LegalNews: Le nuove regole in materia di privacy e cookies dei siti internet

In data 03 giugno 2015 entreranno in vigore le nuove regole dettate dal Garante della Privacy in materia di informativa semplificata e acquisizione del consenso per l’uso dei cookies da parte dei gestori di siti web: vediamo assieme le novità.

  
a-
+
I lettori mi perdoneranno se l’odierno contributo risulterà decisamente lungo e forse anche ostico; purtroppo però la materia è complessa e richiede di fornire molte nozioni perché l’informazione sia dignitosa. Chi avrà pazienza di leggere sino alla fine, però, spero che potrà dire di essere adeguatamente informato su una materia fondamentale per chiunque navighi nel web, con ricadute importantissime in materia di privacy.

Coloro che non sono gestori di siti web oppure appassionati di informatica forse non conoscono i cookies oppure non sanno che essi hanno funzioni fondamentali per permettere la navigazione di qualsiasi sito internet; il tema è oggetto del provvedimento del Garante della Privacy n. 229/2014 dell’08 maggio 2014, pubblicato nella Gazzetta Ufficiale n. 126 del 03 giugno 2014 e che entrerà in vigore in data 03 giugno 2015.

I cookies possono essere definiti come delle stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo browser, nel quale vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita da parte del medesimo utente. Essi generalmente – come rilevato dal Garante – sono presenti nei browser degli utenti in grande quantità ed hanno varie funzioni: infatti sono impiegati per permettere l’autenticazione dell’utente al sito, monitorare le sessioni di navigazione, per memorizzare informazioni relative a specifiche configurazioni scelte dall’utente per accedere al sito, per permettere allo stesso utente di verificare quali pagine del sito egli ha già visualizzato, ecc..

Se pensiamo anche solo a quante volte capita, accedendo ad es. ad un motore di ricerca, di verificare quali siti internet sono da noi già stati visitati, possiamo iniziare a farci un’idea, peraltro errata per difetto, di quanto i cookies siano largamente impiegati nei siti web. Moltissimi di essi, in realtà, non hanno funzioni che comportano una loro manifestazione per l’utente, che quindi non si accorge nemmeno che essi vengono installati sul suo computer.

I cookies fondamentalmente sono di due tipi: cookies tecnici e cookies di profilazione.

1. I cookie tecnici – come previsto dall’art. 122, co. I, del codice della privacy (TU n. 196/03) - vengono impiegati per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio. Essi quindi, non sono impiegati per scopi diversi dal permettere all’utente la fruizione del sito internet e consentire al gestore del sito la sua efficace amministrazione e normalmente vengono installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione (che permettono la navigazione e la fruizione del sito); cookie analytics (impiegati dal gestore del sito per raccogliere informazioni su quanti utenti visitano il sito e con quali modalità); cookie di funzionalità (che servono all'utente per fruire del sito con le modalità da esso scelte, ad es. la lingua). Per l'installazione di queste tipologie di cookie non viene richiesto – dunque - il consenso degli utenti, ma rimarrà l’obbligo per il gestore del sito di fornire l'informativa prevista dall'art. 13 del codice della privacy.

2. I cookie di profilazione – invece – permettono di creare un profilo dell'utente e sono impiegati per inviare messaggi pubblicitari che rispecchiano le preferenze che lo stesso ha manifestato nella navigazione. Ad es., si pensi a quando navigando si ricerca il nome dello smartphone del quale si valuta l’acquisto e, successivamente, accedendo ad altri siti si viene inondati di pubblicità relative alla vendita del modello oggetto della precedente richiesta, magari a prezzi concorrenziali: questo semplice esempio può forse dare lontanamente l’idea di quanto essi siano impiegati e al contempo siano utili per le imprese che operano sul web. L'art. 122 del codice della privacy sul punto prevede che l'archiviazione di tali informazioni nel computer dell’utente o l'accesso a informazioni di questo tipo che siano state in precedenza archiviate durante altre sessioni di navigazione sono consentiti solo se il diretto interessato ha fornito il proprio consenso, dopo essere stato adeguatamente informato con le modalità semplificate di cui all'articolo 13, co. III del medesimo codice.

Sotto il profilo soggettivo, i cookies possono venire installati sul computer dell’utente direttamente dall’editore (ossia il titolare o gestore del sito internet) oppure da altri soggetti per il tramite del sito dell’editore (le c.d. terze parti, generalmente grandi compagnie, anche multinazionali, che si occupano di rilevazioni e pubblicità).

Premesso quanto sopra per permettere al lettore di inquadrare in modo sufficientemente completo l’argomento, di seguito vedremo le novità introdotte dal Provvedimento del Garante n. 229/2014 che, come abbiamo visto, entreranno in vigore dal 03 giugno 2015. Prima, però, diamo un breve sguardo alle sanzioni previste in caso di inadempienza da parte dell’editore: si va da una sanzione amministrativa di € 6.000,00 per le violazioni più leggere, sino a sanzioni amministrative di € 120.000,00 per quelle più gravi. Si comprende, dunque, l’importanza di un perfetto adeguamento alle nuove regole per i titolari o i gestori di siti web.

Le nuove regole, come sopra accennato, concernono le modalità attraverso le quali l’editore potrà adempiere a due distinti obblighi:
1.quello di informativa all’utente, sia in caso di cookies tecnici che di profilazione;
2.quello relativo all’ottenimento del consenso da parte dell’utente, per i cookies di profilazione.
Vediamoli più nel dettaglio le novità.

Al momento dell’accesso alla home page (o ad altra pagina) di un sito, dal 03 giugno 2015 dovrà immediatamente comparire in primo piano un banner di dimensioni idonee, cioè sufficienti a causare una percettibile discontinuità nella fruizione dei contenuti nella navigazione della pagina web, che dovrà necessariamente contenere queste informazioni (prese testualmente dal Provvedimento del Garante):
a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:
• uso dei cookie tecnici e analytics;
• possibilità di scegliere quali specifici cookie autorizzare;
• possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.
Tale banner, come sopra accennato, dovrà costituire parte integrante dell'azione dell’utente che produrrà la manifestazione del consenso all’installazione dei cookies. Esso, cioè, dovrà essere superabile solo grazie ad un intervento attivo dell'utente, che dovrà selezionare un elemento contenuto nella pagina sottostante il banner stesso. Di ogni prestazione del consenso dell'utente dovrà ovviamente essere tenuta traccia da parte dell'editore, il quale potrà anche impiegare un cookie tecnico realizzato ad hoc. Grazie al consenso in precedenza prestato dall’utente, l'editore potrà non riproporre l'informativa breve alla seconda visita dello stesso utente sul medesimo sito, purché l’utente in qualsiasi momento possa decidere di mutare avviso, negando o modificando il consenso per ogni tipologia di cookie in modo agevole, tramite l’accesso all'informativa estesa, che dovrà essere linkabile da ogni pagina del sito.

L’informativa estesa cliccabile sia dal banner dell’informativa breve che da ogni altra pagina del sito web (grazie ad un riferimento in calce) dovrà invece contenere tutti gli elementi previsti dall'art. 13 del codice della privacy, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare l’installazione dei singoli cookie. All'interno della informativa estesa, inoltre, dovrà essere previsto anche un link alle informative e ai moduli di consenso delle terze parti, con cui l'editore abbia stipulato accordi per l'installazione di cookie tramite il proprio sito; in caso di contatti indiretti con terze parti, invece, l’informativa dovrà rimandare ai siti dei soggetti che svolgono la funzione di intermediari tra l’editore e tali terze parti. Al fine della predisposizione dell’informativa estesa, gli editori dovranno ottenere già in sede contrattuale dalle terze parti tali link. Infine, l’informativa estesa dovrà menzionare la possibilità per l'utente di effettuare la scelta in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del proprio browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

Avv. Mattia Tacchini Leggi QUI il post completo