Il Provvedimento del Garante e l’Informativa sui Cookie

Home » Legge Online » Il Provvedimento del Garante e l’Informativa sui Cookie

Pubblicato il 02 febbraio 2015 da Francesco Paternostro nella categoria Legge su Internet - Nessun commento

Da quando esiste intenet esistono i “cookies” e, bene o male, tutti ne hanno sentito parlare son altro perché talvolta – proprio durante la navigazione o l’esplorazione di un sito – ci è stato chiesto di salvarne uno nel nostro p.c. Ma che cosa sono questi cookies? Null’altro che una breve stringa di testo che – come conseguenza di una determinata azione sul web – viene memorizzata all’interno del nostro p.c. (o altro dispositivo).

cookie siti web

Provvedimento del Garante per la Privacy, informativa sui cookie

Le informazioni contenute in questa stringa di testo possono variare dalle più elementari (ora dell’accesso, sistema, caratteristiche del browser) ed avere una finalità esclusivamente tecnica quale ad esempio configurare in modo automatico un menù personalizzato per l’utente, oppure contenere dati più personali ovvero essere vero e proprio strumenti di profilazione dell’utente.

In questo secondo caso, cioè relativamente ai c.d. “cookies di profilazione” è intervenuto (a seguito anche di un lngo percorso normativo comunitario) il Garante per la privacy con il provvedimento dell’8 maggio 2014 (pubblicato nella G.U. n.126 del 3 giugno 2014).

Le premesse del Garante

Proprio guardando ai riferimenti dettati dalla produzione normativa comunitaria, il testo dell’Autorità italiana effettua una preliminare distinzione tra cookies tecnici e cookies di profilazione per segnare un netto confine rispetto alle informazioni che devono essere fornite all’utente affinché questi possa prestare il proprio consenso all’utilizzo di sistemi di profilazione, oppure che, legittimamente, possa rifiutarlo senza pregiudicare però la fruizione dei contenuti.

In questo senso, il gestore del sito web (o comunque del contenuto fruito via internet) dovrà preventivamente informare l’utente della qualità dei cookies che eventualmente vengono impiegati durante la navigazione all’interno del dominio (quindi tecnici o di profilazione o entrambi) e preoccuparsi di ricevere preventivamente il consenso (o meno) da parte dell’utente proprio alla possibile attività di profilazione.

I soggetti coinvolti, il gestore e le terze parti.

Indubbiamente la responsabilità dell’informativa (e della raccolta del consenso) grava sul gestore del sito web dove gestore tenderebbe a coincidere con la titolarità del dominio, ma non è propriamente così.

Se infatti pensiamo alla possibilità di creare siti (ma è solo uno dei possibili casi) all’interno di piattaforme gratuite (che come “contropartita” richiedono l’inserimento – ad esempio – di banner pubblicitari) ecco che la predetta coincidenza viene meno o cambia significato.

In ogni caso la genericità della definizione è compensata dalla previsione che l’informativa (e la raccolta del consenso) estenda la sua portata anche ai cookies (e quindi ai sistemi di profilazione) gestiti da “terze parti”.

Basti pensare ad un sito web che non utilizzi per i contenuti propri alcun cookie ma che si trovi a rilasciarli in quanto forniti, ad esempio, dagli script che gestiscono la rotazione di banner pubblicitari inseriti all’interno delle pagine o, ancora a titolo di esempio, un sito web che non ospiti strumenti pubblicitari ma che si avvalga di un sistema di monitoraggio degli accessi al sito (fornito da un terzo soggetto) che operi la profilazione dell’utente (es. raccolta di dati quali età, sesso, posizione, cronologia di navigazione ecc..).

In questi casi l’informativa all’utente dovrà contenere tutti i riferimenti (ad esempio link diretti) al sito del gestore del sistema di profilazione e/o consentire direttamente all’utente il c.d. opt-out, cioè la possibilità di disabilitare il sistema di raccolta dei dati: volontariamente anche in un secondo tempo o automaticamente in caso di diniego del consenso.

Tanto in ragione del fatto che il Garante ha inteso qualificare l’editore (questa è la terminologia utilizzata) quale intermediario rispetto al soggetto realmente operante la profilazione, intermediario che, da un lato non può essere immaginato come controllore dell’attività svolta (che potrebbe cambiare nel tempo) ma, dall’altro, deve essere tenuto ad informare il proprio utente.

Il sistema informativo: il banner è obbligatorio?

A seguito di una procedura di consultazione pubblica, la decisione in merito al sistema informativo attraverso il quale rendere edotto l’utente sull’impiego di cookies di profilazione e sulla conseguente possibilità di prestare il proprio consenso o meno, l’indicazione tecnica si è concretizzata nel sistema del “banner”.

All’articolo 4.1 del citato provvedimento è previsto, infatti, quale modalità per la dichiarazione del gestore (informativa breve) e la raccolta del consenso l’impiego di un banner che venga presentato in ogni caso al primo accesso da parte dell’utente: in home page quindi, o in qualsiasi altra pagina costituisca la via d’accesso al sito. Una volta raccolto il consenso (eventualmente registrato con un cookie tecnico) il banner potrà non apparire più.

Lo strumento del banner, tuttavia, non è obbligatorio. Infatti, sempre all’articolo 4.1 III° comma viene espressamente indicato come “resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l’acquisizione del consenso online all’uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall’art. 23, comma 3, del Codice.”.

Al IV° comma, invece, la possibilità di tener traccia del consenso mediante cookie: “In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

Le esclusioni ed il sistema delle sanzioni:

Rispetto alla predetta distinzione tra cookies tecnici e di profilazione – all’art.5 – il Garante ha espressamente indicato il regime delle esclusioni:

L’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti.

L’uso dei cookie è, invece, sottratto all’obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli “relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet” (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento), non debbono essere notificati al Garante.”

Cookies analitycs (non è un richiamo espresso al sistema Google Analitycs…) che sono così definiti:

cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso”.

In questo caso, secondo buon senso e considerata la fornitura di terze parti dello strumento di monitoraggio, il sito non dovrebbe utilizzare il banner per l’informativa breve e la raccolta del consenso ma dovrebbe contenere una pagina informativa attraverso la quale l’utente possa comunque disporre degli strumenti per disabilitare il tracciamento.

Quanto alle sanzioni in caso d’inosservanza degli obblighi queste variano da seimila a centoventimila euro…. un anno di tempo dalla pubblicazione per adeguarsi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Moderazione dei commenti attiva. Il tuo commento non apparirà immediatamente.