Cookies. Gli obblighi per i gestori dei siti entro maggio 2015

cookies provvedimenti garante privacy

Cookies sui siti web

Cosa e’ obbligato a fare il gestore di un sito web entro maggio 2015?

Ricordiamo che il Garante Privacy lo scorso maggio 2014 ha emanato un provvedimento con cui ha predisposto delle modalità semplificate per rendere l’informativa agli utenti e acquisire il consenso all’uso dei cookies sui siti web.

In tale occasione, l’Autorità Garante dei Dati Personali ha avuto modo di chiarire cosa sono i cookies e in quali categorie generali essi si suddividono.

Vediamolo brevemente, prima di ricordare gli adempimenti cui sono tenuti i gestori dei siti web che, entro il prossimo maggio 2015 (esattamente entro il 2 Giugno), devono adeguarsi al provvedimento del Garante.

Cosa sono i cookies?

I cookies sono piccole stringhe di file di testo che i siti visitati dall’utente inviano al suo terminale, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti, quando l’utente visita nuovamente quella pagina web. L’utente, navigando su un sito web, può incontrare anche cookies installati da soggetti terzi diversi dal sito visitato, su cui si trovano ad esempio immagini, suoni, link ad altri siti ecc.

I cookies hanno diverse finalità, possono essere utili per monitorare le sessioni, per memorizzare informazioni dei soggetti che accedono in aree private del sito web (effettuando il log-in), per ricordare l’utente al successivo accesso, evitandogli di registrare i propri dati ogni volta.

Vi sono alcuni cookies più invasi rispetto ad altri, per i quali il legislatore europeo prima e quello italiano, poi ha previsto la necessità di acquisire il consenso preventivo da parte degli utenti, quindi, come disposto dalla direttiva 2009/136/CE, per installare cookies utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice) è necessario il consenso preventivo degli utenti.

I cookies sono stati suddivisi quindi in: cookie “tecnici” e cookie “di profilazione”.

  1. Cookie tecnici.

I cookies tecnici sono quelli necessari ad “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice Privacy – D. Lgs. n. 196/2003).

Possono essere a loro volti suddivisi in:

a.1 cookie di navigazione o di sessione: permettono di fruire del sito web e navigare (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per entrare in aree riservate);

a.2 cookie analytics: non sono propriamente tecnici ma il Garante li ha assimilati ai cookies tecnici, vengono generalmente utilizzati dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero delle visite sul sito e sul loro andamento;

a.3 cookie di funzionalità: permettono all’utente di migliorare la sua esperienza di navigazione e di acquisto, su un sito di e_commerce, ad esempio, selezionando la lingua, scegliendo i prodotti da acquistare, ecc.

Il garante ha chiarito che per l’uso e l’installazione di queste categorie di cookies non è richiesto il preventivo consenso degli utenti, mentre resta salvo l’obbligo di rendere l’informativa secondo le disposizioni previste dall’art. 13 del Codice Privacy. L’informativa potrà essere fornita dal gestore del sito secondo i modi da lui ritenuti più opportuni (ad esempio, inserendo una cookies policy in una pagina specifica del sito o in un paragrafo specifico della privacy policy del sito web).

  1. Cookie di profilazione.

I cookies di profilazione (tra questi l’Adsense di Google potrebbe contenere tali cookies) sono più invasivi rispetto ai precedenti e servono a creare un profilo utente. I loro risultati di analisi sono utili al fine di inviare messaggi pubblicitari in linea con le simpatie su prodotti o servizi espresse dall’utente durante la navigazione sul sito web. A causa della loro invasività, la normativa europea e italiana prevedno che l’utente debba essere adeguatamente informato sull’uso degli stessi e che egli debba esprimere esplicito permesso all’uso.

In particolare, in merito interviene l’art. 122 del Codice: “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del D. Lgs. n. 196/2003).

Chi deve adeguarsi?

Il Garante, nel suo provvedimento, ha chiarito che se il gestore del sito web (che egli definisce editore) utilizza cookies di “terze parti”, data la difficoltà di verifica, modifica e controllo, in relazione a tali cookies, è impensabile porre a suo carico l’obbligo di fornire l’informativa e acquisire il consenso degli utenti all’installazione di tali cookie sul proprio sito, di cui spesso non conosce nemmeno la logica sottesa.

Una soluzione efficace, che contemperi gli interessi dell’utente di essere informato, previamente sull’uso dei cookies di profilazione e quello del gestore del sito web di informare l’utente, ma senza gravarsi di pesanti obblighi e che fa salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), è quella di impostare l’informativa su due livelli.

L’informativa breve

Una prima informativa breve, presentata attraverso ad esempio un banner, deve accogliere l’utente quando si presenta sul sito web, comparendo in home page (o altra pagina da cui l’utente può accedere al sito), tale informativa deve essere connessa ad un’informativa completa, alla quale si accede attraverso un link cliccabile dall’utente.

La richiesta di consenso all’uso dei cookie deve essere inserita proprio nel banner contenente la prima informativa (quella breve).

Il superamento del banner al video deve essere possibile solo attraverso un’azione esplicita dell’utente (ad esempio, attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Gli utenti devono essere messi nella possibilità di avere  informazioni più precise e manifestare espressamente i propri consensi in merito ai diversi cookies, per cui devono poter accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere i singoli consensi.

Dei consensi manifestati dall’utente in merito ai cookie il gestore deve tenere traccia, anche usando un apposito cookie tecnico, (considerando 25 della direttiva 2002/58/CE).

Tracciare le scelte dell’utente permette al gestore del sito di non riproporre l’informativa breve alla seconda visita del medesimo utente, anche se l’utente può negare il consenso e/o modificarlo, in ogni momento, ad esempio tramite accesso all’informativa completa, che deve essere linkabile da ogni pagina del sito.

L’informativa completa

L’utente deve poter accedere a tale informativa:

  • mediante un link inserito nell’informativa breve e
  • attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima (es. in basso nel footer inserire un link chiaramente identificabile).

L’informativa completa deve

– contenere tutti gli elementi previsti dall’art. 13 del Codice;

– descrivere chiaramente le caratteristiche e le finalità dei cookies installati dal sito;

– permettere all’utente di selezionare/deselezionare i singoli cookie.

– contenere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il gestore del sito ha stipulato accordi per l’installazione di cookie tramite il proprio sito;

– permettere all’utente di scegliere quali cookies consentire anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

Notificazione al Garante cookies di profilazione

L’uso di cookie di profilazione (sono esclusi quelli tecnici e quelli ad essi assimilati come i cookies analytics) rientra tra i trattamenti soggetti all’obbligo di notificazione preventiva al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove i dati rilevati attraverso i cookies vengono usati dal gestore del sito per “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.

Tempi di adeguamento.

I gestori dei siti web devono modificare i loro siti per adeguarsi al provvedimento sui cookies entro il prossimo 2 Giugno 2015.

Conseguenze del mancato rispetto del provvedimento sui cookie.

Si ricorda che per il caso di omessa informativa o di informativa mancante degli elementi richiesti, oltre che dalle previsioni di cui all’art. 13 del Codice, dal presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da € 6000,00 a € 36000,00 euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti, senza aver richiesto il consenso agli stessi implica la sanzione del pagamento di una somma da € 10000, 00 a € 120000, 00 (art. 162, comma 2-bis, del Codice).

L’omessa o incompleta notificazione al Garante, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, comporta il pagamento di una somma da 20000, 00 a € 120000,00 (art. 163 del Codice).

Possiamo fornirti l’adeguamento tecnico e legale di cui hai bisogno.

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy