x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Garante Privacy: provvedimento per l’uso dei cookie

Altri articoli dell'autore

Diritto /

Editoriale

Diritto /

Editoriale Trust, impresa e famiglia

Diritto /

Editoriale Sistema 231

 A seguito del Decreto Legislativo 28 maggio 2012, n. 69, emesso per il recepimento della Direttiva 2009/136/CE, l’Autorità Garante della Privacy aveva avviato consultazioni pubbliche dirette ai gestori dei siti e delle associazioni dei consumatori per acquisire pareri, idee e suggerimenti sulle modalità di attuazione delle modifiche apportate all’articolo 122 del Codice Privacy in materia di cookies, all’esito delle quali è stato emesso l’atteso provvedimento n. 229 dell’8 maggio 2014, relativo all’“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Innanzitutto vale la pena di ricordare la distinzione operata dal Garante tra cookie “tecnici” e “di profilazione”, che ha importanti effetti in merito alla necessità di ottenere o meno il consenso al trattamento. In particolare,

  1. l'uso dei cookie tecnici, installati generalmente dal titolare o dal gestore del sito, non richiede il consenso dell’interessato, fermo restando l’obbligo del titolare di rendere l’informativa privacy. Essi, inoltre, sono classificati e suddivisi nelle seguenti categorie: i) cookie di navigazione o di sessione (sono quelli che permettono di realizzare un acquisito o l’autenticazione per l’accesso alle aree riservate); ii) cookie analytics (utilizzati dal gestore per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come visitano il sito); iii) cookie di funzionalità (permettono di scegliere la lingua, i prodotti selezionati per l’acquisto)
  2. l’uso dei cookie di profilazione, volti a creare profili degli utenti e inviare messaggi pubblicitari sulla base delle preferenze manifestate dagli stessi, necessita, invece, del consenso dell’utente.

La normativa e il provvedimento in esame distinguono altresì tra cookie del gestore del sito, definito come “editore”, e cookie di “terze parti”, al fine di individuarne i rispettivi ruoli e responsabilità. Al riguardo, fermo restando l’esonero dall’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito per quelli installati da “terze parti”, gli editori devono considerarsi, da un lato, titolari del trattamento dei cookie installati direttamente e, dall’altro, quali intermediari tecnici tra le terze parti e gli utenti.

Quanto all’informativa cookie, la scelta del Garante si è conclusa prevedendo una soluzione basata su due livelli di approfondimento, che prevedono rispettivamente l’obbligo di inserire l’informativa breve, attraverso dei banner a comparsa, e l’informativa estesa.

Quanto all’informativa breve, il cui banner deve avere dimensioni tali da costituire una percettibile  discontinuità nella fruizione dei contenuti nella pagina web, essa deve:

- indicare i cookie di profilazione eventualmente utilizzati;

- specificare se il sito invia cookie di “terze parti”;

- riportare il link all’informativa estesa, dalla quale deve essere data la possibilità di scegliere quali cookie autorizzare;

- indicare che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

- specificare che la prosecuzione della navigazione sul sito comporta l’accettazione all’uso dei cookie.

Inoltre, il provvedimento specifica che:

- il superamento della presenza del banner al video deve essere possibile solo con l’intervento attivo dell’utente, ad esempio, mediante la selezione di un elemento contenuto nella pagina sottostante il banner stesso;

- la prestazione del consenso dell’utente può essere tracciata mediante cookie cd. tecnico;

- prestato il consenso, l’editore può non riproporre successivamente l’informativa breve, ferma la possibilità dell’utente di negare e/o modificare il proprio consenso.

Quanto all’informativa estesa, essa deve:

- “descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito”,

- “consentire all’utente di selezionare/deselezionare i singoli cookie”;

- essere “raggiungibile mediante un link nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocata in calce alla medesima”;

- contenere il link aggiornato alle informative, da acquisire già in fase contrattuale, e ai moduli di consenso delle terze parti.

Non da ultimo, l’editore deve dare la possibilità all’utente di manifestare le proprie scelte anche attraverso le impostazioni del browser, indicando nell’informativa estesa almeno la procedura da seguire. “Qualora, poi, le tecnologie utilizzare dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse”.

Infine, quanto all’obbligo di notificazione al Garante ex articolo 37, comma 1, lettera d), del Codice, questo sussiste se l’uso dei cookie è volto a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, restando escluso per i trattamenti tecnicamente necessari per fornire i servizi agli utenti e per l’utilizzo dei cookie tecnici.

Vista la portata e la complessità delle modifiche da apportare ai siti web (peraltro per alcuni versi ampliamente annunciate dalla riforma del Codice privacy), è stato concesso un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento del Garante sulla Gazzetta Ufficiale (3 giugno) per consentire agli interessati di avvalersi delle nuove modalità semplificate descritte dal provvedimento.

Le sanzioni amministrative per l’omessa o inidonea informativa, per l’assenza del preventivo consenso e l’omessa o incompleta notifica al Garante sono, rispettivamente, le seguenti: da un minimo di euro 6.000 ad un massimo di euro 36.000; da euro 10.000 a euro 120.000; da euro 20.000 a euro 120.000.

(Garante per la protezione dei dati personali, Provvedimento 8 maggio 2014, n. 229: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – pubblicato sulla Gazzetta Ufficiale del 3 giugno 2014, n.126)

 A seguito del Decreto Legislativo 28 maggio 2012, n. 69, emesso per il recepimento della Direttiva 2009/136/CE, l’Autorità Garante della Privacy aveva avviato consultazioni pubbliche dirette ai gestori dei siti e delle associazioni dei consumatori per acquisire pareri, idee e suggerimenti sulle modalità di attuazione delle modifiche apportate all’articolo 122 del Codice Privacy in materia di cookies, all’esito delle quali è stato emesso l’atteso provvedimento n. 229 dell’8 maggio 2014, relativo all’“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Innanzitutto vale la pena di ricordare la distinzione operata dal Garante tra cookie “tecnici” e “di profilazione”, che ha importanti effetti in merito alla necessità di ottenere o meno il consenso al trattamento. In particolare,

  1. l'uso dei cookie tecnici, installati generalmente dal titolare o dal gestore del sito, non richiede il consenso dell’interessato, fermo restando l’obbligo del titolare di rendere l’informativa privacy. Essi, inoltre, sono classificati e suddivisi nelle seguenti categorie: i) cookie di navigazione o di sessione (sono quelli che permettono di realizzare un acquisito o l’autenticazione per l’accesso alle aree riservate); ii) cookie analytics (utilizzati dal gestore per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come visitano il sito); iii) cookie di funzionalità (permettono di scegliere la lingua, i prodotti selezionati per l’acquisto)
  2. l’uso dei cookie di profilazione, volti a creare profili degli utenti e inviare messaggi pubblicitari sulla base delle preferenze manifestate dagli stessi, necessita, invece, del consenso dell’utente.

La normativa e il provvedimento in esame distinguono altresì tra cookie del gestore del sito, definito come “editore”, e cookie di “terze parti”, al fine di individuarne i rispettivi ruoli e responsabilità. Al riguardo, fermo restando l’esonero dall’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito per quelli installati da “terze parti”, gli editori devono considerarsi, da un lato, titolari del trattamento dei cookie installati direttamente e, dall’altro, quali intermediari tecnici tra le terze parti e gli utenti.

Quanto all’informativa cookie, la scelta del Garante si è conclusa prevedendo una soluzione basata su due livelli di approfondimento, che prevedono rispettivamente l’obbligo di inserire l’informativa breve, attraverso dei banner a comparsa, e l’informativa estesa.

Quanto all’informativa breve, il cui banner deve avere dimensioni tali da costituire una percettibile  discontinuità nella fruizione dei contenuti nella pagina web, essa deve:

- indicare i cookie di profilazione eventualmente utilizzati;

- specificare se il sito invia cookie di “terze parti”;

- riportare il link all’informativa estesa, dalla quale deve essere data la possibilità di scegliere quali cookie autorizzare;

- indicare che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

- specificare che la prosecuzione della navigazione sul sito comporta l’accettazione all’uso dei cookie.

Inoltre, il provvedimento specifica che:

- il superamento della presenza del banner al video deve essere possibile solo con l’intervento attivo dell’utente, ad esempio, mediante la selezione di un elemento contenuto nella pagina sottostante il banner stesso;

- la prestazione del consenso dell’utente può essere tracciata mediante cookie cd. tecnico;

- prestato il consenso, l’editore può non riproporre successivamente l’informativa breve, ferma la possibilità dell’utente di negare e/o modificare il proprio consenso.

Quanto all’informativa estesa, essa deve:

- “descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito”,

- “consentire all’utente di selezionare/deselezionare i singoli cookie”;

- essere “raggiungibile mediante un link nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocata in calce alla medesima”;

- contenere il link aggiornato alle informative, da acquisire già in fase contrattuale, e ai moduli di consenso delle terze parti.

Non da ultimo, l’editore deve dare la possibilità all’utente di manifestare le proprie scelte anche attraverso le impostazioni del browser, indicando nell’informativa estesa almeno la procedura da seguire. “Qualora, poi, le tecnologie utilizzare dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse”.

Infine, quanto all’obbligo di notificazione al Garante ex articolo 37, comma 1, lettera d), del Codice, questo sussiste se l’uso dei cookie è volto a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, restando escluso per i trattamenti tecnicamente necessari per fornire i servizi agli utenti e per l’utilizzo dei cookie tecnici.

Vista la portata e la complessità delle modifiche da apportare ai siti web (peraltro per alcuni versi ampliamente annunciate dalla riforma del Codice privacy), è stato concesso un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento del Garante sulla Gazzetta Ufficiale (3 giugno) per consentire agli interessati di avvalersi delle nuove modalità semplificate descritte dal provvedimento.

Le sanzioni amministrative per l’omessa o inidonea informativa, per l’assenza del preventivo consenso e l’omessa o incompleta notifica al Garante sono, rispettivamente, le seguenti: da un minimo di euro 6.000 ad un massimo di euro 36.000; da euro 10.000 a euro 120.000; da euro 20.000 a euro 120.000.

(Garante per la protezione dei dati personali, Provvedimento 8 maggio 2014, n. 229: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – pubblicato sulla Gazzetta Ufficiale del 3 giugno 2014, n.126)

Articoli più letti su questo argomento

Newsletter Abbonamenti