Save the Date: Il 3 giugno 2015 entra in vigore in Italia il nuovo regolamento sui Cookies

Come noto, prima dell’estate, e precisamente il 3 giugno 2014, è stato pubblicato sulla Gazzetta Ufficiale il provvedimento con il quale il Garante per il trattamento dei dati personali ha dettato regole e modalità relative alla prestazione dell’informativa ed all’acquisizione del consenso sull’uso deicookie.

Atteso ormai da tempo il provvedimento ribadisce, innanzitutto, la netta distinzione tra i cookie c.d. tecnici e quelli di profilazione, chiarendo che per i primi sarà sufficiente dare un’informativa ai visitatori del sito mentre per i secondi sarà necessario chiedere ed ottenere apposito consenso, benché attraverso la procedura, decisamente semplificata, delineata nel provvedimento.

Il  Garante  e’  consapevole dell’impatto, anche economico, che la  disciplina  sui  cookie  avra’ sull’intero settore della società dei servizi  dell’informazione  e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

In ragione di  ciò,  ritiene  pertanto  congruo  prevedere  un periodo transitorio di un anno  (e quindi al 3 giugno 2015) per  consentire  ai soggetti interessati dal provvedimento di  potersi  avvalere delle modalità semplificate ivi individuate.

Queste nel dettaglio le determinazioni contenute nel provvedimento:

Premessa.

1. Considerazioni preliminari. 

I cookie sono stringhe di testo di piccole dimensioni  che  i  siti visitati  dall’utente  inviano  al  suo  terminale  (solitamente   al browser), dove vengono memorizzati per essere  poi  ritrasmessi  agli stessi siti alla successiva visita del  medesimo  utente.  Nel  corso della  navigazione  su  un  sito,  l’utente  puo’  ricevere  sul  suo terminale anche cookie che vengono inviati da siti o  da  web  server diversi (c.d. “terze parti”),  sui  quali  possono  risiedere  alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine  di  altri  domini)  presenti  sul  sito  che  lo  stesso  sta visitando. I cookie, solitamente presenti nei browser degli utenti  in  numero molto  elevato  e  a  volte  anche  con  caratteristiche   di   ampia persistenza  temporale,  sono   usati   per   differenti   finalita’: esecuzione di autenticazioni informatiche, monitoraggio di  sessioni, memorizzazione   di   informazioni   su   specifiche   configurazioni riguardanti gli utenti che accedono al server, ecc.

Al fine  di  giungere  a  una  corretta  regolamentazione  di  tali dispositivi, e’ necessario distinguerli ‑posto che non vi sono  delle caratteristiche tecniche che li differenziano gli  uni  dagli  altri‑ proprio sulla base delle finalita’ perseguite da chi li utilizza.  In tale direzione si e’ mosso, peraltro, lo stesso legislatore, che,  in attuazione delle disposizioni contenute nella direttiva  2009/136/CE, ha  ricondotto  l’obbligo  di  acquisire  il  consenso  preventivo  e informato degli utenti all’installazione  di  cookie  utilizzati  per finalita’ diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lettera a), del d. lgs. 28 maggio 2012,  n.  69,  che  ha  modificato l’art. 122 del Codice). Al riguardo, e ai fini del presente provvedimento,  si  individuano pertanto  due  macro-categorie:  cookie  “tecnici”   e   cookie   “di profilazione”.

a. Cookie tecnici. 

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su  una  rete  di  comunicazione elettronica, o nella misura strettamente necessaria al  fornitore  di un servizio della societa’ dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art.  122, comma 1, del Codice). Essi non vengono utilizzati per scopi ulteriori e sono  normalmente installati direttamente dal titolare o gestore del sito web.  Possono essere  suddivisi  in  cookie  di  navigazione  o  di  sessione,  che garantiscono  la  normale  navigazione  e  fruizione  del  sito   web (permettendo, ad esempio, di realizzare un  acquisto  o  autenticarsi per accedere ad aree  riservate);  cookie  analytics,  assimilati  ai cookie tecnici laddove utilizzati direttamente dal gestore  del  sito per raccogliere informazioni, in forma aggregata,  sul  numero  degli utenti  e  su  come  questi  visitano  il  sito  stesso;  cookie   di funzionalita’, che permettono all’utente la navigazione  in  funzione di una serie  di  criteri  selezionati  (ad  esempio,  la  lingua,  i prodotti  selezionati  per  l’acquisto)  al  fine  di  migliorare  il servizio reso allo stesso. Per l’installazione di tali cookie non e’ richiesto  il  preventivo consenso  degli  utenti,  mentre  resta  fermo  l’obbligo   di   dare l’informativa ai sensi dell’art. 13 del Codice, che  il  gestore  del sito, qualora utilizzi soltanto tali dispositivi, potra’ fornire  con le modalita’ che ritiene piu’ idonee.

b. Cookie di profilazione.

I cookie di profilazione  sono  volti  a  creare  profili  relativi all’utente  e  vengono  utilizzati  al  fine  di   inviare   messaggi pubblicitari in linea con  le  preferenze  manifestate  dallo  stesso nell’ambito della navigazione in rete. In ragione  della  particolare invasivita’ che tali  dispositivi  possono  avere  nell’ambito  della sfera privata degli utenti, la normativa europea e  italiana  prevede che l’utente debba  essere  adeguatamente  informato  sull’uso  degli stessi ed esprimere cosi’ il proprio valido consenso. Ad essi si riferisce l’art. 122  del  Codice  laddove  prevede  che “l’archiviazione delle informazioni nell’apparecchio terminale di  un contraente o di un utente o l’accesso a informazioni gia’  archiviate sono consentiti unicamente a condizione che il contraente o  l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalita’ semplificate di cui all’art. 13, comma 3” (art. 122,  comma 1, del Codice).

2. Soggetti coinvolti: editori e “terze parti”

Un ulteriore  elemento  da  considerare,  ai  fini  della  corretta definizione della materia in esame, e’  quello  soggettivo.  Occorre, cioe’, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello  stesso  gestore del sito che l’utente sta visitando (che puo’  essere  sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Sulla base  di  quanto  emerso  dalla  consultazione  pubblica,  si ritiene necessario che tale distinzione  tra  i  due  soggetti  sopra indicati venga tenuta in debito conto anche al  fine  di  individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento  al  rilascio  dell’informativa  e  all’acquisizione  del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non  risulta  possibile porre in  capo  all’editore  l’obbligo  di  fornire  l’informativa  e acquisire il consenso all’installazione dei  cookie  nell’ambito  del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e  la capacita’ economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche  poter  verificare  di  volta  in volta la corrispondenza tra quanto dichiarato dalle terze parti e  le finalità da esse realmente perseguite con l’uso dei cookie. Ciò  e’ reso  assai  arduo  dal  fatto  che  l’editore  spesso  non   conosce direttamente tutte le terze parti che installano  cookie  tramite  il proprio sito  e,  quindi,  neppure  la  logica  sottesa  ai  relativi trattamenti.

Inoltre, non di rado tra l’editore e le terze  parti  si frappongono  soggetti  che  svolgono  il  ruolo   di   concessionari, risultando di  fatto  molto  complesso  per  l’editore  il  controllo sull’attività di tutti i soggetti coinvolti. I cookie terze parti potrebbero, poi, essere nel  tempo  modificati dai terzi fornitori e  risulterebbe  poco  funzionale  chiedere  agli editori di tenere traccia anche di queste modifiche successive. Occorre tenere conto inoltre del fatto che spesso gli editori,  che comprendono anche persone fisiche e piccole imprese,  sono  la  parte piu’ “debole” del  rapporto.

Laddove  invece  le  terze  parti  sono solitamente  grandi  società caratterizzate   da   notevole   peso economico, servono normalmente una pluralità di  editori  e  possono essere, rispetto al singolo editore, anche molto numerose. Si ritiene pertanto che, anche in ragione delle  motivazioni  sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai  cookie installati per il suo tramite dalle terze parti.

Ciò  determinerebbe peraltro  una  generale  mancanza   di   chiarezza   dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente  faticosa per l’utente la lettura del documento e quindi la comprensione  delle informazioni in esso contenute, con ciò vanificando anche  l’intento di semplificazione previsto dall’art. 122 del Codice.

Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo  necessariamente  –  per  le  ragioni suesposte – tenere distinte le  rispettive  posizioni  di  editori  e terze parti, si ritiene che gli  editori,  con  i  quali  gli  utenti instaurano un rapporto diretto tramite l’accesso  al  relativo  sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono  titolari  del  trattamento quanto  ai  cookie  installati   direttamente   dal   proprio   sito; dall’altro, non potendo ravvisarsi una contitolarità  con  le  terze parti per i cookie che le stesse installano per il loro  tramite,  si ritiene corretto considerarli come una sorta di intermediari  tecnici tra le stesse e gli utenti. Ed e’, quindi, in tale veste che, come si vedrà  più  avanti,  sono  chiamati  ad  operare   nella   presente deliberazione,  con  riferimento  al  rilascio   dell’informativa   e all’acquisizione del consenso degli utenti  online  con  riguardo  ai cookie delle terze parti.

3. Impatto della disciplina in materia di cookie sulla rete.

I cookie svolgono diverse e importanti funzioni  nell’ambito  della rete. Qualunque decisione in merito alle modalita’ di  informativa  e consenso online,  riguardando  in  pratica  chiunque  abbia  un  sito Internet, avra’ quindi un fortissimo impatto su un numero  enorme  di soggetti, che  presentano  peraltro,  come  si  e’  detto,  natura  e caratteristiche profondamente diverse tra loro.

Il Garante, consapevole della  portata  della  presente  decisione, ritiene pertanto necessario che le misure prescritte nella  stessa  – ai sensi di quanto previsto dall’art. 122,  comma  1,  del  Codice  – siano, da un lato, tali da consentire agli utenti di esprimere scelte realmente  consapevoli  sull’installazione  dei  cookie  mediante  la manifestazione di un consenso espresso  e  specifico  (come  previsto dall’art. 23 del Codice) e, dall’altro, presentino il minore  impatto possibile in termini di soluzione di  continuità  della  navigazione dei medesimi utenti e della fruizione, da  parte  loro,  dei  servizi telematici.

Di tali opposte esigenze, emerse  chiaramente  anche  in  occasione della consultazione pubblica e degli incontri tenuti  dall’Autorità, si tiene conto in primo luogo nella  determinazione  delle  modalità con le quali rendere l’informativa in forma semplificata. E’   peraltro   convinzione   del   Garante   che   i   due   temi, dell’informativa e del consenso, vadano necessariamente  trattati  in maniera congiunta,  onde  evitare  che  il  ricorso  a  modalità  di espressione   del   consenso   online   che   richiedano   operazioni eccessivamente  complesse  da  parte  degli  utenti  vanifichino   la semplificazione realizzata nell’informativa.

4. L’informativa con  modalità  semplificate  e  l’acquisizione  del consenso online.

Ai fini della semplificazione dell’informativa, si ritiene che  una soluzione efficace, che fa salvi i requisiti  previsti  dall’art.  13 del Codice (compresa la descrizione dei singoli cookie),  sia  quella di impostare la stessa su due livelli di approfondimento successivi. Nel momento in cui l’utente accede a un  sito  web,  deve  essergli presentata una prima informativa “breve”, contenuta in  un  banner  a comparsa immediata sulla home page (o altra pagina tramite  la  quale l’utente  puo’  accedere  al  sito),  integrata   da   un’informativa “estesa”,  alla  quale  si  accede  attraverso  un  link   cliccabile dall’utente. Affinche’ la semplificazione sia effettiva, si  ritiene  necessario che la richiesta di consenso all’uso dei cookie sia inserita  proprio nel banner contenente l’informativa breve. Gli utenti che  desiderano avere maggiori e piu’ dettagliate  informazioni  e  differenziare  le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad  altre  pagine  del  sito,  contenenti, oltre al testo dell’informativa estesa, la possibilità di  esprimere scelte più specifiche.

4.1. Il banner contenente informativa breve e richiesta di consenso.

Più precisamente, nel momento in cui si accede alla home  page  (o ad altra pagina) di un sito web,  deve  immediatamente  comparire  in primo piano un banner di idonee dimensioni – ossia di dimensioni tali da costituire una percettibile  discontinuità  nella  fruizione  dei contenuti della pagina web che  si  sta  visitando  –  contenente  le seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi  pubblicitari  in  linea  con  le   preferenze   manifestate dall’utente nell’ambito della navigazione in rete; b) che il sito consente anche l’invio  di  cookie  “terze  parti” (laddove ciò ovviamente accada); c)  il  link  all’informativa   estesa,   ove   vengono   fornite indicazioni sull’uso dei cookie tecnici e analytics,  viene  data  la possibilità di scegliere quali specifici cookie autorizzare; d) l’indicazione  che  alla  pagina  dell’informativa  estesa  e’ possibile negare il consenso all’installazione di qualunque cookie; e) l’indicazione che la prosecuzione della  navigazione  mediante accesso ad altra area del sito  o  selezione  di  un  elemento  dello stesso (ad  esempio,  di  un’immagine  o  di  un  link)  comporta  la prestazione del consenso all’uso dei cookie. Il  suindicato  banner,  oltre  a   dover   presentare   dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante  dell’azione  positiva  nella  quale   si   sostanzia   la manifestazione del consenso dell’utente.

In altre parole,  esso  deve determinare una discontinuità,  seppur  minima,  dell’esperienza  di navigazione: il superamento della presenza del banner al  video  deve essere possibile  solo  mediante  un  intervento  attivo  dell’utente (appunto attraverso la  selezione  di  un  elemento  contenuto  nella pagina sottostante il banner stesso).

Resta  ferma  naturalmente  la  possibilità  per  gli  editori  di ricorrere a modalità diverse da quella descritta per  l’acquisizione del consenso online all’uso dei cookie degli utenti, semprechè  tali modalità assicurino il rispetto di  quanto  disposto  dall’art.  23, comma 3, del Codice. In conformita’ con i principi generali, e’ necessario in ogni  caso che dell’avvenuta prestazione del  consenso  dell’utente  sia  tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso,  si  veda  anche  il  considerando  25  della direttiva 2002/58/CE). La presenza  di  tale  “documentazione”  delle  scelte  dell’utente consente poi all’editore di non riproporre l’informativa  breve  alla seconda visita del medesimo utente sullo stesso sito, ferma  restando naturalmente la possibilità per l’utente di negare il  consenso  e/o modificare, in ogni momento e in maniera agevole, le proprie  opzioni relative all’uso dei cookie da parte del  sito,  ad  esempio  tramite accesso all’informativa estesa, che deve  essere  linkabile  da  ogni pagina del sito.

4.2. L’informativa estesa. 

L’informativa estesa deve contenere  tutti  gli  elementi  previsti dall’art. 13 del Codice, descrivere in maniera specifica e  analitica le caratteristiche e le finalita’ dei cookie installati  dal  sito  e consentire all’utente di selezionare/deselezionare i singoli  cookie. Deve essere raggiungibile mediante un link inserito  nell’informativa breve, come pure attraverso un riferimento su ogni pagina  del  sito, collocato in calce alla medesima. All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi  per  l’installazione  di cookie tramite il proprio  sito.

Qualora  l’editore  abbia  contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti  che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualita’  che  tali  collegamenti  con  le  terze  parti  siano raccolti all’interno di un unico sito  web  gestito  da  un  soggetto diverso dall’editore, come nel caso dei concessionari. Al fine di mantenere distinta la responsabilita’ degli  editori  da quella delle terze parti  in  relazione  all’informativa  resa  e  al consenso acquisito per i cookie di queste ultime tramite  il  proprio sito, si ritiene necessario che gli editori stessi acquisiscano, gia’ in fase contrattuale, i suindicati link dalle terze parti  (con  cio’ intendendosi anche gli stessi concessionari). Nel medesimo spazio dell’informativa estesa deve essere  richiamata la possibilita’ per l’utente (alla quale fa riferimento anche  l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del  browser,  indicando  almeno  la  procedura   da   eseguire   per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la  versione  del  browser  utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

5. Notificazione del trattamento.

Si ricorda che l’uso dei cookie rientra tra i trattamenti  soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37,  comma 1, lettera d), del  Codice,  laddove  lo  stesso  sia  finalizzato  a “definire  il  profilo  o  la  personalità  dell’interessato,  o  ad analizzare  abitudini  o  scelte  di  consumo,  ovvero  a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti  tecnicamente  indispensabili  per  fornire   i   servizi medesimi agli utenti”. L’uso dei cookie e’, invece, sottratto all’obbligo di notificazione sulla base di quanto previsto dal provvedimento del  Garante  del  31 marzo  2004,  che  ha  inserito  espressamente,  tra  i   trattamenti esonerati dal suindicato obbligo, quelli  “relativi  all’utilizzo  di marcatori elettronici o di dispositivi  analoghi  installati,  oppure memorizzati    temporaneamente,    e    non    persistenti,    presso l’apparecchiatura terminale di  un  utente,  consistenti  nella  sola trasmissione  di  identificativi  di  sessione  in  conformità  alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso  ai contenuti di un sito Internet” (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81). Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel  tempo, sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i  cookie  analytics  (v.  punto  1, lettera  a),  del  presente  provvedimento),   non   debbono   essere notificati al Garante.

6. Tempi di adeguamento.

Come già evidenziato in  precedenza,  il  Garante  e’  consapevole dell’impatto, anche economico, che la  disciplina  sui  cookie  avrà sull’intero settore della società dei servizi  dell’informazione  e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

In ragione di  ciò,  si  ritiene  pertanto  congruo  prevedere  un periodo transitorio di un anno  –  a  decorrere  dalla  pubblicazione della presente decisione in Gazzetta Ufficiale –  per  consentire  ai soggetti interessati dal presente provvedimento di  potersi  avvalere delle modalità semplificate ivi individuate.

7. Conseguenze del mancato rispetto della disciplina  in  materia  di cookie.

Si ricorda che per il caso di omessa informativa o  di  informativa inidonea, ossia che non presenti gli  elementi  indicati,  oltre  che nelle  previsioni  di  cui  all’art.  13  del  Codice,  nel  presente provvedimento, e’ prevista la sanzione amministrativa  del  pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece,  la  sanzione  del pagamento di una somma da diecimila a centoventimila euro (art.  162, comma 2-bis, del Codice). L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lettera  d),  del  Codice,  e’ sanzionata  con  il  pagamento  di   una   somma   da   ventimila   a centoventimila euro (art. 163 del Codice).

Tutto cio’ premesso il Garante:

1. ai sensi degli articoli 122, comma 1 e 154, comma 1, lettera h), del Codice – ai fini dell’individuazione delle modalità semplificate per l’informativa che i gestori di siti web, come meglio  specificati in premessa, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite  del  proprio sito – stabilisce che nel momento in cui si accede alla home page  (o ad altra pagina) di un sito web,  deve  immediatamente  comparire  in primo piano un banner di idonee  dimensioni  contenente  le  seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi  pubblicitari  in  linea  con  le   preferenze   manifestate dall’utente nell’ambito della navigazione in rete; b) che il sito consente anche l’invio  di  cookie  “terze  parti” (laddove cio’ ovviamente accada); c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a: uso dei cookie tecnici e analytics; possibilità di scegliere quali specifici cookie autorizzare; possibilità per l’utente di manifestare le proprie opzioni  in merito all’uso dei cookie da  parte  del  sito  anche  attraverso  le impostazioni del browser, indicando almeno la procedura  da  eseguire per configurare tali impostazioni; d) l’indicazione  che  alla  pagina  dell’informativa  estesa  e’ possibile negare il consenso all’installazione di qualunque cookie; e) l’indicazione che la prosecuzione della  navigazione  mediante accesso ad altra area del sito  o  selezione  di  un  elemento  dello stesso (ad  esempio,  di  un’immagine  o  di  un  link)  comporta  la prestazione del consenso all’uso dei cookie;

2. ai sensi dell’art. 154, comma 1, lettera c),  del  Codice  –  ai fini di mantenere distinta la responsabilità  dei  gestori  di  siti web, come meglio specificati in motivazione, da  quella  delle  terze parti – prescrive ai medesimi  gestori  di  acquisire  gia’  in  fase contrattuale i collegamenti (link)  alle  pagine  web  contenenti  le informative e i moduli per l’acquisizione del  consenso  relativo  ai cookie  delle  terze   parti   (con   ciò   intendendosi   anche   i concessionari).