A pochi giorni dalla scadenza del termine (2 giugno 2015) previsto per l’adeguamento alle nuove prescrizioni di cui al Provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014” (il “Provvedimento”) del Garante per la Protezione dei Dati Personali (il “Garante”), il Garante pubblica dei “Chiarimenti in merito all’attuazione della normativa in materia di cookie” (i “Chiarimenti”), che tentano di dissipare la questione “cookies” che, come molti clienti ultimamente ci commentano, “non ci ha fatto passare un bel periodo”. Ricordiamo brevemente che gli obblighi in materia di cookies derivano dalla normativa europea (recepita nell’art. 122 del Dlgs 196/2003, il “Codice”). Con il Provvedimento il Garante ha imposto uno stop all’installazione dei cookies per finalità di profilazione da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso.
In particolare, gli obblighi consistono nel fornire un’informativa semplificata impostata su due livelli: (i) un banner che deve comparire immediatamente nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookies e un link per accedere ad (ii) un’informativa più “estesa”, dove l’utente potrà reperire maggiori e più dettagliate informazioni sui cookies e scegliere quali autorizzare. I cookies di profilazione, che di solito permangono nel tempo, sono soggetti inoltre all’obbligo di notificazione al Garante. Detti obblighi scattano solamente in caso di uso di cookies di “profilazione”, cioè quelli utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. al fine di trasmettere al medesimo messaggi pubblicitari in linea con le preferenze manifestate (c.d. pubblicità comportamentale).
In caso di uso di cookies esclusivamente “tecnici” – cioè quelli che servono ad effettuare o facilitare la navigazione o a fornire un servizio richiesto dall’utente e non vengono utilizzati per scopi ulteriori – è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal Provvedimento e richiedere il consenso. Per i “cookies di terze parti” installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto ad inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
Tutto apparentemente semplice…..e tutto realmente complesso e soprattutto oneroso, specialmente per piccole aziende ed imprenditori, nonché semplici blogger.
Ma veniamo brevemente a descrivere i principali contenuti dei Chiarimenti:
– Cookies analitici
I cookies analitici possono essere assimilati ai cookies tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. Se i cookies analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookies (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
– Soggetti tenuti a realizzare il banner
Rispetto all’ installazione dei cookies di profilazione provenienti da domini “terze parti”, i gestori dei siti prima parte svolgono un ruolo di mero intermediario tecnico. Tuttavia, in ragione della natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookies terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookies di profilazione. Se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookies di profilazione non c’è bisogno di informativa e consenso.
L’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookies, in luogo di quella generalista offerta indistintamente a tutti.
Ciò significa in particolare che, in relazione ai plugin sociali, cioè quei bottoni like e share che utilizzano cookies, embed di video di YouTube, Twitter, mappe di Google, Google Analytics, ossia tutti gli strumenti gestiti da terze parti anche a scopo (possibile) di profilazione, il consenso va acquisito dal gestore del sito nel momento in cui utilizzino anche cookies di profilazione. Questo in ragione della “natura distribuita di tale trattamento” per cui il gestore del sito dovrà acquisire il consenso bloccando i cookies dei social plugin fino al consenso.
– Modalità di acquisizione del consenso
Soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.
– Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU
La normativa in materia di cookies riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookies sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice).
– Notificazione in caso di realizzazione di più siti web
E’ possibile effettuare una sola notificazione per tutti i diversi siti web gestiti dal medesimo titolare. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookies si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco.
