Garante Privacy: normativa sui cookie, cosa bisogna sapere?

Il 2 giugno terminerà il periodo transitorio concesso dal Garante Privacy per conformarsi al provvedimento del 18 maggio sui cookie: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Ossia, da quel momento in poi tutti gli utilizzatori di questi strumenti dovranno adeguarsi alle prescrizioni del Garante, se non vorranno incorrere nelle pesanti sanzioni pecuniarie previste per chi non le rispetti.

È certamente capitato a tutti, dopo aver navigato sul web e fatto delle ricerche, magari riguardanti un hobby o una passione, di veder comparire d’un tratto sui nostri account social o nella casella di posta elettronica messaggi pubblicitari di oggetti simili o comunque inerenti alle ricerche effettuate. Oramai quasi tutti sanno che a causare questi “fenomeni” sono proprio i cookie, ma forse non si comprende veramente cosa siano i cookie e che ingerenza possano avere nelle nostre vite.

Infatti, nonostante un discreto numero di siti internet (ancora troppo pochi, a dire la verità) possegga adeguate informative in merito ai cookie, la maggior parte degli internauti presta poca attenzione al contenuto delle stesse e molto spesso viene dato il consenso a trattamenti estremamente invasivi e pericolosi senza nemmeno rendersene conto.

I cookie, giova ricordarlo, sono delle informazioni trasmesse dai siti navigati al nostro PC che, a seconda della tipologia, possono avere impatti più o meno invasivi sulla nostra privacy.

Si possono avere diverse tipologie di cookie, ciascuna delle quali ha effetti molto differenti.

Si parte dai cookie tecnici, che sono quelli indispensabili alla corretta navigazione su un sito: essi sono finalizzati unicamente a effettuare la trasmissione di una comunicazione elettronica o, nella misura strettamente necessaria al fornitore, di un servizio esplicitamente richiesto dall’abbonato o dall’utente, senza perseguire scopi ulteriori [1]. Questa tipologia di cookie può essere ulteriormente divisa, ad esempio, in cookie di navigazione (o di sessione), che rendono possibile la navigazione del sito web; cookie analytics (o statistici), utilizzati dal gestore del sito al fine di raccogliere informazioni, in forma aggregata, sulla quantità di visitatori, sulle modalità con cui gli stessi navigano il sito e sui siti di provenienza; cookie funzionali, capaci di memorizzare alcuni fattori come ad esempio la lingua o i prodotti selezionati per l’acquisto, migliorando il servizio offerto.

L’installazione dei cookie tecnici è consentita anche senza il consenso preventivo, ferma restando, però, la necessità di predisporre un’informativa estesa (ai sensi dell’art. 13 del Codice Privacy) che fornisca all’utente informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito. Inoltre, qualora il sito utilizzi solo cookie tecnici (indipendentemente che siano di prima o di terza parte), non è necessario fornire all’utente l’informativa breve mediante banner.

Diversi dai cookie tecnici sono quelli cosiddetti di profilazione. Sono cookie capaci di raccogliere grandissime quantità delle informazioni diffuse dagli utenti durante la navigazione e di utilizzarle per inviare messaggi pubblicitari mirati e in linea con le preferenze palesate.

Alla luce delle conseguenze che possono nascere da un trattamento del genere, l’utilizzo dei cookie di profilazione è consentito – ai sensi dell’articolo 122, comma 1, del Codice Privacy – solo a condizione che l’utente abbia espresso il proprio consenso e sia stato adeguatamente informato (ai sensi dell’articolo 13 del citato Codice).

A tal proposito, l’Autorità Garante ha fornito – con il provvedimento citato – una semplificazione per quanto concerne l’obbligo di informativa, stabilendo che il gestore del sito web potrà mostrare su qualsiasi pagina di primo accesso al sito una semplice “informativa breve” tramite un banner dinamico, che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti. In particolare, il banner dovrà preferibilmente avere le seguenti caratteristiche:

–          dimensioni tali da essere facilmente visibile o – in alternativa – espandibile (ad esempio, strip autoespandibile o pushbar);

–          caratteri più evidenti rispetto a quelli del sito;

–          un colore del fondo contrastante rispetto a quello del sito e al testo del banner stesso.

La stessa Autorità ha, altresì, semplificato le modalità di acquisizione del consenso, stabilendo che l’utente può esprimerlo – direttamente e come indicato nel banner – anche mediante una serie di azioni quali:

–          scorrimento (c.d. scroll down);

–          click su uno dei link interni della pagina;

–          click sul tasto “OK”, “Chiudi” o sul tasto “X” eventualmente presente.

Nondimeno, va precisato che mentre per i cookie tecnici non è stabilito l’obbligo di notificazione preventiva, per poter installare cookie di profilazione è, invece, necessario tale adempimento, così come stabilito dall’art. 37 comma 1 lett. d) del Codice Privacy.

Ulteriore differenziazione che è possibile effettuare è quella tra cookie di prima e terza parte. È molto frequente, infatti, che navigando su un sito ci si imbatta in cookie di soggetti diversi dall’editore del sito principale. Questa ulteriore distinzione non è di poco conto, considerato il fatto che sulla base dell’individuazione del soggetto che invia i cookie vengono delineati ruoli e responsabilità in merito alla predisposizione dell’informativa per l’acquisizione del consenso.

Come si è scritto prima, dal prossimo 2 giugno per essere conformi al provvedimento dell’Autorità Garante sarà necessario mettere a disposizione degli internauti un’informativa chiara (che sia estesa o breve non fa differenza) che consenta a questi ultimi di esprimere un consenso consapevole all’uso dei cookie.

Tale nuova regolamentazione, inoltre, grazie al provvedimento del Garante “Linee guida in materia di trattamento di dati personali per profilazione on line” del 19 marzo 2015, è stata estesa anche ad altre tecnologie similari che vengono utilizzate dagli operatori del web: ci si riferisce, in particolare, a chi fa profilazione on line mediante l’utilizzo di altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern). Tale tecnica, denominata “fingerprinting”, poiché utilizzata per il conseguimento delle medesime finalità di profilazione (al pari dell’impiego dei cookie), viene anch’essa disciplinata dall’art. 122 del Codice Privacy e, quindi, sottoposta all’obbligo di acquisizione del consenso preventivo dell’interessato (tranne i casi di esenzione previsti e consistenti nella sola trasmissione di una comunicazione su una rete di comunicazione elettronica o erogazione del servizio su richiesta dell’utente).

Le sanzioni stabilite in caso di mancato rispetto delle prescrizioni previste nel provvedimento del Garante possono raggiungere entità piuttosto sostanziose. Si va da un minimo di seimila fino a trentaseimila euro in caso di mancata o inidonea informativa; da diecimila fino a centoventimila euro, invece, per la mancata acquisizione del consenso preventivo; e, infine, l’omessa o incompleta notificazione al Garante ai sensi dell’art 161 è punita con una somma variabile da ventimila a centoventimila euro.

Tempi duri, dunque, si prospettano per quei siti internet che dopo il 2 giugno non opereranno conformemente alle prescrizioni del Garante in materia di cookie.

[1] Art 122, comma 1 del Codice Privacy.