privacy

Cookie e privacy: scadenza vicina, come adeguarsi

| 7 maggio 2015

a cura degli avvocati Danilo De Felice e Paolo Orabona


Si stringono i tempi imposti dal Garante per la protezione dei dati personali ai titolari di siti internet al fine di adeguare questi ultimi alla normativa in materia di consenso espresso degli utenti all'utilizzo dei cookie.
Nel maggio 2014, al fine di armonizzare la normativa italiana con quanto già stabilito a livello comunitario, il Garante è intervenuto sul punto ponendo, da un lato, un veto all'installazione di cookie per finalità di profilazione e marketing senza la preventiva, dovuta, informativa a favore degli utenti e senza aver ottenuto il consenso dei medesimi e, dall'altro, fornendo agli stessi gestori di siti web un vademecum relativo alle modalità semplificate con cui dare esecuzione a quanto sopra previsto.
Prima di passare in rassegna gli adempimenti imposti dal citato provvedimento, giova ricordare brevemente cosa si intende per "cookie" nel settore informatico.
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.
Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
Possono essere distinte due macrocategorie di cookie, tecnici e cd. "di profilazione".
Nella prima definizione ricadono tutti i cookie utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio. Tra questi, sono ricompresi i cookie di navigazione o di sessione, che permettono la navigazione e l'utilizzo di ciascun sito web (es., per il login per le aree riservate), i cookie analytics, utilizzati ai fini statistici del sito (es., numero utenti e pagine visitate), i cookie di funzionalità, che consentono a ciascun utente di navigare sulla base di criteri e opzioni previamente selezionati che restano quindi memorizzate (es., lingua preferita ovvero, nel caso dell'e-commerce, i prodotti selezionati per l'acquisto in una precedente sessione nel carrello).
Ben più invasivi e senza alcuna stretta funzionalità di navigazione sono, invece, i cookie di profilazione. Tale tipologia di cookie ha, invero, la capacità di creare profili relativi all'utente in base alle proprie abitudini di navigazione e di acquisto sul web, così da consentire alle aziende una politica di marketing "su misura" di ciascun utente, con maggiori probabilità di successo sull'incremento delle vendite. Vi rientrano, oltre ai cookie di profilazione propri e di terze parti, anche i cd. cookie di retargeting, i cookie di social network e i cookie di statistica gestiti autonomamente da terze parti.
Il tenore maggiormente invasivo dei cookie di profilazione comporta per i titolari dei siti utilizzatori di questi ultimi anche l'obbligo di notificazione al Garante, ai sensi dell'Articolo 37, comma 1, lett. d) della legge n. 196/2003 (Codice Privacy), pena l'applicazione di una sanzione compresa tra euro 20.000,00 ed euro 120.000,00.
Il Garante ha quindi posto al centro del citato provvedimento tale ultima categoria di cookie, proprio per il differente impatto che la stessa può avere sulla privacy degli utenti dei siti web, prevedendo, come anticipato, l'obbligatorietà per i proprietari dei siti di fornire l'informativa circa la tipologia e la funzione dei cookie di profilazione eventualmente utilizzati e di ottenere il consenso di ciascun utente al fine di consentire la successiva navigazione del sito.
Al fine di non rendere la procedura di informativa e ottenimento del consenso estremamente "bloccante" rispetto al consueto, fluido, processo di navigazione delle pagine web, il Garante ha previsto un sistema informativo su due livelli, che permette di conciliare allo stesso tempo la duplice esigenza di una minora invasività della richiesta di consenso all'utilizzo dei cookie di profilazione e di una consapevole informazione dell'utente su questi ultimi e sulle loro finalità.
Vediamo, quindi, gli adempimenti pratici a cui ciascun soggetto interessato è tenuto al fine di adeguare il proprio sito web al provvedimento del Garante, qualora siano utilizzati cookie cd. "di profilazione".
Occorrerà in primis predisporre un banner (classico formato a "striscia" presente in numerose pagine web), da rendere ben visibile nella home page del sito web ovvero in qualsivoglia pagina del sito che costituisca il primo accesso per l'utente, nel quale inserire i seguenti elementi:
(i) evidenziare l'utilizzo di cookie di profilazione per l'invio di messaggi pubblicitari mirati;
(ii) evidenziare l'utilizzo (eventuale) di cookie di "terze parti", cioè di quei cookie installati da un sito diverso da quello che si sta visitando;
(iii) indicare un link che indirizzi l'utente all'informativa estesa;
(iv) evidenziare che proseguendo nella navigazione,cioè visitando altre pagine o sezioni del sito ovvero selezionando tra un link o cliccando su una qualsiasi immagine ivi presenti, si presta il consenso all'uso dei cookie di cui al precedente punto (i).
Come precisato dal Garante, il banner contenente l'informativa breve deve essere tale da costituire una discontinuità, seppur breve, dell'esperienza di navigazione: occorrerà quindi sempre un comando attivo dell'utente (es., click su un pulsante presente nel banner o nella pagina sottostante) - e non la scomparsa automatica al decorso di un determinato periodo di tempo - per il superamento della presenza del banner al video. Inoltre, il banner dovrà avere caratteri più evidenti rispetto a quelli del sito e un colore di fondo contrastante rispetto allo sfondo del sito e al testo del banner medesimo.
Solo ove l'utente abbia effettivamente espresso la propria preferenza in relazione all'installazione dei cookie, il banner non dovrà essere più visualizzata alle successive visite del medesimo utente.
Della scelta eseguita la prima volta dall'utente è possibile, inoltre, tener traccia grazie all'introduzione di un apposito cookie tecnico, tale da evitare la riproposizione del banner e dell'informativa in occasione di tutte le successive visite del medesimo utente sullo stesso sito web, ferma restando la facoltà per l'utente di modificare, in qualsivoglia momento, le proprie scelte in materia di consenso all'uso dei cookie di profilazione.
L'informativa estesa, oltre a prevedere ovviamente tutti gli elementi richiesti dall'art. 13 del Codice Privacy, dovrà contenere le indicazioni sull'uso dei cookie inviati dal sito, descrivendo in maniera specifica e analitica le caratteristiche e le finalità dei cookie ivi installati, dare la possibilità all'utente di negare il consenso alla installazione degli stessi, direttamente da quella pagina ovvero collegandosi ai siti, alle informative privacy e ai moduli di consenso di ciascuna "terza parte" e, infine, richiamare la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato, specificando il percorso da seguire a seconda del modello di browser. Tale informativa dovrà essere raggiungibile non solo dal link presente nell'informativa breve, bensì da un link posizionato nel cd. footer di qualsivoglia pagina del sito, ovvero integrata nella privacy policy di quest'ultimo.
Il termine per adeguare ciascun sito web a quanto prescritto dal Garante con il provvedimento n. 229/2014 è il 2 giugno 2015. Tanto l'informativa breve quanto quella estesa dovranno, in ogni caso, essere strutturate in armonia con quanto effettivamente presente nel sito in termini di cookie, al fine di evitare di incorrere nelle sanzioni previste dal Codice Privacy.
Queste ultime variano, infatti, da un minimo di euro 6.000,00 a un massimo di euro 36.000,00 in caso di omessa informativa ovvero di informativa inidonea, e da un minimo di euro 10.000,00 a un massimo di euro 120.000,00 in caso di installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi.

Vetrina