L'Unione Europea ha approntato una riforma che sta facendo molto discutere, specialmente gli americani che l'hanno ribattezzata impropriamente "no cookie law". Si tratta di una modifica alla direttiva privacy del 2002 che introduce novità in tema di riservatezza dei dati personali degli utenti, pensate appunto per garantire una maggiore tutela della privacy nella rete internet.

Con la direttiva 2002/58 CE il legislatore europeo ha posto le basi per la regolamentazione dei dati personali nelle comunicazioni elettroniche, laddove nel considerando 24, riferendosi ai marcatori (cioè i cookie), afferma che il loro uso dovrebbe essere consentito unicamente per scopi legittimi e che l'utente interessato dovrebbe esserne a conoscenza.

Leggere anche: Il Garante privacy individua le modalità semplificate per l'uso dei cookie.
-------------------------

Abbiamo già dato conto della normativa in materia di marcatori, comunemente detti cookie, e delle riforme in corso, chiarendo che già in passato esisteva una apposita normativa, derivante dalle direttive europee (95/46/CE e 2002/58/CE), che regolava la materia prescrivendo l'obbligo di informare gli utenti dell'uso di cookie in un sito web.
Detta normativa è stata modificata dalla direttiva 2009/136/CE (E-Privacy), finalmente recepita dall'Italia a fine maggio 2012, e verrà ulteriormente modificata da un regolamento (che quindi non necessita di recepimento) che la Commissione europea sta preparando, e che dovrebbe vedere la luce entro l'anno prossimo.

Provvedimento del Garante privacy: individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie

Domande più frequenti: Informativa e consenso per l'uso dei cookie

Già da due anni l'Unione Europea si sta preoccupando di predisporre una riforma della normativa in materia di protezione dei dati personali che sia adeguata alle nuove realtà tecnologiche, in particolare per l'avvento e la pervasività dei social network online.

Nella seduta del 22 novembre 2012 il Garante per la protezione dei dati personali ha indetto una consultazione pubblica volta ad individuare le modalità semplificate per l'informativa di cui all'art. 13, comma 3, del Codice in materia di protezione dei dati personali. Si tratta delle modalità per l'uso dei cookie.
La consultazione, rivolta alle "associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte" ma che dovrebbe tenere conto anche delle opinioni espresse da soggetti qualificati quali le università, durerà 90 giorni a partire dalla data della pubblicazione in Gazzetta Ufficiale, cioè il 19 dicembre 2012.

Come avevamo già precisato, nel 2009 l'Unione europea con la direttiva E-Privacy (2009/136/CE) ha modificato la disciplina dei cookie. I destinatari della regolamentazione sono le imprese e i fornitori di comunicazione elettronica con sede o rappresentanza o con infrastrutture principali allocate nel territorio dell'Unione.

Dal 3 giugno 2015 tutti i siti web italiani dovranno adeguarsi alle previsioni in materia di cookie di cui al provvedimento 229/2014 del Garante per la tutela del dati personali.

Qualsiasi mossa di Google, la più grande società di pubblicità online, fa notizia e determina profondi cambiamenti nel web. L'ultima in materia di privacy è il progressivo abbandono dei cookie a favore di un sistema di identificatori anonimi che verranno condivisi con gli inserzionisti purché rispettino le sue regole.

Il problema dei cookie è importante, anche se non molti si rendono conto esattamente quanto. La legislazione europea regolamenta i cookie con la direttiva comunitaria 2009/136/CE (E-privacy), recepita in Italia con la nuova formulazione dell'art. 122 D.lgs 196/2003. È però destinata ad essere ulteriormente modificata a mezzo di un Regolamento (quindi immediatamente applicabile nei paesi membri) che si occuperà di riformare l'intera legislazione sulla privacy.

Anche se la nuova regolamentazione dei cookie è stata fraintesa da molti operatori del web, e tacciata di essere contro l'innovazione, in realtà essa non prevede affatto l'obbligo di ottenere un preventivo consenso per tutti i cookie prodotti da un sito web e archiviati sul terminale dell'utente, ma solo per una piccola parte di essi. I cookie esentati dal consenso preventivo sono quelli utilizzati per veicolare delle informazioni e quelli strettamente necessari per il servizio esplicitamente richiesto dall'utente.
Quindi, i cookie che necessitano di un consenso preventivo sono quelli utilizzati per raccogliere informazioni a scopi pubblicitari e per tracciare un profilo dell'utente in modo da predisporre informazioni pubblicitarie personalizzate, e principalmente i cookie di terze parti, cioè quelli che provengono da un dominio terzo rispetto al sito che li invia al terminale dell'utente. Il problema è palese, se io visito un certo giornale generalmente non ho consapevolezza che quel giornale mi invia anche i cookie degli inserzionisti o delle aziende (Google, Facebook, Apple) che effettuano la profilazione degli utenti proprio per poi vendere i dati agli inserzionisti.

Con il provvedimento generale dell'8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, al quale ha fatto seguito il comunicato del 4 giugno, il Garante per la protezione dei dati personali ha individuato le modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie.

Siamo nell'ambito dell'attuazione delle direttive europee, in particolare della direttiva 2002/58/CE (E-Privacy) in tema di riservatezza dei dati personali degli utenti. Come già detto, tale direttiva al considerando 24 e 25 prevede l'obbligo dell'informativa in caso di uso di marcatori (i marcatori sono appunto i cookie) anche se destinati a scopi come "facilitare la fornitura di servizi della società dell'informazione". Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale.

Con la direttiva 2009/136 CE si ha una ulteriore modifica alla disciplina dei cookie, ed infine nel corso del 2012 la Commissione europea presenta una proposta di Regolamento sulla privacy, destinato a sostituire la direttiva 95/46/CE ancora in vigore, con efficacia immediata per tutti gli Stati membri. Il Regolamento in questione, ancora in corso di discussione, disciplina dettagliatamente l'utilizzo dei cookie, prevedendo un consenso esplicito con modalità tali da consentire una manifestazione di volontà libera, specifica e informata. Il consenso tacito o passivo non è ammesso.
Quello che la riforma pretende è che cessi la pratica del trattamento occulto dei dati degli utenti, cioè si richiede che l'utente sia preventivamente e compiutamente informato di cosa il sito web deposita sul suo computer al momento della visita, e quali dati raccoglie. Ciò che è illecito, quindi, è che un sito web rilasci un cookie senza informare correttamente l'utente, perché il consenso deve essere preliminare al trattamento.

I primi effetti dall'applicazione del GDPR, il regolamento europeo in materia di protezione dei dati personali, si fanno sentire, con giornali americani che faticano a mettersi in regola e servizi americani che sono costretti a chiudere.

Il Consiglio di Stato francese emana un provvedimento che sancisce l'obbligo di consenso per i cookie pubblicitari anche se sono indispensabili per la redditività del sito, e che le impostazioni del browser non sono un valido strumento di opposizione ai cookie. 

Con la sentenza nella causa C-673/17 (qui il comunicato stampa) la Corte di Giustizia dell’Unione europea interviene sulle problematiche relative all'implementazione dei cookie nei siti web.