Consultazione del Garante Privacy sull'uso dei cookie

cookie2Nella seduta del 22 novembre 2012 il Garante per la protezione dei dati personali ha indetto una consultazione pubblica volta ad individuare le modalità semplificate per l'informativa di cui all'art. 13, comma 3, del Codice in materia di protezione dei dati personali. Si tratta delle modalità per l'uso dei cookie.
La consultazione, rivolta alle "associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte" ma che dovrebbe tenere conto anche delle opinioni espresse da soggetti qualificati quali le università, durerà 90 giorni a partire dalla data della pubblicazione in Gazzetta Ufficiale, cioè il 19 dicembre 2012.

Come avevamo già precisato, nel 2009 l'Unione europea con la direttiva E-Privacy (2009/136/CE) ha modificato la disciplina dei cookie. I destinatari della regolamentazione sono le imprese e i fornitori di comunicazione elettronica con sede o rappresentanza o con infrastrutture principali allocate nel territorio dell'Unione.

Solo nel maggio del 2012 l'Italia ha recepito queste norme. La nuova regolamentazione richiede però ulteriori norme secondarie che dovrà porre il Garante Privacy, il quale in particolare dovrà appunto stabilire le modalità semplificate per l'uso dei cookie e per la redazione dell'informativa privacy.

Purtroppo a diversi livelli la suddetta normativa non è stata ben accolta. Dai blogger probabilmente per una non corretta comprensione della riforma, dalle aziende invece per interessi economici. Infatti, se per i primi la normativa in realtà introduce alcune semplificazioni rendendo più agevole il lavoro di gestione di un sito (e nel contempo garantendo maggiormente i diritti degli internauti), nella prospettiva delle aziende del web la riforma rende decisamente più difficile raccogliere i dati personali degli utenti a fini di profilazione e di invio di pubblicità personalizzata. Purtroppo una campagna pubblicitaria negativa portata avanti soprattutto da aziende americane (gli americani hanno ribattezzato la direttiva: no cookie law!), le quali spesso guadagnano grazie ad una raccolta massiccia dei dati degli utenti a fini pubblicitari, ha reso difficile capire esattamente a cosa mira la direttiva e come applicarla.

Nel redigere una prima guida per mettere in regola un sito web sulla base della nuova normativa, abbiamo già precisato che già prima era obbligatorio ottenere il consenso dell'utente per potergli inviare dei cookie, anche se in genere si riteneva sufficiente un consenso implicito. Ma in sede di redazione della direttiva E-Privacy si è chiarito che un browser impostato di default per accettare tutti i cookie non può in alcun modo essere ritenuto espressione di un consenso informato, e quindi di una scelta libera e consapevole dell'utente. Quello che la riforma pretende, non tanto a livello normativo quanto piuttosto a livello applicativo, è che cessi la pratica del trattamento occulto dei dati degli utenti, che ovviamente determina gravi ricadute sulla privacy degli stessi in quanto l'operazione in sé non viene portata a conoscenza degli utenti che spesso sono all'oscuro non solo del fatto che il sito visitato sta raccogliendo dati, ma anche della stessa esistenza di cookie.
Quindi cioè che si richiede oggi, con la nuova disciplina, è che l'utente sia prima di tutto correttamente e compiutamente informato di cosa il sito web deposita sul suo computer al momento della visita, e quali dati raccoglie. Ciò che è illecito, quindi, è che un sito web rilasci un cookie senza informare correttamente l'utente.

Chiaramente non tutti i cookie sono uguali. Come già abbiamo detto nella guida predisposta, si tratta soprattutto di verificare il grado di invasività dei cookie al fine di determinare come gestirli. Premesso la necessità comunque di una completa informativa, i cookie possono essere rilasciati senza alcun problema a seguito di una espressa richiesta dell'utente. Chiaramente non è che l'utente chiede un cookie, ma la richiesta riguarda uno specifico servizio che il sito web dovrà erogare, e in tutti i casi in cui l'erogazione del servizio non può prescindere dal rilascio di un cookie, questo cookie non sarà soggetto ad alcun consenso (ma sempre ad informativa). L'esempio classico è dato dai cookie della shopping cart, che sono necessari al fine di individuare univocamente l'utente che sta operando la transazione su un sito ecommerce. Altro esempio di cookie che non necessita di consenso è quello che consente il Login in un sito, oppure che ricorda la scelta di una lingua, quindi in genere tutti quei cookie che facilitano l'uso di un sito (performance cookie), purché la richiesta della funzionalità sia propria dell'utente.

Il vero oggetto della regolamentazione europea, recepita dall'Italia, sono i cookie traccianti che consentono la profilazione degli utenti a fini pubblicitari. Questi cookie, spesso rilasciati da terze parti (in genere grandi aziende) rispetto al gestore del sito, vengono depositati sui computer degli utenti senza che essi ne sappiano nulla, e consentono la raccolta di informazioni sulla navigazione permettendo poi l'invio di pubblicità mirata sulla base delle preferenze dell'utente.
Sono questi i cookie che devono ritenersi illeciti e non possono più essere rilasciati se non dopo un consenso preventivo ed informato.
Risulta chiaro, quindi, che quei plugin inseriti in molti siti web che si limitano a comunicare al visitatore che quel sito fa uso di cookie e chiede di accettarli tutti, non solo non ha molto senso, ma finiscono per risultare deleteri perché assoggetta a consenso anche quei cookie per i quali la normativa non ne prevede alcuno.

Il Garante Privacy, nelle FAQ predisposte sull'uso dei cookie, distingue appunto tra cookie tecnici e non tecnici, laddove i primi sono quelli "utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio", e tra i quali vengono ricompresi anche i performance cookie (si veda la classificazione dei cookie) chiarendo un aspetto controverso. Per i cookie tecnici non occorre consenso, mentre occorre invece per i cookie non tecnici (targeting o advertising cookie) che presentano maggiori criticità per la privacy degli utenti, consenso che deve essere libero, specifico, espresso, oltre che preventivo.

Secondo la normativa per fornire l'informativa il gestore del sito potrà avvalersi anche di "specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente". Tra queste modalità il Garante ne pone in discussione alcune.
Ad esempio le impostazioni presenti nei comuni browser, che consentono o meno la memorizzazione dei cookie nel computer (vedi Considerando 66 direttiva 2009/136/CE). In questo caso però il browser dovrebbe essere configurato in modo che in fase di installazione chieda all'utente di impostare la ricezione dei cookie (come avviene in Windows 8), non risultando valida una impostazione di default, che in genere è nel senso di accettare tutti i cookie salvo diversa e successiva scelta dell'utente (quindi tramite le impostazioni del browser si finirebbe per scegliere per tutti i cookie senza distinguere tra le finalità degli stessi).
Poi ci sono i plugin, cioè specifici programmi che possono essere aggiunti al browser, che possono essere configurati dall'utente per effettuare una selezione dei cookie sulla base dei domini di provenienza.
Infine è menzionato il "do not track", che consente all'utente di segnalare a ciascun sito visitato la sua volontà di essere o meno tracciato nel corso della navigazione. Questa modalità non risulta ancora standardizzata, per cui il segnale potrebbe non essere recepito da alcuni siti, e comunque anche in questo caso l'utente dovrebbe essere avvertito in fase di installazione del browser.
Si tratta di esempi posti in discussione e sui quali il Garante riceverà le opinioni delle parti in causa, e al termine della consultazione (19 marzo 2013) il Garante dovrà fornire le regole per l'informativa semplificata.