Con il provvedimento generale dell'8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, al quale ha fatto seguito il comunicato del 4 giugno, il Garante per la protezione dei dati personali ha individuato le modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie.
Siamo nell'ambito dell'attuazione delle direttive europee, in particolare della direttiva 2002/58/CE (E-Privacy) in tema di riservatezza dei dati personali degli utenti. Come già detto, tale direttiva al considerando 24 e 25 prevede l'obbligo dell'informativa in caso di uso di marcatori (i marcatori sono appunto i cookie) anche se destinati a scopi come "facilitare la fornitura di servizi della società dell'informazione". Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale.
Con la direttiva 2009/136 CE si ha una ulteriore modifica alla disciplina dei cookie, ed infine nel corso del 2012 la Commissione europea presenta una proposta di Regolamento sulla privacy, destinato a sostituire la direttiva 95/46/CE ancora in vigore, con efficacia immediata per tutti gli Stati membri. Il Regolamento in questione, ancora in corso di discussione, disciplina dettagliatamente l'utilizzo dei cookie, prevedendo un consenso esplicito con modalità tali da consentire una manifestazione di volontà libera, specifica e informata. Il consenso tacito o passivo non è ammesso.
Quello che la riforma pretende è che cessi la pratica del trattamento occulto dei dati degli utenti, cioè si richiede che l'utente sia preventivamente e compiutamente informato di cosa il sito web deposita sul suo computer al momento della visita, e quali dati raccoglie. Ciò che è illecito, quindi, è che un sito web rilasci un cookie senza informare correttamente l'utente, perché il consenso deve essere preliminare al trattamento.
Sulla base della normativa già in vigore e con un occhio al Regolamento in fase di discussione, il Garante per la protezione dei dati personali italiano nel corso del 2012 ha indetto una consultazione pubblica volta a individuare le modalità semplificate per l'informativa. Precisiamo che solo nel 2012 lo Stato italiano ha recepito con legge la direttiva 2009/136/CE.
Nel 2012 il Garante predispose un'apposita FAQ per la corretta gestione dei cookie. Adesso, al termine della consultazione, il Garante chiarisce le modalità applicative della normativa in materia.
È d'obbligo premettere che il Garante ha stabilito in un anno dalla pubblicazione in Gazzetta Ufficiale il termine per l'adeguamento alla normativa.
Al di là delle preoccupazione dei gestori di siti web, bisogna chiarire ancora una volta che le modalità applicative risultano davvero semplificate rispetto al passato. Oggi per alcuni tipi di cookie non necessita alcun consenso. Per mettere il regola il proprio sito web, fermo restando quanto già detto in precedenza, oggi il Garante individua le seguenti modalità semplificate.
Si distinguono due categorie di cookie: i cookie tecnici e quelli di profilazione (su onlinecookieaudit è possibile verificare quali cookie veicola il sito).
COOKIE TECNICI
Per i cookie tecnici non è necessario alcun consenso preventivo, ma è obbligatorio fornire l'informativa specifica, con indicazione delle finalità dei cookie, secondo le modalità che ritiene più idonea il gestore del sito (è sufficiente un link a fondo pagina che porta all'informativa in una pagina interna).
Cookie tecnici (strictly necessary) sono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio. Ad esempio:
- i cookie impiantati nel terminale dell'utente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori (cookie di sessione utilizzati per "riempire il carrello" negli acquisti online, di autenticazione, cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, cookie di personalizzazione per la scelta della lingua di navigazione, cookie di Login per ricordare le credenziali di accesso al sito, ecc...);
- i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (performance cookie) se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata (cioè senza profilazione individuale).
Questi cookie dovrebbero scadere alla chiusura del browser (cookie di sessione), cioè devono essere attivi solo per il periodo necessario alla fornitura del servizio e non oltre. Ovviamente è necessario valutare caso per caso, ad esempio i cookie del carrello degli acquisti possono anche rimanere attivi per più giorni. I cookie dei social network, legati ai social button, in linea di massima possono essere classificati tra i cookie richiesti dagli utenti, ma solo se l'utente naviga essendo già loggato nel social.
COOKIE DI PROFILAZIONE
Per i cookie di profilazione e marketing, invece, quindi volti a creare profili relativi all'utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete, in ragione della loro particolare invasività la normativa prevede il consenso dell'utente, in assenza del quale non possono essere installati sui terminali degli utenti.
L'obbligo di ottenere il consenso ovviamente è strettamente collegato all'obbligo dell'informativa, che deve essere preventiva, chiara, specifica, e completa, per cui dovrà indicare la finalità dei cookie utilizzati e se gli stessi siano finalizzati a creare profili degli utenti e a inviare loro pubblicità mirate ovvero a effettuare misure di traffico per la valutazione delle prestazioni del sito.
L'utilizzo di cookie di profilazione determina anche l'obbligo di notifica del trattamento al Garante per la protezione dei dati personali, ai sensi dell'art. 37, comma 1, lett. d), del Codice.
COOKIE DI TERZE PARTI
Ovviamente tali obblighi sono a carico del gestore del sito che usa i cookie, in qualità di titolare del trattamento. Nel caso in cui il sito consenta anche la trasmissione di cookie di "terze parti", l'informativa e l'acquisizione del consenso sono a carico del terzo, ma il gestore del sito deve informare l'utente che quel sito veicola cookie di terze parti, dando così la possibilità all'utente di impedire l'installazione di questi cookie.
INFORMATIVA
In conclusione, anche tenendo conto delle prassi attuali, il Garante ha stabilito che accedendo ad una pagina (home o pagina interna) di un sito web deve apparire un banner ben visibile (che assicuri una percettibile discontinuità nella fruizione dei contenuti, quindi sul tipo di quello indicato nella comunicazione) in cui deve essere indicato:
1) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
2) che il sito consente anche l'invio di cookie "terze parti";
3) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:
- uso dei cookie tecnici e analytics;
- possibilità di scegliere quali specifici cookie autorizzare;
- possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
4) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
5) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.
La richiesta di consenso deve essere indicata nel banner con l'informativa breve, e il superamento del banner deve essere conseguenza di una scelta attiva dell'utente.
Al gestore del sito è consentito utilizzare un cookie (tecnico) al fine di tenere traccia della scelta dell'utente, in modo da non riproporre l'informativa breve alle ulteriori visite dello stesso utente. L'utente deve però avere la possibilità di modificare in qualsiasi momento le sue scelte sui cookie attraverso la pagina dell'informativa estesa.
L'informativa estesa deve descrivere in maniera analitica le caratteristiche e le finalità dei cookie veicolati dal sito, e consentire all'utente di selezionare i singoli cookie. Nell'informativa estesa deve essere presente anche il link alle informative delle terze parti che veicolano cookie tramite il sito, e deve essere data la possibilità all'utente di scegliere in merito all'installazione dei cookie anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare le impostazioni sulla privacy.
Il link alla pagina con l'informativa estesa deve essere presente su tutte le pagine del sito, come ovviamente dal banner con l'informativa breve.
SANZIONI
Ovviamente sussistono specifiche sanzioni. In caso di omessa informativa o di informativa inidonea, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
------------------------
Si legga anche l'articolo: Dal 3 giugno nuovi obblighi per i cookie.