avv. Elio Franco

giugno 1, 2015 at 12:14 pm

Cookie Law: analisi degli aspetti normativi e tecnici

Cookie Law: analisi degli aspetti normativi e tecnici

Il 3 giugno 2015 entrerà in vigore in Italia la c.d. Cookie Law, normativa che recepisce nel nostro ordinamento quanto disposto dalla direttiva n. 2002/58/CE (c.d. direttiva sull’e-Privacy) così come modificata dalla direttiva 2009/136/CE. Nell’ottica della collaborazione fra le Autorità nazionali preposte per la tutela della privacy, la Cookie Law trova applicazione in Italia grazie al provvedimento n. 229 dell’8 maggio 2014 del Garante Per la Protezione dei Dati personali. Quanto previsto dalle due direttive scuote, e non poco, il mondo del web così come lo conosciamo: infatti, i cookie (che esistono pressoché dagli albori del web moderno), sono fondamentali per usufruire di molti servizi su internet ed, infatti, tutti i principali browser per la navigazione su internet prevedono da anni diverse opzioni e funzioni per la loro gestione, sino ad arrivare alla possibilità di bloccarli all’origine o di selezionare solo i siti da cui accettarli.

Ad ogni modo, la normativa prevede una distinzione tecnica fra le varie tipologie di cookie. Del resto, è facile intendere anche per chi è meno avvezzo alle logiche informatiche e telematiche che la portata di un cookie che memorizza sul computer dell’utente la propria combinazione di colori preferita per la visualizzazione di una pagina web è ben diversa da quella del cookie che traccia l’attività sul web per fornire annunci pubblicitari contestualizzati alle ricerche compiute ed ai siti visitati.

Proprio per questo, è necessario puntualizzare sia sul piano tecnico che su quello normativo alcuni aspetti che possano indicare al meglio la strada da seguire per chiunque abbia (o gestisca conto terzi) un proprio sito web, atteso che, per quanto siano previste alcune rare eccezioni, quasi tutti i siti internet usano plugin (come i servizi di condivisione sui social network) o servizi (Google Analytics, Adsense, Tradedoubler per citarne solo alcuni) forniti da terze parti che, a loro volta, usano i cookie.

Cos’è un Cookie?

Un cookie (dall’inglese, letteralmente, “biscotto”) è un piccolo e leggero file testuale che viene generato dai servizi web al fine di memorizzare le preferenze, le attività ed i gusti degli utenti. Il cookie creato da un servizio potrà essere letto e modificato dallo stesso al fine di caratterizzare al meglio la propria utenza e, soprattutto, di riconoscere l’utente al suo ritorno sul sito. Dunque, nel cookie possono essere memorizzate diverse informazioni per disparate finalità, ma solo se l’utente ha abilitato l’installazione dei cookie dalle preferenze del proprio browser.

V’è da precisare che i cookie non sono e non possono essere pericolosi nel senso comune del termine: infatti, non possono veicolare in alcun modo virus o malware di altro genere. Possono, invece, essere utilizzati per tracciare il comportamento degli utenti sui siti web che adottano alcuni servizi web e, pertanto, chi ha a cuore la propria privacy può trovarli di una certa invadenza. Ad ogni modo, il Garante stesso si è premurato di distinguere due diversi genua di cookie, in modo da diversificarne “l’invadenza”:

  • Cookie tecnici
    Sono i cookie utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione richiesto dall’abbonato o dall’utente a erogare tale servizio” (art. 122 c. 1 del Codice sulla Privacy). Di fatto, sono cookie che possono essere utilizzati direttamente dal gestore o dal titolare del sito web per finalità connesse alla navigazione al buon funzionamento dello stesso. Possono essere ulteriormente divisi in:
    1. Cookie di navigazione: sono i cookie necessari per l’erogazione dei servizi web e, ad esempio, permettono all’utente di autenticarsi alle aree riservate del sito;
    2. Cookie funzionali: permettono all’utente di memorizzare alcune informazioni all’interno del sito internet, come, ad esempio, la combinazione di colori preferita o i prodotti nel carrello virtuale prima del pagamento;
    3. Cookie analytics: sono assimilati ai cookie tecnici laddove il gestore o il proprietario del sito li usino direttamente (cioè senza ricorrere a servizi di monitoraggio terzi) per la raccolta delle informazioni, in forma aggregata, sul numero degli utenti e su come questi visitino il sito.
  • Cookie di profilazione
    Sono i cookie che godono di una speciale attenzione da parte del legislatore: secondo il regolamento del Garante “sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete“. Di fatto, sono i cookie più invasivi della sfera della privacy personale e possono essere utilizzati da chi fornisce il servizio al fine di mostrare annunci pubblicitari personalizzati (come i circuiti di advertising alla stregua di Google Adsense e simili). Questi non possono essere installati nel computer (o, più genericamente, in qualsiasi dispositivo, ancorché mobile) dell’utente senza che questi abbia fornito il proprio consenso, anche solo in seguito alla lettura dell’informativa breve.

A questa distinzione prettamente tecnica, il Garante si preoccupa di affiancare un terzo genus che racchiude i c.d. Cookie di terze parti, diversificando, quindi il soggetto che provvede all’installazione del file nel dispositivo dell’utente. La distinzione è operata al fine di ripartire nella maniera più adeguata le responsabilità fra il gestore del sito e i servizi terzi che, integrati nello stesso, possono installare cookie su cui, di fatto, il titolare del sito non può avere controllo in alcun modo, se non per il blocco totale del servizio stesso. Come sottolinea lo stesso Garante nel provvedimento 229/14, sarebbe tecnicamente impossibile porre in capo al titolare del sito gli stessi obblighi che gravano su chi fornisce il servizio, sia perché sarebbe impossibile effettuare il monitoraggio dei cookie di terze parti, sia perché, sovente, il gestore del sito non può avere le capacità giuridiche, tecniche e finanziarie per adeguare il servizio terzo alla normativa. Pertanto, l’editore (ossia il gestore del sito) non è tenuto a pubblicare anche le informative relative ai servizi terzi utilizzati, ma, invece, deve indicare quali essi siano linkando nell’informativa estesa le relative pagine sulla policy sui cookie, in modo da dare la scelta all’utente di visitare il sito del fornitore terzo e disabilitarne la ricezione dei cookie.

L’editore, a giusta ragione, è considerato parte debole del rapporto con la terza parte, che, spesso, è una vera e propria multinazionale. Dunque, è opportuno ricordarsi che qualsiasi servizio di terze parti che si utilizza per la costruzione del proprio sito deve essere indicato nell’informativa estesa: fra questi, è opportuno citare i pulsanti di condivisione sui social network, i box di Google+, Facebook e Twitter che mostrano gli status o le interazioni con gli utenti, i servizi per la gestione delle statistiche (Google Analytics, JetPack per WordPress, etc…) e i circuiti pubblicitari (Google Adsense, Tradedoubler, etc…).

 

L’informativa con modalità semplificate, l’informativa estesa e l’acquisizione del consenso

È ora opportuno analizzare gli obblighi posti in capo all’editore (gestore o titolare) del sito internet. Secondo quanto disposto dalla normativa italiana, l’utente deve essere preventivamente ed adeguatamente informato circa l’utilizzo che il sito o il servizio web fa dei cookie in modo che egli possa dare un esplicito consenso alla loro installazione. Mentre, infatti, sino al 2 giugno 2015 è possibile raccogliere il consenso dell’utente in maniera implicita, mostrandogli solo un informativa breve e avvertendolo che, in caso di navigazione sul sito, egli accetta l’installazione dei cookie sul proprio dispositivo, a partire dal prossimo 3 giugno è necessario bloccare totalmente l’installazione dei cookie sino a che l’utente non presta il proprio consenso al loro uso.

L’informativa con modalità semplificate

All’atto del primo accesso al sito web, all’utente deve essere mostrata una informativa con modalità semplificate o breve, contenuta in un banner a comparsa immediata, che, ovviamente, dovrà comparire sia se egli acceda per il tramite della homepage che per il tramite di una qualsiasi altra pagina. La normativa prevede che questo sia di “idonee dimensioni“, ossia sia un percettibile segno di discontinuità rispetto a come si presenta la pagina web. Non importa dove il banner sia collocato, ma si raccomanda di mostrarlo nell’header, nel footer o flottante nel corpo del sito. Il banner dovrà contenere obbligatoriamente alcune informazioni:

  1. l’utilizzo da parte del sito dei cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. deve contenere un esplicito avvertimento se il sito consente l’invio di cookie di terze parti;
  3. il link alla pagina dove è possibile visualizzare l’informativa estesa;
  4. l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  5. l’indicazione che la prosecuzione della navigazione sul sito (ad esempio, con accesso ad altra area o pagina o con la selezione di un contenuto dello stesso) comporta il consenso all’installazione dei cookie.

L’editore può a sua discrezione installare un cookie tecnico sul dispositivo dell’utente al fine di memorizzare l’acquisizione del consenso, metodo ritenuto dallo stesso Garante non particolarmente invasivo, senza che ci sia bisogno di darne ulteriormente informazione.

L’informativa estesa
È il perno di tutta la normativa. Se, infatti, dal lato tecnico l’unica difficoltà è quella di trovare un sistema per il blocco totale dei cookie (e, di riflesso, dei servizi che ne fanno uso), per l’informativa estesa si può incorrere in diverse criticità. Innanzitutto, essa deve contenere tutti gli elementi previsti dall’art. 13 del Codice in materia di protezione dei dati personali, che qui si riporta a scopo esemplificativo:

1. L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;

e) i diritti di cui all’articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.

2. L’informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l’espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

3. Il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;

c) l’informativa all’interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.

5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f). (1)

L’art. 13, comma 1 sub e) fa esplicito riferimento all’art. 7 del medesimo codice, che qui si riporta a mero fine esemplificativo:

Art. 7. Diritto di accesso ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L’interessato ha diritto di ottenere l’indicazione:

a) dell’origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’interessato ha diritto di opporsi, in tutto o in parte:

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Vien da sé che l’informativa sull’utilizzo dei cookie dovrà essere strutturata in modo non dissimile da quella relativa alla raccolta e al trattamento dei dati personali. Inoltre, è obbligatorio inserire i link alle informative sui cookie dei servizi terzi integrati nel proprio sito internet, al fine di consentire all’utente di scegliere se ricevere i cookie da un terzo piuttosto che da un altro.

Qualora il fornire del servizio non offra una adeguata informativa o ne ometta la pubblicazione, è opportuno linkare la home page del sito del servizio terzo, indicando l’impossibilità del reperimento della policy. Inoltre, a margine dell’informativa sui cookie è obbligatorio avvertire l’utente della facoltà di esercitare i propri diritti direttamente dalle impostazioni del proprio browser e, qualora se ne sia in grado, inserire un link per l’apertura automatica delle medesime.

 

Notificazione del trattamento

Infine, qualora i cookie si occupino della raccolta di dati indicata nell’art. 37, comma 1 sub d) (“Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda [..] dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;“) è fatto obbligo all’editore di comunicare le operazioni di trattamento al Garante, a meno che il trattamento non riguardi finalità strettamente legate alla fornitura del servizio o se sono utilizzati unicamente come marcatori di sessione per agevolare l’accesso ai contenuti di un sito internet. Dunque, deve essere notificato al Garante solo l’uso dei cookie di profilazione (non forniti da servizi di terze parti).

 

Il blocco totale dei cookie

Fino a che l’utente non fornisca il consenso all’installazione dei cookie, questi devono essere totalmente bloccati. Come si è già detto, il consenso può essere dato cliccando sul pulsante “Accetto” o “OK” inserito nell’informativa breve o per fatti concludenti, selezionando, ad esempio, un link o una immagine all’interno del sito. Non può essere assolutamente temporizzato (come, purtroppo, si vede in alcuni siti internet).

 

Le criticità

Vien da sé che tutti i siti che usano, ad esempio, Google Adsense, Google Analytics, Disqus, o che includano contenuti da YouTube, Facebook, Vimeo, Twitter ed altri devono adeguarsi alla normativa poiché sfruttano i c.d. cookie di terze parti. Atteso che la normativa si fonda sul blocco preventivo e la stesura della policy, è opportuno rivolgersi a dei professionisti che possano intervenire su entrambi gli aspetti. Le soluzioni fai da te o i servizi automatici non possono essere d’aiuto in molti casi e, calcolando che sanzioni previste dalla Cookie Law sono a dir poco salate per chi ha un proprio sito internet aziendale o personale (il range è compreso tra un minimo di € 6.000,00 ed un massimo di € 120.000,00), è bene investire in un servizio preciso e puntuale.

Il consiglio è quello di non sottovalutare la portata degli effetti all’entrata in vigore della Cookie Law: un buon avvocato ed un esperto webmaster possono proteggervi da segnalazioni al Garante che potrebbero costar care.

0 likes Diritto # ,
Share: / / /
Chi sono

Sono un avvocato esperto in diritto dell'informatica, codice dell'amministrazione digitale, diritto doganale e tecnica del commercio internazionale.

Mi piace viaggiare e sono un cultore della tecnologia e dell'informatica.

Il mio studio legale è a Taranto in via De Cesare n. 37. Se desiderate contattarmi, potete farlo da questa pagina.

Categorie
Hai bisogno di una consulenza su questo tema?
Se hai bisogno di una consulenza su questo tema, non esitare a contattarmi dalla pagina Contatti.