I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra.    

Cookie e privacy

Dal 2 giugno 2015 parte l'obbligo per tutti i siti web di adeguarsi alla normativa cookie e privacy

 

 

 

1. Considerazioni preliminari.

 

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dovevengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso dellanavigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d."terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altridomini) presenti sul sito che lo stesso sta visitando.

 

I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampiapersistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni,memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

 

Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono dellecaratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In taledirezione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, haricondotto l'obbligo di acquisire il consenso preventivo e informato degli utenti all'installazione di cookie utilizzati per finalità diverseda quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l'art. 122 del Codice).

 

Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macro-categorie: cookie "tecnici" e cookie "diprofilazione".

 

   Cookie tecnici.

 

I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazioneelettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiestodall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).

 

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possonoessere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web(permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati aicookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degliutenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una seriedi criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.

 

Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa aisensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene piùidonee.

 

   Cookie di profilazione.

 

I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in lineacon le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che talidispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debbaessere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.

 

Ad essi si riferisce l'art. 122 del Codice laddove prevede che "l'archiviazione delle informazioni nell'apparecchio terminale di uncontraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente ol'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3"(art. 122, comma 1, del Codice).

 

2.   Soggetti coinvolti: editori e "terze parti".

 

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè,tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sitoche l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramitedel primo (c.d. "terze parti").

 

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicativenga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento alrilascio dell'informativa e all'acquisizione del consenso degli utenti online.

 

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire ilconsenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".

In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimentidelle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e lefinalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conoscedirettamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti.Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto moltocomplesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.

 

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori ditenere traccia anche di queste modifiche successive.

 

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la partepiù "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico,servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

 

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home pagedel proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbeperaltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosaper l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anchel'intento di semplificazione previsto dall'art. 122 del Codice.

 

Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per leragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instauranoun rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.

 

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, nonpotendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene correttoconsiderarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti,sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consensodegli utenti online con riguardo ai cookie delle terze parti.

 

3.   Impatto della disciplina in materia di cookie sulla rete.

 

I cookie svolgono diverse e importanti funzioni nell'ambito della rete. Qualunque decisione in merito alle modalità di informativa econsenso online, riguardando in pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impatto su un numero enorme disoggetti, che presentano peraltro, come si è detto, natura e caratteristiche profondamente diverse tra loro.

 

Il Garante, consapevole della portata della presente decisione, ritiene pertanto necessario che le misure prescritte nella stessa -aisensi di quanto previsto dall'art. 122, comma 1, del Codice siano, da un lato, tali da consentire agli utenti di esprimere scelterealmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (come previstodall'art. 23 del Codice) e, dall'altro, presentino il minore impatto possibile in termini di soluzione di continuità della navigazione deimedesimi utenti e della fruizione, da parte loro, dei servizi telematici.

 

Di tali opposte esigenze, emerse chiaramente anche in occasione della consultazione pubblica e degli incontri tenuti dall'Autorità, sitiene conto in primo luogo nella determinazione delle modalità con le quali rendere l'informativa in forma semplificata.

 

È peraltro convinzione del Garante che i due temi, dell'informativa e del consenso, vadano necessariamente trattati in manieracongiunta, onde evitare che il ricorso a modalità di espressione del consenso online che richiedano operazioni eccessivamentecomplesse da parte degli utenti vanifichino la semplificazione realizzata nell'informativa.

 

4.   L'informativa con modalità semplificate e l'acquisizione del consenso online.

 

Ai fini della semplificazione dell'informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall'art. 13 del Codice(compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi.

 

Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner acomparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa"estesa", alla quale si accede attraverso un link cliccabile dall'utente.

 

Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all'uso dei cookie sia inserita proprio nelbanner contenente l'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare leproprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre altesto dell'informativa estesa, la possibilità di esprimere scelte più specifiche.

 

4.1. Il banner contenente informativa breve e richiesta di consenso.

 

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparirein primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione deicontenuti della pagina web che si sta visitando contenente le seguenti indicazioni:

 

  1. a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestatedall'utente nell'ambito della navigazione in rete;
  2. b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
  3. c) il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilitàdi scegliere quali specifici cookie autorizzare;
  4. d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
  5. e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elementodello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.

 

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parteintegrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. In altre parole, esso devedeterminare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza del banner al videodeve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nellapagina sottostante il banner stesso).

 

Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l'acquisizione delconsenso online all'uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall'art. 23, comma 3,del Codice.

 

In conformità con i principi generali, è necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenutatraccia da parte dell'editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembraparticolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

 

La presenza di tale "documentazione" delle scelte dell'utente consente poi all'editore di non riproporre l'informativa breve allaseconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/omodificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito, ad esempio tramiteaccesso all'informativa estesa, che deve essere linkabile da ogni pagina del sito.

 

4.2. L'informativa estesa.

 

L'informativa estesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice, descrivere in maniera specifica e analitica lecaratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie. Deveessere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito,collocato in calce alla medesima.

 

All'interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze particon le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti conle terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l'eventualità chetali collegamenti con le terze parti siano raccolti all'interno di un unico sito web gestito da un soggetto diverso dall'editore, come nelcaso dei concessionari.

 

Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all'informativa resa e al consensoacquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fasecontrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

 

Nel medesimo spazio dell'informativa estesa deve essere richiamata la possibilità per l'utente (alla quale fa riferimento anche l'art.122, comma 2, del Codice) di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso leimpostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologieutilizzate dal sito siano compatibili con la versione del browser utilizzata dall'utente, l'editore potrà predisporre un collegamentodiretto con la sezione del browser dedicata alle impostazioni stesse.

 

5.   Notificazione del trattamento.

 

Si ricorda che l'uso dei cookie rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett.d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o sceltedi consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamenteindispensabili per fornire i servizi medesimi agli utenti".

 

L'uso dei cookie è, invece, sottratto all'obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli "relativi all'utilizzo di marcatorielettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiaturaterminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile,all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato in GazzettaUfficiale del 6 aprile 2004 n. 81).

 

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza neltempo, sono soggetti all'obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookietecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento), non debbono esserenotificati al Garante.

 

 6.  Tempi di adeguamento.

 

Come già evidenziato in precedenza, il Garante è consapevole dell'impatto, anche economico, che la disciplina sui cookie avràsull'intero settore della società dei servizi dell'informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dareattuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

 

In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione dellapresente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere dellemodalità semplificate ivi individuate.

 

7.   Conseguenze del mancato rispetto della disciplina in materia di cookie.

 

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelleprevisioni di cui all'art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

 

L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione delpagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

 

L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, èsanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

 

TUTTO CIO' PREMESSO IL GARANTE

 

   ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice -ai fini dell'individuazione delle modalità semplificateper l'informativa che i gestori di siti web, come meglio specificati in premessa, sono tenuti a fornire agli utenti in relazione aicookie e agli altri dispositivi installati da o per il tramite del proprio sito stabilisce che nel momento in cui si accede alla homepage (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensionicontenente le seguenti indicazioni:

  1. a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenzemanifestate dall'utente nell'ambito della navigazione in rete;
  2. b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
  3. c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

 

   uso dei cookie tecnici e analytics;

   possibilità di scegliere quali specifici cookie autorizzare;

   possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito ancheattraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare taliimpostazioni;

 

  1. d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunquecookie;
  2. e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di unelemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso deicookie;

   ai sensi dell'art. 154, comma 1, lett. c), del Codice ai fini di mantenere distinta la responsabilità dei gestori di siti web, comemeglio specificati in motivazione, da quella delle terze parti prescrive ai medesimi gestori di acquisire già in fase contrattualei collegamenti (link) alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookiedelle terze parti (con ciò intendendosi anche i concessionari).

 

Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia ai fini della sua pubblicazionesulla Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti.

 

Roma, 8 maggio 2014

 

IL PRESIDENTE

Soro

 

IL RELATORE

Soro

 

IL SEGRETARIO GENERALE

Busia