I siti web dovranno essere messi in regola per l’utilizzo dei cookie entro il 3 giugno 2015, per ottemperare alle nuove regole europee in tema di privacy.
Secondo il Garante della Privacy “i cookie sono piccoli file di testo che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server e di norma sono presenti nel browser di ciascun utente in numero molto elevato.
La Direttiva 2009/136/CE che ha modificato la direttiva 2002/58/Ce (c.d. direttiva e-Privacy) in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, recepita in Italia dal DLgs. 69/2012, è intervenuta a modificare il nostro Codice della privacy (DLgs. 196/2003), introducendo il principio dell'”opt-in” in tutti i casi in cui si accede a o si registrano “informazioni” (cookie comprese) sul terminale dell’utente o dell’abbonato ed il Garante ha previsto un periodo transitorio di adeguamento che scadrà proprio il prossimo 3 giugno 2015, data a partire dalla quale i siti web dovranno essere opportunamente aggiornati.
L’obiettivo è far si che l’utente (navigatore) sia effettivamente informato chiaramente e completamente su ciò che capita ai propri dati personali (modalità e scopo del trattamento, eventuale profilazione, ecc.) in modo che possa esprimere validamente il proprio consenso in modo preliminare rispetto al trattamento effettuato (ex. Art. 5 par. 3 Dir. 2002/58/ce). Esistono parimenti alcuni tipi di cookie che invece non necessitano di preventivo esplicito consenso, ma unicamente di adeguata informativa, quando sono utilizzati “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Occorre informare il navigatore se chi installa i cookie sul terminale dell’utente, è lo stesso gestore del sito che l’utente sta visitando (“editore” nella veste di titolare del trattamento ai fini della normativa sulla privacy) o un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”, non considerabili contitolari del trattamento secondo le interpretazioni del Garante).
Il Garante ha pertanto suddiviso in due tipologie i cookie:
1. Cookie tecnici
2. Cookie di profilazione
____________________________________________
Cookie Tecnici
I cookie tecnici non necessitano di preventivo consenso mentre i cookie di profilazione si.
I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).
Sono quelli genericamente installati direttamente dal titolare o gestore del sito web e possono essere: – cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate).
Ne costituiscono esempio:
– i cookie di sessione utilizzati per “riempire il carrello” negli acquisti online,
– quelli di autenticazione, i cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, i cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc;
– cookie analytics, quando e se sono usati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
– cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso, quando perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata. In tal caso l’informativa però dovrebbe offrire all’utente la possibilità di opporsi con mezzi semplici (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
Cookie di Profilazione
I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.
Adeguamento dei siti internet
Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente, contenente le seguenti indicazioni:
“a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.”
Il banner, deve poter essere di altezza adeguato ad ospitare l’informativa, che seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. “In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).” E’ possibile per gli editori di ricorrere a modalità diverse da quella descritta per l’acquisizione del consenso online all’uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall’art. 23, comma 3, del Codice. Si allega un modello di banner:
Modello di banner
Sanzioni Nel caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati dall’apposito Provvedimento del Garante, oltre che nelle previsioni di cui all’art. 13 del Codice, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice). L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice). L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).