Con provvedimento dell’8 maggio 2014 intitolato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, emesso ai sensi del combinato disposto degli artt. 13, comma 3, 122, comma 1 e 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196) il GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ha dettato le regole per l’utilizzo dei cookies che sarà necessario adottare a decorrere dal 3 giugno 2015 (un anno dalla pubblicazione in Gazzetta Ufficiale).
Che cosa sono i cookies e come li considera il Garante?
I cookies sono stringhe di testo di piccole dimensioni che i siti web visitati dall’utente inviano al suo dispositivo. Si installano nella memoria per essere poi reinviati agli stessi siti alla successiva visita del medesimo utente, in modo da “riconoscerlo” e poter offrire esperienze di navigazione più veloci o anche mirate, a seconda del tipo di cookie installato.
I cookies possono essere inviati anche da siti di terze parti, attraverso la navigazione dell’utente su siti che li ospitano.
Dal momento che non vi sono caratteristiche tecniche che li differenziano gli uni dagli altri e che peraltro le finalità perseguite da chi li invia può essere diversa caso per caso, l’attuale normativa pone l’obbligo di acquisire il consenso preventivo ed informato degli utenti all’installazione di cookies utilizzati per finalità diverse da quelle meramente tecniche (art. 122 del Codice).
Al riguardo, il Garante ha pertanto individuato due macro-categorie: i cookies “tecnici” ed i cookies “di profilazione”.
I cookies tecnici
I cookies tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“, come disciplinato dall’art. 122, comma 1, del Codice.
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal gestore del sito web. Possono a loro volta essere suddivisi in:
cookies di navigazione o di sessione, garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, la realizzazione di un acquisto o l’autenticazione per l’accesso ad aree riservate);
cookies analytics, assimilati ai cookies tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
cookies di funzionalità, permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto nei siti e-commerce) al fine di migliorare il servizio reso allo stesso.
Come detto, per l’installazione di tali cookies non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo dell’informativa generale che il sito deve peraltro già fornire nelle forme ordinarie ai sensi dell’art. 13 del Codice.
I cookies di profilazione
I cookies di profilazione sono invece volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare comunicazioni, spesso pubblicitarie, in linea con le preferenze manifestate dallo stesso durante la navigazione.
Considerata la possibile invasività per la sfera privata degli utenti, l’attuale normativa prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido e preventivo consenso.
A tal proposito l’art. 122, comma 1 del Codice stabilisce infatti che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3“.
I soggetti coinvolti: editori e terze parti
Il Garante precisa di dover distinguere i diversi soggetti che installano i cookies sul dispositivo dell’utente, in particolare a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (“editore”) o di gestori di siti diversi che installano i propri cookies grazie alla navigazione dell’utente su siti “ospiti” (“terze parti”).
Per tutta una serie di ragioni ricollegate anche all’impossibilità per l’editore del sito web ospite di controllare i cookies delle terze parti, il Garante ritiene di non poter obbligare lo stesso editore a pubblicare l’informativa sui cookies anche per quelli di terzi parti, che, seppure resa, sarebbe in ogni caso manchevole di chiarezza o addirittura potrebbe essere troppo complicata, così vanificando l’esigenza di semplificazione che lo stesso art. 122 del Codice pone come principio generale.
Venendo agli editori, in relazione all’acquisizione del consenso per i cookies di profilazione il Garante ritiene che tali soggetti debbano a loro volta essere ulteriormente distinti in base alla duplice veste dagli stessi indossata.
Tali soggetti, infatti:
da un lato sono titolari del trattamento dei dati personali quanto ai cookies installati direttamente dal proprio sito;
dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookies che le stesse installano per il loro tramite, è corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti.
Ed è proprio in tale seconda veste veste che gli editori sono chiamati ad operare con riferimento al rilascio dell’informativa ed all’acquisizione del consenso degli utenti online anche con riferimento ai cookies delle terze parti.
L’informativa con modalità semplificata e l’acquisizione del consenso online
Ai fini della semplificazione dell’informativa, il Garante ritiene che una soluzione efficace, che faccia salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi:
informativa breve: il sito deve presentare all’utente, nella landing page, un’informativa breve, possibilmente contenuta in un banner a comparsa immediata; la richiesta di consenso all’uso dei cookies deve essere inserita proprio in tale banner, affinché l’informativa sia effettiva;
informativa estesa: dal banner contenente l’informativa breve l’utente deve poter accedere facilmente, attraverso un link cliccabile, all’informativa più approfondita; gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookies installati tramite il sito visitato, devono poter esprimere tali scelte più specifiche.
L’informativa breve e la richiesta di consenso: il banner a comparsa immediata
Il banner consigliato dal Garante deve comparire immediatamente in primo piano nella landing page nel momento in cui l’utente vi accede, deve avere dimensioni tali da essere sensibilmente percepito come un contenuto diverso dagli altri che il sito offre e deve contenere le seguenti indicazioni:
che il sito utilizza cookies di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
che il sito potrebbe consentire anche l’invio di cookies di “terze parti” (o che effettivamente li utilizza);
il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookies tecnici e analytics, nonché viene data la possibilità di scegliere quali specifici cookies autorizzare;
l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookies.
Affinché si abbia la certezza che l’utente abbia percepito il banner, quest’ultimo deve poter essere chiuso solo con un intervento attivo dell’utente stesso.
Ovviamente, tenuto conto anche della possibile interferenza di natura SEO sul sito web, si ricorda che il Garante si limita a consigliare il banner in questione, ma fa salve eventuali modalità diverse di acquisizione del consenso online all’uso dei cookies, a condizione però che sia rispettato il disposto dell’art. 23, comma 3, del Codice.
In ogni caso è importante che l’editore tenga traccia dell’avvenuta prestazione del consenso dell’utente, anche grazie all’utilizzo di apposito cookie tecnico. Infatti, La presenza di tale “storico” delle scelte dell’utente consentirebbe all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare successivamente il consenso e/o di modificarlo, grazie all’informativa estesa, che deve comunque essere linkabile da ogni pagina del sito.
L’informativa estesa
L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookies installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookies.
Come detto, deve essere raggiungibile sia mediante un link direttamente inserito nell’informativa breve, sia con apposita voce di menu presente in ogni pagina del sito, solitamente in calce.
All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore abbia eventualmente stretto accordi per l’installazione di cookies tramite il proprio sito o, in caso diverso, deve indicare con apposito link i siti web di terze parti di cui l’editore è intermediario tecnico.
Nel medesimo spazio dell’informativa l’utente deve poter manifestare le proprie opzioni in merito all’uso dei cookies da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore può predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.
La notificazione del trattamento
Si ricorda che l’uso dei cookies rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti“.
L’utilizzo di cookies di profilazione, avendo tali caratteristiche, deve pertanto essere oggetto di notifica al Garante.
Tale notifica non è necessaria, invece, se l’uso dei cookies è rivolto unicamente a svolgere le funzioni tipiche dei “marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet” (Garante per la protezione dei dati personali, deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).
L’utilizzo dei cookies tecnici, ai quali sono assimilabili anche i cookie analytics, non è quindi oggetto di notifica al Garante.
Sanzioni
L’omissione o l’inidoneità dell’informativa è soggetta ad una sanzione pecuniaria amministrativa da € 6.000 ad € 36.000 (art. 161 del Codice).
L’installazione di cookies in assenza del preventivo consenso dell’utente è invece punita con la sanzione pecuniaria da € 10.000 ad € 120.000 (art. 162, comma 2-bis, del Codice).
L’omessa o incompleta notificazione al Garante nei casi previsti è infine soggetta alla sanzione da € 20.000 ad € 120.000 (art. 163 del Codice).