità di informativa e consenso online” riguarderà “in pratica chiunque abbia un sito internet”. 

Per questo motivo, si immagina che le scelte del Garante abbiano provato a contemperare le esigenze di tutela, che giustamente richiede la privacy degli utenti, con quelle di funzionamento della rete. Senza, peraltro, sacrificare i legittimi interessi degli operatori e dei providers di servizi online. 

Le misure adottate si rivolgono a due categorie di soggetti, i quali sono individuati sulla base dell’interesse che il rispettivo cookie installato sul terminale dell’utente è volto a soddisfare. L’installazione del cookie, in particolare, avvenire direttamente da parte del gestore del sito web che l’utente sta navigando, definito “editore”, ovvero da soggetti gestori di altri siti web che usano quello dell’editore, per proprie finalità, come strumento di accesso all’utente (c.d. “terze parti”).

Il Garante precisa come questa distinzione si renda necessaria alla luce dei differenti ruoli e delle responsabilità di ciascun soggetto e, di conseguenza, dei rispettivi differenti obblighi informativi. Non è difatti possibile (rectius, opportuno) imporre agli editori di farsi carico degli obblighi informativi e di raccolta del consenso anche per conto delle terze parti.

Questa imposizione aggraverebbe significativamente la posizione economico-giuridica degli editori i quali, peraltro, non sempre hanno gli strumenti tecnici, giuridici ed economici per verificare la corrispondenza al vero delle dichiarazioni rese dalle terze parti. Queste ultime, inoltre, potrebbero modificare l’utilizzo dei cookie in un momento successivo. Senza dimenticare che l’editore potrebbe addirittura non conoscere tutte le terze parti che utilizzano il suo sito per raccogliere informazioni e dati né, a maggior ragione, le finalità per cui queste raccolgono i dati, essendo molto comune l’intervento di intermediari e concessionari che si interpongono tra l’editore e la terza parte. Ciò detto, non si può escludere in toto il coinvolgimento degli editori, quanto meno in termini di intermediazione tecnica tra gli utenti e le terze parti. È infatti tramite il sito dei primi che le terze parti accedono ai dati degli utenti. Sarà, dunque, indispensabile un loro intervento, ai fini del rilascio dell’informativa e dell’acquisizione del consenso.

Le misure prescritte

Vediamo, dunque, quali sono gli adempimenti prescritti dal legislatore. Dalla lettura del provvedimento, si apprende che il sistema informativo si snoda su più livelli di approfondimento: un primo, più superficiale, automatico ed immediato; un secondo, più esteso, approfondito e volontario. Informativa breve

Nel momento in cui l’utente accede ad un determinato sito web, dovrà apparire una prima stringa informativa (c.d. “banner”), contenente: (i) un avviso che il sito utilizza cookie; (ii) una preliminare e sintetica descrizione dei cookie, dei fini per cui sono utilizzati e, specificamente, se vengono installati cookie di profilazione; (iii) se il sito utilizza cookie di terze parti; (iv) il link che rimanda all’informativa estesa; (v) l’indicazione che nell’ambito dell’informativa estesa è possibile negare il consenso a tutti o ad alcuni cookie; e (vi) l’avvertimento che la prosecuzione della navigazione all’interno del sito equivale alla prestazione del consenso.

Es. “Questo sito utilizza cookie anche di terzi per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, leggi qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque elemento acconsenti all’uso dei cookie”.

Il provvedimento precisa che il banner deve essere di dimensioni tali da causare nell’utente un’interruzione nell’esperienza di navigazione, onde evitare che possa passare inosservato.

Informativa estesa

L’informativa estesa (accessibile sia dal link contenuto nel banner sia in calce ad ogni pagina del sito web) ha evidentemente lo scopo di fornire all’utente tutti i ragguagli di cui questi abbia bisogno, ai sensi dell’articolo 13 del Codice. Innanzitutto, descrivendo in maniera chiara ed analitica quali cookie sono installati (tecnici o di profilatura, funzionali o pubblicitari, etc.) e descrivendone gli usi. Essa dovrà inoltre chiarire che l’utente potrà rifiutare tutti o alcuni cookie, eventualmente descrivendo la procedura per disattivarli.

Con riferimento al ruolo di intermediario assunto dall’editore nei confronti delle terze parti, l’informativa estesa dovrà contenere i link aggiornati alle informative ed ai moduli di consenso delle terze parti.

Notificazione

In aggiunta alle misure informative, l’articolo 37, comma 1, lettera d), del Codice prescrive un obbligo di notificazione al Garante laddove l’utilizzo dei cookie sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. Così, i cookie di profilazione risultano senz’altro soggetti all’obbligo di notificazione al Garante.

Penali

Per rendere cogente l’applicazione del provvedimento, il Garante ha ritenuto opportuno sanzionare eventuali comportamenti in violazione applicando significative penali. Nello specifico, in caso di omessa informativa o di informativa inidonea, è prevista una sanzione variabile da seimila a trentaseimila euro (articolo 161 del Codice). L’installazione di cookie in assenza di idoneo consenso comporta, invece, una sanzione variabile da diecimila a centoventimila euro (articolo 162, comma 2- bis, del Codice). Infine, l’omessa o incompleta notificazione al Garante è sanzionata con il pagamento di un importo variabile da ventimila a centoventimila euro (articolo 163 del Codice).

Articolo pubblicato per gentile concessione della rivista delle imprese