Nonostante la scadenza del 3 giugno 2015 per adeguarsi alle norme europee in tema di cookie sia appena trascorsa (e da me commentata a maggio qui ) , il Garante è intervenuto ad apportare ulteriori nuove indicazioni in tema di cookie.
“I cookie sono piccoli file di testo che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”.
Al fine di tutelare gli utenti eventualmente profilati, la norma europea prevede in sostanza che gli stessi debbano essere preventivamente informati onde poter erogare, qualora lo desiderino, il loro preventivo consenso.
Il Garante ribadisce ora che:
– i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa;
– per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner.
Sul luogo in cui sono situati i siti e l’applicazione delle disposizioni normative inerenti i cookie, il Garante chiarisce che, anche se un sito non è presente come sede in Italia, se installa cookie sui terminali degli utenti utilizzando strumenti situati in Italia è tenuto ad applicare questa norma (cfr. art. 5, comma 2, del Codice privacy). Dunque, in tale senso, la norma italiana si applica anche ai siti che hanno sedi in Paesi extracomunitari. Gli obblighi infatti “si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia”.
In tema di cookie tecnici di terze parti, quali – cookie analytics realizzate e messe a disposizione di terze parti i siti che li utilizzano è stato chiarito che non debbano:
– procedere alla relativa notificazione al Garante;
– Adempiere agli obblighi normativi
quando vengano “adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP). L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano”.
In merito a questo tema il Garante chiarisce che:
“• I siti che non utilizzano cookie non sono soggetti ad alcun obbligo.
• Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.”
Sull’uso di piattaforme che installano cookie (per la gestione di cookie o dei widgets) invece il Garante auspica che sia cura delle stesse piattaforme piattaforme (molte delle quali open source), applicare strumenti di c.d. “privacy-by-design” realizzati sulla piattaforme stesse e messi a disposizione degli utilizzatori e gestori di siti.
In particolare vige il principio classico di utilizzare le minime informazioni richieste e dunque per gli utilizzatori la possibilità di installare solo cookie a loro necessari prevedendo di default quelli non tecnici che non necessitano la manifestazione del preventivo consenso.
Per chi realizza banner è stato chiarito che il loro ruolo è simile a quello di un intermediario tecnico pertanto quando installano cookie di profilazione derivanti da domini “terze parti” come gestori dei siti prima parte rimangono responsabili solo per questo tipo di gestione. Resta inteso che il consenso all’uso dei cookie terze parti dovrà essere documentabile mentre l’utente dovrà poter effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione “ sulla base dei link aggiornati ai siti gestiti dalle terze parti.
Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
L’informativa all’utente va mirata alla sua personale profilazione e non a quella generalista effettuata su tutti gli utenti pertanto anche le richieste di consenso (presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti) potranno essere riferiti e a categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali e non necessariamente ai singoli cookie installati. Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
Sul come acquisire il consenso dell’utente all’uso dei cookie, è stato chiarito che l’uso del “scroll” ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web (usata specialmente dai dispositivi mobili) sono considerate generalmente conformi se chiaramente indicate nell’informativa ed “in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.”
Per chi realizza più siti web (es. editori titolari) è possibile effettuare una sola notifica al Garante indicando “tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco”. È infatti possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.