I Cookie web: la nuova legge sulla privacy e le sanzioni previste per i siti web che non si adeguano

Ci sono delle espressioni che vengono utilizzate nel linguaggio informatico, che mi colpiscono e mi piacciono perché sono delicate e mi fanno pensare a tutt’altro. Mi piace per esempio la @. Mi pare che, traducendo il simbolo in “chiocciola”, il noioso  linguaggio informatico ci invogli a un mondo di cose semplici e naturali. La stessa cosa vale per i cosiddetti cookie: i “biscottini”.

Chocolate_chip_cookies

Il pensiero va subito alla casa, alla cucina, a una signora, forse una cuoca in sovrappeso, che ride mentre impasta farina e uova insieme a zucchero e cioccolato. Un’immagine bucolica, piuttosto diversa da quella di Banderas che riempie i suoi fagottini alla marmellata! Sapore di burro e cacao, un the caldo oppure una bibita gelata? Quattro chiacchiere con gente che se la gode.

E invece no! Anche questa volta si parla solo di tecnologia. Nello specifico della nuova legge sulla privacy che sta per entrare in vigore obbligando i siti internet a richiedere il permesso degli utenti ad utilizzare i cookies relativi ai servizi offerti.

La EU Cookie Law (ovvero la legge europea sui cookies) è stata approvata anche in Italia entrando in vigore il 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il termine entro cui adeguarsi e’ stato fissato al 2 giugno 2015.

Siamo vicini alla scadenza che prevede, in sintesi, l’obbligo per i gestori di siti web di fornire agli utenti le seguenti informazioni in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie di “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a: uso dei cookie tecnici e analytics; possibilità di scegliere quali specifici cookie autorizzare; possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso a un’altra area del sito o la selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Ai fini di mantenere distinta la responsabilità dei gestori di siti web da quella delle terze parti  i gestori dovranno acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).

Ma partiamo dall’inizio. Cosa sono i cookie?

I cookie sono dei piccoli file di tipo testuale utilizzati per memorizzare preferenze, dati e informazioni relative alla navigazione e all’uso dei siti internet (autenticazioni utente, lingua, preferenze di visualizzazione delle pagine). La legge li definisce come stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al proprio terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.

Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da “terze parti”, sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando. Ciascuna di queste informazioni utili alla navigazione o a fini di analisi statistiche viene utilizzata ad ogni visita. I cookie scadono e si distruggono in funzione di come sono stati impostati dai proprietari del sito.

Posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri, al fine di giungere a una corretta regolamentazione di tali dispositivi è necessario distinguerli  sulla base delle finalità perseguite da chi li utilizza.

Si individuano cosi due macro-categorie: cookie “tecnici” e cookie “di profilazione”.

1. I Cookie tecnicisono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Riguardo al loro trattamento, per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

2. I Cookie di profilazione: sono quelli volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Per quanto riguarda l’informativa che deve essere contenuta nel sito, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi.

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il suindicato banner, deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere linkabile da ogni pagina del sito.

L’informativa estesa deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.

Deve essere raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito.

Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari.

Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

L’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics, non debbono essere notificati al Garante.

Le sanzioni per violazione della normativa sui cookie utilizzati nei siti web possono così riassumersi:

omessa informativa o informativa inidonea (è inidonea quella informativa che non presenti gli elementi di cui all’art. 13 del Codice e/o quelli indicati nel provvedimento del Garante sui cookie); la sanzione amministrativa consiste nel pagamento di una somma da 6.000,- a 36.000,- euro (art. 161 d.lgs. 196/2003);

installazione di cookie sui terminali degli utenti senza il loro preventivo consenso; la sanzione amministrativa consiste nel pagamento di una somma da 10.000,- a 120.000,- euro (art. 162, comma 2-bis, d.lgs. 196/2003);

omessa o incompleta notificazione al Garante (qualora essa sia dovuta per la presenza di cookie di profilazione persistenti, come più ampiamente spiegato nel relativo paragrafo); la sanzione amministrativa consiste nel pagamento di una somma da 20.000, a 120.000,- euro (artt. 37, comma 1, lett. d), e 163 d.lgs. 196/2003).

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014
 (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014). 

 

 

 

Lo Studio Legale Dandi fornisce assistenza legale in Tutela Diritto D'Autore. Dai un'occhiata ai nostri servizi oppure contattaci!

🎓 sono l'Avvocato dei creativi: li aiuto a lavorare liberamente sentendosi protetti dalla legge

Site Footer