Cookie e riforma europea: come mettere in regola il sito web

cookieLeggere anche: Il Garante privacy individua le modalità semplificate per l'uso dei cookie.
-------------------------

Abbiamo già dato conto della normativa in materia di marcatori, comunemente detti cookie, e delle riforme in corso, chiarendo che già in passato esisteva una apposita normativa, derivante dalle direttive europee (95/46/CE e 2002/58/CE), che regolava la materia prescrivendo l'obbligo di informare gli utenti dell'uso di cookie in un sito web.
Detta normativa è stata modificata dalla direttiva 2009/136/CE (E-Privacy), finalmente recepita dall'Italia a fine maggio 2012, e verrà ulteriormente modificata da un regolamento (che quindi non necessita di recepimento) che la Commissione europea sta preparando, e che dovrebbe vedere la luce entro l'anno prossimo.

Sussiste purtroppo notevole confusione in materia di cookie, perché erroneamente si ritiene che le norme in materia siano una novità del momento, mentre invece già erano presenti da tempo, anche se non sempre tenute in dovuta considerazione (anche perché nel gergo giuridico venivano definiti marcatori). A tal proposito, infatti, il Garante italiano con provvedimento del 10 maggio 2006 asseriva che l'uso dei cookie "viola il divieto di utilizzo di una rete di comunicazione elettronica per accedere ad informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente", richiamando l'art. 122 del codice privacy.
La confusione determina ricadute negative sulla comprensione del problema. Molti siti, infatti, stanno adottando la semplicistica soluzione di chiedere il consenso per tutti i cookie rilasciati, con ciò creando non pochi problemi per le funzionalità del sito, fino al rischio di paralisi in assenza di un consenso espresso.

Cerchiamo, quindi, di fare chiarezza sia sulla normativa attuale, sia su cosa ci aspetta per il futuro.
Precisiamo innanzitutto che i cookie non sono altro che dei piccoli file di testo che contengono delle informazioni, in particolare un identificativo (Id) univoco, in modo da distinguere gli utenti collegati, una data di scadenza e un pattern che individua il dominio di riferimento (il sito che rilascia il cookie). Non essendo dei programmi di per sé i cookie sono incapaci di porre in essere una qualsiasi azione, possono solo essere letti dagli script dei siti web.
Visitando un sito può accadere che esso rilasci un cookie il quale viene registrato sul computer del visitatore, così ogni volta che quello specifico visitatore ritorna sul sito, la lettura di quello specifico cookie consente al sito di abbinare all'utente delle specifiche scelte. Ad esempio il sito sa che quell'utente già si è registrato sul sito e ha scelto di loggarsi automaticamente, quindi la lettura del cookie consente l'accesso automatizzato senza bisogno di digitare di nuovo le password. Il cookie è una sorta di autorizzazione per stabilire il diritto di uno specifico utente ad una determinata risorsa (più o meno come il tagliando di una lavanderia).

L'articolo 122 del Codice Privacy, nella sua attuale formulazione, come modificata in attuazione delle direttiva del 2009, recita così:
"Art. 122. Informazioni raccolte nei riguardi del contraente o dell'utente
1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente".

La nuova formulazione in realtà non è molto dissimile dalla vecchia. Adesso si è aggiunta la seconda parte del comma 1 per cui, ora come prima, l'archiviazione di informazioni nel computer dell'utente è possibile solo in quanto l'utente abbia già espresso il suo consenso dopo essere stato informato. Il visitatore di un sito web che tratta i dati personali deve essere avvertito della circostanza che i suoi dati personali vengono trattati, con specificazione del tipo di trattamento, delle finalità e dei diritti dell'interessato, compreso quello di rifiutare di fornire i dati (eventualmente così non usufruendo del servizio).
In sostanza deve cessare la pratica del trattamento occulto dei dati degli utenti, che ovviamente determina gravi ricadute sulla privacy degli stessi in quanto l'operazione in sé non viene portata a conoscenza degli utenti che spesso sono all'oscuro anche della stessa esistenza di cookie (Raccomandazione 1/99).

La differenza rispetto al passato sta nelle modalità dell'informativa che non deve essere più analitica come prima, ma semplificata secondo le modalità che individuerà il Garante per la privacy, tenendo conto anche "delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente".
Nello specifico, quindi, nell'informativa privacy andrà precisato se il sito fa uso di cookie, e andranno indicati quali tipi di cookie vengono utilizzati, quali dati registrano e che uso viene fatto di tali dati. Dovrebbe essere sufficiente una elencazione per categorie, proprio in virtù delle modalità semplificate che poi il Garante dovrebbe stabilire.

L'articolo 122 precisa altresì che non è vietata "l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio". Ciò consente anche una gestione semplificata dei cookie, in quanto sancisce che non occorre affatto un consenso per tutti i cookie, ma solo in relazione ad alcune categorie, escludendo tutti quelli che sono legati ad alcuni criteri di esenzione.
Infine, viene inserito un comma 2 bis che esplicitamente vieta il monitoraggio delle operazioni effettuate dall'utente.

Quindi occorre distinguere tra i vari tipi di cookie per stabilire quali tra loro sono effettivamente soggetti a consenso.
Tenendo presente la documentazione della Commissione europea che ha specificato i criteri di esenzione dal consenso, possiamo distinguere 4 categorie di cookie.

La prima categoria è quella dei cookie essenziali (strictly necessary), che include cookie finalizzati unicamente alla trasmissione di una comunicazione su rete elettronica (per strictly si intende che la trasmissione non deve essere possibile in assenza del cookie) e quelli collegati ad un servizio espressamente richiesto dal visitatore. Cookie del primo tipo sono quelli che identificano univocamente il punto di arrivo della trasmissione, impedendo che l'informazione vada a qualcun altro, oppure quelli che verificano problemi od errori di trasmissione. Un esempio di cookie del secondo tipo è quello utilizzato dallo shopping cart nei siti di ecommerce, che consente di ricordare i prodotti immessi nel carrello e mantenere l'accesso all'area protetta. Altri cookie di questa categoria sono quelli che mantengono i dati per il login a seguito dei scelta dell'utente, quelli che permettono una autenticazione sicura, i flash cookie che consentono la riproduzione di contenuto multimediale. Anche i cookie dei social network, legati ai social button, possono essere considerati come espressamente richiesti dall'utente, ma solo se l'utente naviga essendo già loggato nel social network, in caso contrario sono da includersi nella quarta categoria.
Per la prima categoria non è richiesto il consenso, purché i cookie siano attivi per il solo periodo necessario per instradare la trasmissione o fornire il servizio richiesto, e non siano utilizzati per scopi ulteriori rispetto alla richiesta. In linea di massima dovrebbero essere cookie non persistenti, ma di sessione (cioè che scadono alla chiusura del browser), anche se non necessariamente. Pensiamo infatti ai cookie che mantengono prodotti nel carrello anche per diversi giorni.

La seconda categoria riguarda i performance cookie all'interno della quale sono ricondotti tutti i marcatori che consentono di fornire una migliore esperienza all'utente, e quindi raccolgono informazioni sull'uso del sito da parte dei visitatori, dati però anonimi che quindi non portano ad una profilazione. Sono i cookie dei servizi di analisi dell'uso del sito (come Google Analytics), quelli di advertising e pay per click, purché non usati, però, per inviare pubblicità personalizzata.
Per questi cookie non c'è ancora certezza, le autorità europee dovranno ritornare sul punto, ma in linea di massima per essi non dovrebbe occorrere un consenso specifico, ma è sufficiente che siano indicati nell'informativa privacy, ovviamente purché trattino dati in forma anonima ed aggregata, quindi senza rischi per la privacy degli utenti, e non recuperino dati personali degli utenti nel qual caso rientrano nella quarta categoria.

I functionality cookie sono marcatori che ricordano scelte dell'utente e quindi automatizzano alcune procedure (come il login), oppure personalizzano l'accesso e la navigazione del sito (ad esempio ricordano la lingua dell'utente).
In genere per questi cookie non occorre consenso, ma solo l'indicazione nell'informativa, in quanto sono rilasciati a seguito di una precisa scelte dell'utente, o della espressa richiesta di un servizio.

L'ultima categoria è il vero oggetto della regolamentazione europea. Si tratta dei cookie pubblicitari che consentono la profilazione degli utenti al fine di fornire pubblicità mirata (targeting o advertising cookie), di quelli legati ai social network, e dei tracking cookie. Spesso sono di terze parti (come i cookie gestiti dai social network), e raccolgono informazioni relative alla navigazione degli utenti, i siti che usano, le pagine che visitano, ecc... proprio al fine di poter intuire i gusti dell'utente ed inviargli pubblicità personalizzata.
È ovvio che tali cookie devono non solo essere indicati nell'informativa, ma sono soggetti a preventivo ed esplicito consenso, in assenza del quale non possono essere in alcun modo usati.
Inoltre, ai sensi dell'art. 37 del Codice della privacy, un trattamento di dati trattati con l'ausilio di strumenti elettronici ai fini della profilazione dell'utente comporta l'obbligo della notifica preventiva al Garante.

Questa classificazione è basata sulla documentazione della Commissione europea e sull'analisi dell'ICO (Information Commissioner Office), l'agenzia che si occupa della privacy in Inghilterra, laddove l'Inghilterra è il primo paese ad aver recepito la direttiva del 2009, e nel quale i siti web si sono già dovuti conformare alle norme. L'ICO ha pubblicato una guida per consentire ai siti web di non incorrere in violazioni della legge.
Il trattamento di dati personali a mezzo di cookie in contrasto con la normativa vigente non comporta l'applicazione di sanzioni penali, non essendo l'art. 122 del codice privacy richiamato dall'art. 167, ma determina l'applicazione di una sanzione amministrativa come prevista dagli articoli 161 (omessa o inidonea informativa) e 163 (omessa notifica) del codice privacy, quest'ultimo in relazione alle operazioni di profilazione che, ovviamente, comportano anche l'obbligo di notifica al Garante.

Tornando alla proposta di Regolamento sulla privacy che la Commissione europea sta preparando, destinato a sostituire la direttiva 95/46/CE, con efficacia immediata per gli Stati membri, notiamo che al Considerando 25 disciplina i marcatori/cookie in questo modo: "Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all'interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un'apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo".
Anche il futuro regolamento, quindi, non consentirà una raccolta occulta dei dati personali, cioè rimane obbligatoria l'informativa ed anche il consenso preventivo in relazione ai cookie non soggetti ad esenzione.

Ovviamente di certo ci saranno degli aggiustamenti nell'applicazione delle norme, e comunque occorrerà attenersi ai provvedimenti del Garante italiano, che avranno anche il compito di dettare modalità semplificate per conformarsi alle direttive europee.
Quello che è essenziale rimarcare è che rispetto ad un anno fa le regole non sono cambiate, almeno non molto. Oggi sono solo più analitiche, venendo così incontro alle esigenze dei cittadini e rendendo più facile conformarsi. Ciò che occorre tenere a mente è che è fondamentale informare correttamente e compiutamente gli utenti dell'utilizzo di cookie e del fatto che essi raccolgono dati, e con quali finalità. In particolare se i cookie vengono usati per profilare l'utente ai fini di direct marketing, ciò non è ammesso se non con un consenso preventivo dell'utente stesso.