Garante Privacy: consultazione per modalità semplificate di informativa sui cookies
A seguito delle recenti novità introdotte con il Decreto Legislativo 28 maggio 2012, n. 69, in vigore dal 1° giugno, emesso per il recepimento della Direttiva 2009/136/CE, l’Autorità Garante della Privacy ha avviato una consultazione pubblica diretta ai gestori dei siti e delle associazioni dei consumatori per acquisire pareri, idee e suggerimenti sulle modalità di attuazione delle modifiche apportate all’articolo 122 del Codice Privacy in materia di cookies.
Il nuovo testo normativo cerca di porre un limite all’utilizzo indiscriminato e non informato dei cookies (piccoli file di testo che i siti visitati inviano al terminale dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla navigazione-consultazione successiva), prevedendo espressamente che:
“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
3. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.
È evidente l’impegno dell’Unione Europea e dei singoli Paesi di introdurre un sistema di “opt in”, ovvero di consenso preventivo ed informato dell’utente e del contraente all’utilizzo dei cookies cosiddetti “non tecnici”, ovvero quelli diretti al monitoraggio dei siti Internet, che consentono di raccogliere dati personali e informazioni sui gusti, sulle abitudini e sulle scelte del navigatore-consumatore, diretti alla profilazione dei medesimi.
Sarà dunque onere dei gestori dei siti Internet fornire una specifica informativa sulla tipologia dei cookies utilizzati (tecnici, non tecnici, propri e/o di terzi parti), sui tempi e le modalità di raccolta, nonché sulle finalità del trattamento, ferma la facoltà di archiviazione diretta al “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Quanto alla consultazione, che avrà termine entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale, avvenuta il 19 dicembre), gli interessati potranno inviare le loro proposte al Garante all’indirizzo email: consultazionecookie@gpdp.it.
Si consiglia vivamente di partecipare alla consultazione facendo pervenire note operative.
Sempre sul punto, si segnala all’attenzione del Garante e dei lettori l’esperienza del Regno Unito, ove già nel maggio del 2011 è entrata in vigore la “Cookie Law”, rivolta agli operatori dei siti web e, più in generale, ai soggetti che utilizzano cookies, web beacons, bugs e altre tecnologie simili volte alla memorizzazione di informazioni. In particolare, l’esperienza inglese si segnala per la concessione di un periodo di prova e di transizione di un anno agli operatori web, i quali da fine maggio 2012 sono obbligati a:
- fornire ai navigatori un’informativa chiara, specifica e completa, contenente tutte le informazioni relative ai cookies utilizzati dal sito, specificando, tra le altre informazioni, lo scopo della raccolta, la tipologia dei cookies (strictly necessary cookies – per i quali non è richiesto il consenso; performance cookies; functionally cookies; targeting cookies o advertising cookies), il soggetto che raccoglie i cookies, la durata di conservazione, e
- raccogliere uno specifico consenso dell’utente per poter salvare cookies sul computer del medesimo, dando la possibilità di scegliere quali cookies memorizzare e quali no. Ad oggi, il consenso viene generalmente raccolto attraverso le tecniche del “pop-up” e simili, l’approvazione specifica delle Condizioni Generali che richiamano la cd. “privacy cookie”, il “settings-led consent”, il “function-led consent”, o le tecniche del “ricordami”.
A seguito delle recenti novità introdotte con il Decreto Legislativo 28 maggio 2012, n. 69, in vigore dal 1° giugno, emesso per il recepimento della Direttiva 2009/136/CE, l’Autorità Garante della Privacy ha avviato una consultazione pubblica diretta ai gestori dei siti e delle associazioni dei consumatori per acquisire pareri, idee e suggerimenti sulle modalità di attuazione delle modifiche apportate all’articolo 122 del Codice Privacy in materia di cookies.
Il nuovo testo normativo cerca di porre un limite all’utilizzo indiscriminato e non informato dei cookies (piccoli file di testo che i siti visitati inviano al terminale dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla navigazione-consultazione successiva), prevedendo espressamente che:
“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
3. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.
È evidente l’impegno dell’Unione Europea e dei singoli Paesi di introdurre un sistema di “opt in”, ovvero di consenso preventivo ed informato dell’utente e del contraente all’utilizzo dei cookies cosiddetti “non tecnici”, ovvero quelli diretti al monitoraggio dei siti Internet, che consentono di raccogliere dati personali e informazioni sui gusti, sulle abitudini e sulle scelte del navigatore-consumatore, diretti alla profilazione dei medesimi.
Sarà dunque onere dei gestori dei siti Internet fornire una specifica informativa sulla tipologia dei cookies utilizzati (tecnici, non tecnici, propri e/o di terzi parti), sui tempi e le modalità di raccolta, nonché sulle finalità del trattamento, ferma la facoltà di archiviazione diretta al “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Quanto alla consultazione, che avrà termine entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale, avvenuta il 19 dicembre), gli interessati potranno inviare le loro proposte al Garante all’indirizzo email: consultazionecookie@gpdp.it.
Si consiglia vivamente di partecipare alla consultazione facendo pervenire note operative.
Sempre sul punto, si segnala all’attenzione del Garante e dei lettori l’esperienza del Regno Unito, ove già nel maggio del 2011 è entrata in vigore la “Cookie Law”, rivolta agli operatori dei siti web e, più in generale, ai soggetti che utilizzano cookies, web beacons, bugs e altre tecnologie simili volte alla memorizzazione di informazioni. In particolare, l’esperienza inglese si segnala per la concessione di un periodo di prova e di transizione di un anno agli operatori web, i quali da fine maggio 2012 sono obbligati a:
- fornire ai navigatori un’informativa chiara, specifica e completa, contenente tutte le informazioni relative ai cookies utilizzati dal sito, specificando, tra le altre informazioni, lo scopo della raccolta, la tipologia dei cookies (strictly necessary cookies – per i quali non è richiesto il consenso; performance cookies; functionally cookies; targeting cookies o advertising cookies), il soggetto che raccoglie i cookies, la durata di conservazione, e
- raccogliere uno specifico consenso dell’utente per poter salvare cookies sul computer del medesimo, dando la possibilità di scegliere quali cookies memorizzare e quali no. Ad oggi, il consenso viene generalmente raccolto attraverso le tecniche del “pop-up” e simili, l’approvazione specifica delle Condizioni Generali che richiamano la cd. “privacy cookie”, il “settings-led consent”, il “function-led consent”, o le tecniche del “ricordami”.
