Come cambia la normativa sull’uso dei cookie

11/06/2014 / e-commerce, Web / 0 Comments
Normativa Cookie
Nuova normativa Cookie

Il Garante per la protezione dei dati personali è recentemente intervenuto con un provvedimento generale in data 8 maggio 2014, a seguito di una consultazione pubblica (cui ha partecipato il Centro Studi Informatica Giuridica di Ivrea-Torino), per individuare modalità semplificate attraverso cui presentare agli utenti l’informativa online sull’utilizzo dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge

Le misure prescritte dalla nuova normativa hanno l’intento di offrire una corretta informazione e consentire agli utenti di esprimere un consenso espresso e specifico sull’installazione dei cookie per finalità di profilazione e marketing senza interferire eccessivamente con la navigazione.

Cosa sono i cookie

Ogni volta che un utente naviga in Internet, i siti da lui visitati inviano e installano sul suo terminale (computer, tablet, smartphone, notebook) uno o più cookie, ossia brevi sequenze testuali, che permettono di analizzare il comportamento del visitatore sul sito, di sapere quante e quali pagine ha visitato, di memorizzare i suoi dati di accesso al sito e di riconoscerlo ad ogni successivo ingresso.

L’utente può ricevere sul suo terminale anche cookie inviati da siti terzi attraverso alcuni elementi presenti sul sito che sta visitando (come ad esempio, immagini, mappe o link ad altri domini).

I cookie vengono distinti in due categorie: cookie “tecnici”e cookie “di profilazione”.

  • Cookie tecnici

I cookie tecnici vengono installati dal titolare o dal gestore del sito web e si dividono a loro volta in cookie di navigazione o di sessione (ad esempio, quelli che permettono di portare a termine un acquisto o di effettuare un login), cookie analytics (utilizzati dal gestore del sito per raccogliere informazioni su quante visite riceve il sito, sulle pagine visitate, sulle parole chiave utilizzate per raggiungere il sito, ecc.) e cookie di funzionalità (quelli che consentono all’utente di navigare nel sito nella lingua scelta o tra i prodotti selezionati per l’acquisto).

Tali cookie sono necessari per svolgere una serie di funzioni utili e semplificare la navigazione degli utenti; pertanto per la loro installazione non è richiesto il consenso degli utenti, anche se resta fermo l’obbligo di informare i visitatori della loro installazione ai sensi dell’art. 13 del Codice (d.lgs 30 giugno 2003, n.196 in materia di protezione dei dati personali).

  • Cookie di profilazione

I cookie di profilazione vengono utilizzati per raccogliere informazioni sull’utente, sui suoi gusti, su quali siti è solito visitare ecc. per potergli inviare messaggi pubblicitari in base alle sue preferenze. La normativa europea e italiana prevede che l’utente debba dare il proprio consenso preventivo per l’installazione di tali cookie.

Soggetti coinvolti

Chi installa questo genere di cookie sul terminale dell’utente, può essere il gestore del sito che lutente sta visitando oppure il gestore di un sito diverso che installa cookie per mezzo del primo (c.d. terze parti). Gli editori assumono pertanto una duplice veste: sono titolari dei cookie installati dal loro sito sul terminale dell’utente, e intermediari per quanto riguarda i cookie installati da terze parti.

L’editore non ha lobbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie installati da terze parti in quanto sarebbe troppo difficile per l’editore farsi carico anche degli adempimenti delle terze parti, verificando di volta in volta la corrispondenza tra quanto da esse dichiarato e le finalità realmente perseguite nell’uso dei cookie. Devono però pubblicare nell’informativa il link alla corrispondente informativa e al modulo di consenso delle terze parti o dei concessionari che fanno da intermediari.

Linformativa e il consenso online

Ai fini della semplificazione, la nuova normativa suggerisce che l’informativa e il consenso vadano trattati insieme.

Al primo accesso a un sito, l’utente deve visualizzare una prima informativa breve, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito).

Il banner deve essere di dimensioni tali da distinguersi chiaramente dal resto della pagina e contenere le seguenti indicazioni:

  • il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in base alle preferenze manifestate dall’utente durante la navigazione
  • il sito consente l’invio di cookie diterze parti (nel caso ciò accada)
  • il link all’informativa estesa
  • l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie
  • l’indicazione che la prosecuzione della navigazione (mediante accesso ad altra area del sito o la selezione di un’immagine o di un link) comporta il consenso automatico all’uso dei cookie.

Il banner si chiuderà solo se l’utente procederà nella navigazione della pagina sottostante.

A titolo di esempio, il Garante ha predisposto sul proprio sito un modello di banner

Gli editori possono utilizzare anche una modalità per l’acquisizione del consenso online all’uso dei cookie diversa da quella descritta, sempreché tale modalità offra le stesse informazioni.

L’editore è tenuto a tenere traccia del consenso ricevuto dall’utente, servendosi ad esempio di un apposito cookie tecnico. Tale documentazione consente all’editore di non riproporre l’informativa breve a una seconda visita dell’utente sul sito. Ciononostante l’utente può negare e/o modificare il consenso relativo all’uso dei cookie in ogni momento, tramite accesso allinformativa estesa che deve essere linkabile da ogni pagina del sito.

Linformativa estesa

L’informativa estesa oltre a contenere tutti gli elementi previsti dall’art. 13 del Codice, deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve inoltre essere raggiungibile mediante un link inserito sia nell’informativa breve che in calce ad ogni pagina del sito.

All’interno dell’informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito o i link ai siti intermediari tra lui e le terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari.

Gli editori, già in fase contrattuale con le terze parti o con i concessionari, dovranno acquisire i link da inserire nell’informativa.

L’utente deve poter manifestare le proprie scelte sull’uso dei cookie anche attraverso le impostazioni del browser. Nel caso la tecnologia utilizzata dal sito sia compatibile con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

Notificazione del trattamento

L’uso dei cookie di profilazione rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante per la Privacy, se finalizzato a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo. Luso dei cookie tecnici è invece sottratto allobbligo di notificazione.

Tempi di adeguamento

I cookie svolgono diverse e importanti funzioni nell’ambito della rete. L’attuazione delle norme che riguardano il loro uso avrà un forte impatto su chiunque abbia un sito Internet. Pertanto il Garante ha concesso un periodo di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per adeguare il sito con le procedure adatte. Di conseguenza le regole saranno applicabili dal 3 giugno 2015.

Sanzioni in caso di mancato rispetto della disciplina in materia di cookie

Nel caso di mancata pubblicazione dell’informativa o di informativa non adeguata, è prevista una sanzione amministrativa che va dai seimila a trentaseimila euro.

L’installazione di cookie senza il preventivo consenso degli utenti comporta la sanzione del pagamento di una somma da diecimila a centoventimila euro.

L’omessa o incompleta notificazione al Garante, infine, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro.

Conclusioni

Il provvedimento denota l’intenzione di bilanciare due esigenze, da un lato quella dell’ utente che deve avere la possibilità di esprimere il proprio consenso alla profilazione in condizioni di chiarezza e trasparenza, dall’altro quella dell’azienda attraverso l’adozione di un concetto di consenso espresso non restrittivo. Si tratta in ogni caso di una normativa soggetta per sua natura a frequente aggiornamento, in quanto la tecnologia con il suo passo veloce pone continuamente nuove sfide al legislatore, anche attraverso nuove modalità di profilazione degli utenti sulla rete.

Paola Chiesa – Daniela Savino

Fonti:

Garante per la protezione dei dati personali – Provvedimento 8 maggio 2014

Centro Studi Informatica Giuridica Ivrea-Torino


0 Comments

Vuoi lasciare un Commento?

Il tuo indirizo e-mail non verrà pubblicato. i campi contrassegnati con * sono richiesti.

Leave a Reply