Normativa cookie in Italia spiegata dal Garante

I cookie, piccole stringhe di testo che i siti visitati inviano al terminale dell’utente e che memorizzano una serie di dati per poi ritrasmetterli al server all’accesso successivo, rappresentano una traccia di “briciole” virtuali che i più o meno ignari utenti lasciano alle proprio spalle quando navigano su internet.

Nonostante il nome innocuo, i cookie presentano le più disparate caratteristiche e alcuni di essi possono celare delle finalità tutt’altro che limpide.

E’ nell’ottica di applicare il diritto alla riservatezza anche a questo strumento di raccolta dati, capillarmente diffuso sulla rete, che la normativa Europea in primis, e poi il Legislatore italiano (dd. llgss. 69/2012 e 70/2012, in attuazione delle Direttive comunitarie 2009/136/CE e 2009/140/CE) fissano delle regole precise in materia di cookies.

Tale normativa sui cookies è stata recentemente interpretata dal Garante della Privacy nel Provvedimento dell’8 maggio 2014, adottato in seguito ad una consultazione pubblica diretta a tutti i gestori dei siti e alle associazioni dei consumatori maggiormente rappresentative.

Non essendo possibile differenziare i cookie in base alle loro numerose caratteristiche tecniche, risulta più agevole diversificarli in virtù delle finalità a loro attribuite. Dalle considerazioni preliminari del Garante, pertanto, emergono così due macro-categorie, destinatarie di un diverso trattamento legislativo.

Se da un lato, infatti vi sono i cd. cookie “tecnici”, “utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“, per i quali, ex Art. 13 Codice Privacy, non è richiesto alcun consenso da parte degli utenti, ed è sufficiente un’informativa da parte dei gestori del sito, dall’altro, vi sono i cookie “di profilazione”, “volti a creare profili relativi all’utente e che vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”, per i quali è stato introdotto un nuovo regime di opt-in con l’obbligo del consenso esplicito dell’utente per l’installazione sul proprio terminale (Art. 122 Codice Privacy).

Ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice Privacy, i gestori dei siti devono informare gli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito nel momento in cui si accede alla home page (o ad altra pagina) di un sito web. Il Garante specifica che deve immediatamente comparire in primo piano un banner di “idonee dimensioni”, tale da costituire una “percettibile discontinuità nella fruizione dei contenuti della pagina”, contenente indicazione (i) dell’utilizzo di cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete, (ii) dell’invio di cookie “terze parti” (qualora ciò accada), (iii) del link all’informativa estesa (con ulteriori indicazioni circa l’uso dei cookie tecnici e analytics, la possibilità di scegliere quali specifici cookie autorizzare e la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser), (iv) della possibilità di negare il consenso all’installazione di qualunque cookie e (v) dell’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o che selezione di un elemento dello stesso comporta la prestazione automatica del consenso all’uso dei cookie.

Proprio ai fini della responsabilità circa il rilascio dell’informativa e l’acquisizione del consenso degli utenti online, rileva il fattore soggettivo: è infatti necessario identificare il soggetto che installa i cookie sul terminale dell’utente, che si tratti del gestore del sito (“editore”) o di un sito diverso (“terze parti”). Il Garante Privacy chiarisce a tal proposito che l’editore non è tenuto ad inserire sulla home page del proprio sito le informative dei cookie installate per suo tramite dalle terze parti poiché svolge un ruolo di mera intermediazione tecnica in tale senso. Tuttavia, per perseguire le finalità di tutela degli utenti che stanno alla base del provvedimento, il Garante ha previsto che gli editori rispettino comunque determinate linee guida con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti. L’editore assume così una posizione duplice: da un lato può essere destinatario dell’obbligo di informativa qualora i cookie siano installati direttamente dal suo sito, dall’altro, ai sensi dell’art. 154, comma 1, lett. c), del Codice Privacy, deve “acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)” per mantenere distinta la propria responsabilità da quella delle terze parti.

La normativa cookie in Italia illustrata in questa sede si pone perfettamente in linea con gli obiettivi comunitari di tutela della privacy, che mirano ad aumentare la consapevolezza degli utenti sulle informazioni disseminate in rete durante una semplice sessione di navigazione.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884