COOKIE LAW: COSA DICE LA LEGGE E COME ADEGUARSI

In data 3 giugno 2015 è entrata in vigore in Italia la cd. cookie law conformemente a quanto stabilito nel provvedimento del Garante per la protezione dei dati personali (di seguito Garante per brevità) dell’8 maggio 2014, recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.
L’ iniziativa del nostro Garante non è altro che un atto dovuto di adeguamento della normativa italiana a quanto disposto in sede europea: la cookie law, infatti, è un provvedimento nato a livello comunitario (direttiva 2009/136/CE) con l’intento di arginare la diffusione dei cosiddetti cookie di profilazione e di marketing e dei connessi rischi per la privacy degli utenti di Internet.
Prima di addentrarci nell’analisi della normativa è bene precisare che cosa siano i cookie.
COSA SONO I COOKIE
Un cookie è un piccolo file di testo che viene creato all’interno del computer di chi visualizza un sito web allo scopo di registrarvi alcune informazioni relative alla visita nonché di creare un sistema per riconoscere l’utente anche in momenti successivi; In pratica possiamo dire che i cookie sono una sorta di “memoria” attraverso la quale un sito web riesce a riconoscere uno specifico utente e ad associargli delle informazioni di varia natura e per differenti finalità.
E’ bene precisare che un sito web può impostare un cookie sul browser dell’utente solo ed esclusivamente se le preferenze configurate per quest’ultimo lo consentono e che il browser può consentire a un determinato sito web di accedere solo ed esclusivamente ai cookie da esso impostati e non a quelli impostati da altri siti web in quanto, come detto, il cookie è un sistema di collegamento tra uno specifico sito web ed uno specifico utente.
Analizziamo ora in che direzione si è mosso il Garante
INDIVIDUAZIONE DI DUE MACRO-CATEGORIE DI COOKIE: TECNICI E DI PROFILAZIONE
Il Garante ha provveduto anzitutto a differenziare i cookie in due categorie principali, giacchè, vedremo essere differente il trattamento normativo.
1) COOKIE TECNICI: sono così denominati in quanto utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare
tale servizio“.  In buona sostanza si tratta di cookie normalmente trasmessi in prima persona dal gestore del sito per finalità strettamente connesse al buon e corretto funzionamento del sito stesso. Questa famiglia di cookie comprende:
• Cookie di navigazione (o di sessione).
Questi cookie sono necessari per garantire la normale fruizione del sito web e dei suoi servizi permettendo, ad esempio, di autenticarsi ad aree riservate o di effettuare un acquisto.
• Cookie funzionali
Questi cookie, pur non essendo essenziali, migliorano la funzionalità del sito in quanto consentono all’utente di esprimere delle preferenze persistenti circa alcuni aspetti della navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all’interno di un e-commerce).
• Cookie di Analytics (o statistici)
Sono considerati “cookie tecnici” laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito.
PER L’INSTALLAZIONE DEI COOKIE TECNICI NON È RICHIESTO IL PREVENTIVO CONSENSO DEGLI UTENTI. PER TALI COOKIE È OBBLIGATORIO CHE VENGA DATA AGLI UTENTI L’INFORMATIVA AI SENSI DELL’ART. 13 DEL CODICE.
2) COOKIE DI PROFILAZIONE: riprendendo la definizione data dal garante della Privacy i cookie di profilazione “sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.
PER I COOKIE DI PROFILAZIONE LA NORMATIVA PREVEDE CHE L’UTENTE DEBBA ESSERE ADEGUATAMENTE INFORMATO SULL’USO DEGLI STESSI ED ESPRIMERE COSÌ IL PROPRIO VALIDO CONSENSO.
Prima di esaminare in che modo l’utente deve essere informato e quali sono le modalità per prestare il consenso è opportuno soffermarsi su un’ ulteriore differenziazione dei cookie.
DISTINZIONE DEI COOKIE IN RELAZIONE AL SOGGETTO ATTIVO : COOKIE PROPRIETARI E DI TERZE PARTI
Per soggetto attivo si intende  colui il quale procede alla materiale trasmissione del cookie sul computer dell’utente. In questo senso si distingue tra:
• cookie di “prime parti” o “proprietari” i quali sono, in poche parole, quelli trasmessi direttamene dal titolare e/o gestore del sito web visitato (che il garante chiama anche Editore);
•  cookie di “terze parti” che sono, invece, quelli trasmessi da società terze presenti all’interno del sito visitato mediante appositi codici, i quali sono stati inclusi al fine di integrare nel sito funzionalità ulteriori.
I cookie di terze parti sono quelli che suscitano le maggiori preoccupazioni in quanto, oltre ad essere incredibilmente diffusi, sono totalmente estranei alla gestione ed al controllo del titolare del sito che, spesso e volentieri, ne ignora le finalità se non addirittura l’esistenza.
Per fare un esempio, si pensi che ormai quasi tutti i siti utilizzano un sistema di statistiche come quello di Google Analytics o un plugin sociale come quello di Facebook (si pensi al classico pulsante “Mi piace”). In tal modo il sito trasmette, spesso senza nemmeno saperlo, dei cookie di terze parti ai propri utenti fungendo da tramite mediante le proprie pagine web.
IL GARANTE NON IMPONE AL TITOLARE E/O GESTORE DEL SITO WEB DI RIPORTARE CIASCUNA INFORMATIVA DEI TERZI TITOLARI DEI COOKIES, MA IMPONE DI SPECIFICARE ALL’UTENTE QUALI COOKIE DI TERZE PARTI SONO PRESENTI NEL PROPRIO SITO E DI INCLUDERE NELL’INFORMATIVA ESTESA UN LINK ALLE DIVERSE INFORMATIVE E ALLE MODALITÀ DI GESTIONE DEI COOKIE DI TERZE PARTI. E’ INOLTRE NECESSARIO CHE L’UTENTE FORNISCA IL CONSENSO ALL’INSTALLAZIONE DEI COOKIE NELL’AMBITO DEL PROPRIO SITO ANCHE PER QUELLI INSTALLATI DALLE “TERZE PARTI”.
L’INFORMATIVA E L’ACQUISIZIONE DEL CONSENSO ONLINE 
Particolarmente importante, nel contesto della normativa sui cookie, è il concetto di “informativa”: abbiamo detto, infatti, che prima di poter prestare validamente il proprio consenso, l’utente deve essere adeguatamente informato circa l’utilizzo che il sito fa dei cookie. Ciò, sempre secondo le disposizioni del garante, deve avvenire in due fasi distinte, mediante una informativa breve e mediante una informativa estesa
INFORMATIVA BREVE
Il garante ha stabilito che nel momento in cui un utente accede al sito web (non è importante che ciò accada in home-page o in una pagina interna), gli venga subito mostrato un breve avviso (informativa breve) circa il fatto che il sito utilizza cookie.  Tale avviso può essere mostrato utilizzando un “banner di idonee dimensioni” in modo tale da rendere una “percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando” e il cui superamento deve essere possibile solo mediante un intervento attivo dell’utente.
IL BANNER DEVE CONTENERE OBBLIGATORIAMENTE:
– che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
– che il sito consente anche l’invio di cookie “terze parti” (ovvero di soggetti esterni rispetto al gestore del sito / editore);
– il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
– l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
– l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie
Tale banner può essere nascosto all’utente solo dopo che questi abbia espressamente manifestato il proprio consenso all’utilizzo dei cookie (ad esempio è possibile integrare, all’interno del banner stesso, un bottone di conferma che, una volta premuto, comporta la scomparsa dell’informativa breve).
E’ consentito registrare tale consenso all’interno di un cookie tecnico in modo tale da non mostrare nuovamente l’informativa agli utenti che hanno già espresso la loro intenzione di acconsentire all’utilizzo dei cookie.
INFORMATIVA ESTESA
Il Garante della Privacy stabilisce anzitutto che tale informativa deve contenere tutti gli elementi previsti dall’art. 13 del Codice. Quindi:
• le finalità e le modalità del trattamento cui sono destinati i dati;
• la natura obbligatoria o facoltativa del conferimento dei dati;
• le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
• i diritti dell’interessato;
• gli estremi identificativi del titolare del trattamento.
Oltre a queste informazioni, l’informativa estesa deve provvedere a fornire all’utente una descrizione dettagliata ed analitica delle caratteristiche e delle finalità dei cookie trasmessi dal sito.
Qualora il sito trasmetta cookie di “terze parti” è necessario altresì che l’editore provveda ad integrare l’informativa aggiungendo i link alle informative delle società terze che materialmente trasmettono il cookie.
Sempre all’interno dell’informativa estesa deve essere indicata la possibilità per l’utente di esprimere le proprie preferenze in merito ai cookie ed alla loro disattivazione: ciò può essere fatto anche mediante la semplice indicazione delle procedure necessarie al blocco totale e/o selettivo dei cookie mediante le impostazioni del browser di navigazione. In tal senso può ritenersi sufficiente anche l’inserimento dei link alle relative pagine d’istruzioni fornite dai produttori dei software.
L’informativa estesa deve essere raggiungibile facilmente da parte degli utenti sia mediante un link all’interno dell’informativa breve; sia mediante un link presente in calce ad ogni pagina del sito web.
NOTIFICAZIONE AL GARANTE CIRCA L’UTILIZZO DI COOKIE DI PROFILAZIONE
Un ulteriore adempimento previsto dalla normativa riguarda i soggetti che utilizzano cookie di profilazione. Tali soggetti, infatti, sono chiamati ad effettuare una notifica al Garante come disposto dall’art. 37 del Codice. E’ bene precisare che sono esentati da tale adempimento tutti i siti
che non facciano uso in maniera diretta di cookie per la profilazione dell’utenza: sono esclusi dall’obbligo di notifica, quindi, i siti che trasmettono cookie di profilazione di “terze parti” o che utilizzano direttamente cookie tecnici per i quali, ricordiamo nuovamente, non è richiesto alcun adempimento.
CONSEGUENZE DEL MANCATO ADEGUAMENTO AGLI OBBLIGHI PREVISTI DALLA COOKIE LAW
Il mancato e/o non corretto adeguamento alle disposizioni sancite dalla nuova normativa sui cookie può avere delle conseguenze davvero pesantissime. Il provvedimento dell’8 maggio 2014, infatti, prevede sanzioni amministrative salatissime da un minimo di 6.000 fino ad un massimo di 36.000 Euro per omessa informativa o informativa inidonea.
Ancora peggiori le conseguenze dell’installazione di cookie di profilazione senza il consenso dell’interessato: in questo caso, infatti, la sanzione va da un minimo di 10.000 ad un massimo di 120.000 Euro. La mancata notificazione al Garante, infine, prevede una sanzione da 20.000 a 120.000 Euro.
Condividi...
Share on Facebook0Tweet about this on TwitterShare on Google+0Pin on Pinterest0Share on LinkedIn0Email this to someonePrint this page
Recommended Posts