Con il provvedimento n. 229 dell’8 maggio 2014, il Garante per la protezione dei dati personali ha individuato le “modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, così come prescritto dall’art. 122, comma 1, d.lgs. 196/2003 (c.d. Codice della privacy), così come sostituito dal d.lgs. 69/2012.
Nella redazione del provvedimento sui cookie, il Garante ha tenuto conto sia dell’esito della consultazione pubblica all’uopo avviata (deliberazione n. 359 del 22 novembre 2012) sia di elementi emersi nel corso di alcuni incontri con diversi soggetti (provider, associazioni dei consumatori e delle categorie economiche coinvolte, docenti, ricercatori) sia delle indicazioni del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (Opinion 04/2012 on Cookie Consent Exemption, del 7 giugno 2012; Working Document 02/2013 providing guidance on obtaining consent for cookies, del 2 ottobre 2013).
Il provvedimento dell’Autorità è di carattere generale; in esso:
- vengono individuate le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei cookie (e di altri strumenti analoghi, come web beacon, clear GIF, ecc.) sui loro terminali da parte dei siti web visitati;
- vengono fornite idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli utenti, ove richiesto dalla legge.
Il Garante privacy, con l’emanazione del suo provvedimento, ritiene che le misure prescritte:
- possano consentire agli utenti di esprimere scelte realmente consapevoli sull’installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (essendo ciò stabilito dall’art. 23 d.lgs. 196/2003);
- presentino il minore impatto possibile in termini di soluzione di continuità della navigazione degli utenti e della fruizione, da parte loro, dei servizi telematici.
Cosa sono i cookie?
Come affermato dal Garante nel suo provvedimento:
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.
I cookie non sono installati solo dal server del sito web visitato: vi sono infatti cookie adoperati da siti o server diversi, detti “cookie di terze parti” o “cookie terze parti”. Possono essere utilizzati per diverse finalità, come di seguito esposto.
A cosa servono i cookie?
Ciascun browser memorizza un numero molto notevole di cookie, anche per lungo tempo. Ciò è dovuto al fatto che il loro utilizzo non solo è molto variegato ma è altresì fondamentale, in diversi casi, per garantire un’esperienza d’uso anche solo accettabile a ciascun utente. Basti pensare che i cookie sono utilizzati, ad esempio, per:
- l’esecuzione di autenticazioni informatiche;
- il monitoraggio delle sessioni;
- la memorizzazione delle preferenze degli utenti;
- fornire pubblicità personalizzata.
Gli obblighi di legge previsti dalla normativa sui cookie
Una doverosa premessa: il framework normativo in materia di protezione dei dati personali è abbastanza uniforme nell’Unione europea, poiché le leggi emanate dai vari legislatori “partono” da una base comune costituita, innanzi tutto, dalla direttiva 95/46/CE (cui, ad es., il nostro legislatore si è adeguato con la celebre, e ormai abrogata, legge 675/96) e dagli altri testi comunitari (e non solo) successivamente emanati. La tematica è complessa, ma è opportuno accennarla in questa sede per evitare ogni dubbio su una circostanza: questa normativa non è solo italiana, come si può facilmente notare – tra l’altro – visionando siti web ospitati in altri stati membri dell’Unione europea!
Tanto premesso, il legislatore italiano ha stabilito che il titolare del trattamento deve necessariamente acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche.
La distinzione fra cookie tecnici e cookie di profilazione
Nel provvedimento del Garante è prevista una distinzione fondamentale:
– Cookie tecnici
I cookie tecnici sono utilizzati per effettuare la navigazione o fornire un servizio richiesto dall’utente (art. 122, comma 1, Cod. priv.: sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”).
Sono normalmente installati direttamente dal titolare o gestore del sito web.
Nell’ambito dei cookie tecnici si distingue fra:
- cookie di navigazione o cookie di sessione (garantiscono la normale navigazione e fruizione del sito web; ad es., per gestire l’autenticazione in aree riservate o poter effettuare un acquisto su un sito di e-commerce);
- cookie analytics: sono cookie tecnici se vengono utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
- cookie di funzionalità: consentono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) per migliorare il servizio reso allo stesso.
Obblighi di legge:
- è necessario fornire l’informativa sulla privacy (rispettando i requisiti previsti dall’art. 13 d.lgs. 196/2003);
- non è richiesto il preventivo consenso degli utenti.
– Cookie di profilazione
Come suggerisce la denominazione adoperata, i cookie di profilazione sono utilizzati per “profilare” ciascun utente, ossia per creare un suo profilo digitale e poter generalmente inviare messaggi pubblicitari coerenti con le preferenze manifestate navigando in Rete.
Sia il legislatore italiano sia quello comunitario vedono con sfavore tali strumenti, perché ritengono che essi sono più che idonei a invadere la sfera privata di ciascun navigatore; pertanto:
- è necessario fornire un’adeguata informativa a ciascun utente;
- è richiesto il preventivo consenso di ciascun utente.
L’informativa può essere resa anche con modalità semplificate, come previsto dall’art. 122, comma 1, d.lgs. 196/2003 (“l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”).
L’ambito soggettivo: gli “editori” e le “terze parti”
Come si è anticipato, quando un utente visita un sito web possono essere installati cookie sia dal gestore del sito stesso (“editore”) sia da altri soggetti (“terze parti”); fra tali soggetti, inoltre, se ne possono porre altri, che operano da intermediari fra gli stessi per la prestazione di altri servizi (in particolare, i concessionari di pubblicità). Questa distinzione è molto importante, perché incide anche sui doveri di tali soggetti (con particolare riferimento alla fornitura dell’informativa e all’acquisizione del consenso) e, dunque, sulle relative responsabilità.
Il Garante privacy ha scelto di non traslare gli obblighi della terza parte sull’editore, come sarà di seguito evidenziato in riferimento ai profili dell’informativa e del consenso; ciò nondimeno, taluni obblighi permangono in capo all’editore stesso, nonostante, come affermato dalla stessa Autorità, “spesso gli editori, che comprendono anche persone fisiche e piccole imprese, [siano] la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose”.
Tanto premesso, si può qui evidenziare che ciascun editore deve essere considerato titolare del trattamento per ciò che concerne i cookie installati direttamente dal proprio sito.
L’editore non è, però, contitolare con le terze parti per i cookie installate da quest’ultime mediante il sito del primo; per il Garante, da questo punto di vista, l’editore è una sorte di intermediario tecnico fra terze parti ed utenti.
L’informativa cookie (con modalità semplificate) e l’acquisizione del consenso online.
Com’è noto, la disciplina in materia di protezione dei dati personali è basata sul binomio informativa-consenso, ma la comunicazione web, nella prassi, mal si presta alla lettura di lunghi testi, che vengono oltretutto spesso “saltati” a piè pari dai lettori. Inoltre, l’estrema diffusione di dispositivi mobile (smartphone, phablet, tablet) pone ulteriori problematiche da questo punto di vista.
Il Garante ha così operato un bilanciamento: da un lato ha disposto l’obbligatorietà dell’informativa sin dal primo accesso a un sito web, dall’altro ha ideato un modello basato su due livelli di approfondimento successivi. Più specificatamente, l’informativa sui cookie deve essere resa:
- in forma breve (informativa cookie breve), quando l’utente accede a un sito web (indipendentemente dalla pagina a cui accede), mediante un banner che manifesti discontinuità rispetto al layout del sito web e che richieda il consenso all’uso dei cookie;
- in forma estesa (informativa cookie estesa), accessibile mediante link presente nel banner di cui al punto che precede.
- a) Informativa cookie breve e consenso
L’informativa breve deve essere necessariamente visualizzata quando un utente accede a una qualsiasi pagina del sito web.
Forma:
- banner di “idonee” dimensioni (ossia tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando).
Contenuto:
- indicazione:
- che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete (ove applicabile);
- che il sito consente anche l’invio di cookie “terze parti” (ove applicabile);
- che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un suo elemento comporta la prestazione del consenso all’uso dei cookie;
- link all’informativa estesa.
Rimozione del banner:
- è possibile solo in seguito a un intervento attivo dell’utente (in mancanza, il banner deve continuare a essere mostrato a video).
Log:
- l’avvenuta prestazione del consenso da parte dell’utente deve essere documentata dall’editore; a tal fine, può essere utilizzato un cookie tecnico.
Infine, è doveroso precisare che:
- gli editori possono acquisire il consenso degli utenti all’uso dei cookie anche con altre modalità, purché sia rispettoso dell’art. 23, comma 3, d.lgs. 196/2003 (“Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13”);
- l’eventuale prestazione del consenso dell’utente non è irrevocabile: l’utente potrà negarlo e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito.
- b) Informativa cookie estesa
L’informativa estesa deve:
- contenere tutti gli elementi previsti dall’art. 13 del Codice (“L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile”);
- descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito;
- consentire all’utente di selezionare/deselezionare i singoli cookie;
- esporre all’utente che questi può manifestare le proprie opzioni circa l’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando la procedura da seguire e, volendo, anche predisporre un link alla relativa sezione del browser ove la piattaforma informatica del sito sia compatibile con il relativo browser;
- essere raggiungibile mediante link presente sia nell’informativa breve sia in calce a ciascuna pagina del sito web;
- contenere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito, o comunque con eventuali intermediari tra lui e le stesse terze parti (in quest’ultimo caso i link possono essere riportati globalmente in un altro sito web, raggiungibile a sua volta tramite collegamento ipertestuale: questo è, in genere, il caso dei concessionari).
Cookie, privacy, profilazione e notificazione del trattamento
I cookie di profilazione che persistono nel tempo comportano, per il titolare del trattamento, l’obbligo di notificazione al Garante privacy. Il loro utilizzo, infatti, è da considerarsi trattamento di dati personali soggetto al predetto obbligo perché è finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti” (art. 37, comma 1, lett. d, d.lgs. 196/2003).
Come risulta dall’ultima parte della norma appena menzionata, taluni cookie di profilazione sono esclusi dal predetto obbligo: sono quelli che hanno finalità diverse e che rientrano nell’ambito dei cookie tecnici. Non a caso, già nel 2004 il Garante privacy ha inserito espressamente, tra i trattamenti esonerati dall’obbligo di notificazione, quelli “relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet” (del. n. 1 del 31 marzo 2004).
Sanzioni per violazioni della normativa sui cookie
La normativa sui cookie, come si è visto, impone una serie di obblighi cui ciascun titolare deve adempiere, per quanto di sua competenza. In caso di violazione, troveranno applicazione talune norme sanzionatorie di cui al Codice della privacy, che il Garante ha già individuato ed evidenziato nel suo provvedimento dell’8 maggio 2014. In particolare, le fattispecie che si realizzano in ipotesi di violazione degli obblighi previsti dalla cookie law, possono così riassumersi:
- omessa informativa o informativa inidonea (è inidonea quella informativa che non presenti gli elementi di cui all’art. 13 del Codice e/o quelli indicati nel provvedimento del Garante sui cookie); la sanzione amministrativa consiste nel pagamento di una somma da 6.000,- a 36.000,- euro (art. 161 d.lgs. 196/2003);
- installazione di cookie sui terminali degli utenti senza il loro preventivo consenso; la sanzione amministrativa consiste nel pagamento di una somma da 10.000,- a 120.000,- euro (art. 162, comma 2-bis, d.lgs. 196/2003);
- omessa o incompleta notificazione al Garante (qualora essa sia dovuta per la presenza di cookie di profilazione persistenti, come più ampiamente spiegato nel relativo paragrafo); la sanzione amministrativa consiste nel pagamento di una somma da 20.000, a 120.000,- euro (artt. 37, comma 1, lett. d), e 163 d.lgs. 196/2003).
Conclusioni e considerazioni sulla “cookie law” e sul provvedimento del Garante privacy
Come si è visto la normativa comunitaria e, in virtù di essa, il legislatore italiano e il Garante privacy sono intervenuti in modo sicuramente incisivo su una fattispecie non solo estremamente tecnica ma altresì dalle rilevanti conseguenze informatico-giuridiche: l’utilizzo dei cookie. È ben noto, infatti, che essi sono costantemente utilizzati e, come giustamente rilevato dal Garante, ciò avviene per il perseguimento di fini diversi. Sono praticamente necessari per consentire una buona esperienza d’uso nella fruizione dei siti web, tanto che l’Autorità ha giustamente adottato un approccio molto cauto verso i cookie tecnici; sono altresì estremamente utili nella gestione delle campagne pubblicitarie on line, che sono fonte di sostentamento per molti siti, la cui consultazione e il cui utilizzo degli eventuali servizi sono di norma resi disponibili in modo apparentemente gratuito. Il prezzo da pagare, infatti, è sovente costituito dall’acquisizione di dati personali e dalla possibilità, anche implicita, di creare uno o più profili digitali degli utenti. Molti di essi, però, se ne disinteressano, e molti altri, anche dopo essere stati informati, continuano a farlo.
Come spesso accade, è estremamente arduo operare un buon bilanciamento fra gli interessi all’uopo confliggenti. Si consideri, innanzi tutto, che i paletti stabiliti dai vari legislatori (nonché la considerazione dei pareri del Gruppo di lavoro ex art. 29) hanno ovviamente limitato il raggio d’azione del provvedimento del Garante, che dunque ha dovuto e deve fare i conti con una normativa per certi aspetti già vetusta e oggi progressivamente più adeguata a burocratizzare più che a tutelare effettivamente, oltreché, a parere dello scrivente, non sufficientemente rappresentativa delle peculiarità dei vari soggetti che si pongono sul web. Basti pensare alle sanzioni, che sono di particolare gravità per soggetti di piccole dimensioni (come privati, professionisti e piccole/medie aziende), ma non lo sono altrettanto per quelle di grandi dimensioni. Inoltre, si ripropone costantemente il problema della effettività dello strumento sanzionatorio, poiché da un lato è possibile rilevare l’enorme numero di siti web e la rapidità con cui essi metaforicamente nascono, crescono e vengono meno, mentre dall’altro il controllo su di essi, e dunque sul rispetto della normativa, viene di fatto esercitato dall’Autorità garante piuttosto che dai giudici (si può ipotizzare che, per una molteplicità di motivi (costo, complessità tecnologica, difficoltà di provare il danno anche se non patrimoniale, ecc.), i procedimenti incardinati presso la competente autorità giudiziaria saranno ben pochi).
La distinzione fra “editor” e “terze parti” è sicuramente positiva, perché distingue fra soggetti diversi; ma vi sono problematiche conseguenti alla mancata distinzione fra soggetti di grandi e grandissime dimensioni rispetto a tutti gli altri, anche per ciò che concerne il trattamento sanzionatorio (per quanto le sanzioni all’uopo applicabili siano abbastanza differenziate nella loro misura minima e nella loro misura massima). Inoltre, il riferimento alla possibilità di selezionare/deselezionare i singoli cookie direttamente dalla informativa estesa, e non solo dai comandi del proprio browser o servizi eventualmente disponibili, dovrebbe essere inteso in senso fortemente restrittivo; per quanto ciò derivi dalla necessità di garantire la possibilità di revocare il consenso, sembra un obbligo tecnicamente troppo gravoso e troppo invasivo per il gestore di un sito web. Dal momento che l’editore è comunque obbligato a informare l’utente e a spiegargli come disabilitare i cookie dal proprio browser, sarebbe più opportuno ritenere ciò sufficiente per la compliance alla normativa: in tal senso la parola spetterà al Garante privacy e, in ultima analisi, all’autorità giudiziaria.
Il presente articolo è un approfondimento e non sostituisce l’attività di professionisti e consulenti legali. Per consulenza e assistenza legale in materia di compliance alla cookie law è possibile contattare lo Studio Legale Associato Fioriglio-Croari.
L’Avv. Gianluigi Fioriglio è docente di “Giuspolitica e Informatica Giuridica” (“Sapienza” Università di Roma, Dipartimento di Scienze Politiche) e socio dello Studio Legale Associato Fioriglio-Croari. Fra le sue numerose pubblicazioni, si segnalano la monografia “Il diritto alla privacy. Nuove frontiere nell’era di Internet”, Seminario Giuridico dell’Università di Bologna, Bononia University Press, Bologna, 2008, e i seguenti saggi: “Premialità e promozionalità via Internet: concorsi e operazioni a premio on line”, in A. Di Giandomenico (a cura di), Dona virtù e premio… Studi in onore di Serenella Armellini, Nuova Cultura, Roma, 2013, pp. 107-127; “Copy Fees and Patients’ Rights to Obtain a Copy of Their Medical Records: From Law to Reality”, con P. Szolovits, in “AMIA Annual Symposium Proceedings”, 2005, pp. 251-255; “La tutela risarcitoria nel Codice della privacy”, in “Teoria del diritto e dello stato”, 2004, 2, pp. 261-280; “La privacy e i sistemi di intercettazione e di controllo globale”, in “L’ircocervo” (rivista scientifica telematica), 2003.