C’è già chi parla di sentenza storica. E in effetti, quella della Corte di Giustizia…
Cookie law, i chiarimenti del Garante privacy sull’attuazione della normativa
Dopo pochi giorni dalla scadenza dei termini per l’adeguamento alle nuove disposizioni in materia di cookie per gli spazi online, a fronte di “numerose richieste pervenute al Garante, provenienti in particolare da piccoli gestori”, l’Autorità ha diffuso una serie di chiarimenti rivolti ai titolari di siti e blog non ancora a loro agio con le stesse disposizioni che originano da una Direttiva europea modificata nel 2009 e recepita in Italia tre anni dopo; essa ha imposto di informare gli utenti di Internet ed acquisire un loro consenso preventivo sull’uso dei “biscottini”. Il Garante, ribadendo “l’importanza e la delicatezza della tematica, che ha l’obiettivo principale di tutelare gli utenti da profilazioni effettuate a loro insaputa sulla base dei loro comportamenti in rete”, afferma che “il provvedimento, la cui definitiva adozione è stata preceduta da una consultazione pubblica, ha inteso semplificare gli adempimenti previsti dalla norma ed ha lasciato ai destinatari un anno di tempo per adeguarsi”. Ambito di applicazione – Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento. Utilizzo di cookie analitici di terze parti – Come già chiarito nel provvedimento i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possono essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi). In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP). L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano. Uso di piattaforme che installano cookie – In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets. Al riguardo, la consapevolezza dei vincoli tecnologici esistenti aveva portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 per consentire una compiuta attuazione degli obblighi normativi. L’Autorità ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulle piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti. “Tali interventi – chiosa il Garante – dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal provvedimento”. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte – Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, risulta confermato che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico. “È bene precisare – sottolinea l’Autorità – che per la natura distribuita di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione”. Viene inoltre chiarito che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso. Al riguardo, viene ribadito che le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali. “Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti”. Modalità di acquisizione del consenso – Come noto, nel provvedimento è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie”. Al riguardo, si evidenzia che soluzioni per l’acquisizione del consenso basate su scroll, cioè sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente. Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU – In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, “si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento strumenti situati sul territorio dello Stato”. Notificazione in caso di realizzazione di più siti web – Il Garante ritiene “condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative”. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco. “Ulteriori chiarimenti – conclude l’Autorità – potranno essere forniti a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire”. Riassumendo:
- I siti che non utilizzano cookie non sono soggetti ad alcun obbligo;
- Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner;
- I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità;
- Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP) e la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone;
- Se sul sito ci sono link a siti terze parti (come banner pubblicitari o collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso;
- Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport);
- È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio;
- Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.
6 giugno 2015