Garante Privacy: consultazione pubblica sull’informativa per l’utilizzo dei cookie,

Nella pratica commerciale, molte aziende spesso acquisiscono clienti mediante tecniche di marketing mirate, effettuate attraverso strumenti e tecnologie sempre più sofisticate e invadenti. Uno dei metodi comunemente utilizzati è quello di raccogliere informazioni sui siti visitati dall’utente/consumatore per inviargli pubblicità “mirata” profilandone gusti e abitudini.
Tale attività è possibile grazie all’utilizzo dei c.d. “cookie”1  ovvero piccoli file di testo che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Inoltre, come ha avuto modo di spiegare anche l’Autorità Garante Privacy mediante la pubblicazione di alcune “Faq in materia di cookie“2, nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie di siti o di web server diversi (c.d. cookie di "terze parti"3) quando, ad esempio, sul sito web visitato sono presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini) che risiedono su server diversi da quello sul quale si trova la pagina richiesta e cioè sono impostati da un sito web differente rispetto a quello che si sta in quel momento visitando.

I cookie, quindi, si trovano disseminati nel browser di ciascun utente e sono generalmente usati per eseguire autenticazioni informatiche, per il monitoraggio di sessioni e la memorizzazione di informazioni specifiche sugli utenti che accedono al server. Molte delle attività che comunemente compiamo attraverso la navigazione in internet sono possibili solo grazie all’utilizzo dei cookie, che in alcuni casi sono, quindi, tecnicamente necessari.
Il tempo di permanenza dei cookie all’interno del browser dell’utente non è predeterminato (può essere anche lungo) ed essi possono contenere inoltre un codice identificativo unico per consentire ai siti che li utilizzano di tenere traccia della navigazione dell’utente (per finalità statistiche o pubblicitarie ovvero per crearne un profilo personalizzato e mostrargli pubblicità mirate).

Alla luce delle recenti modifiche legislative di derivazione europea, tuttavia, i gestori dei siti web non potranno più installare sul terminale degli utenti cookie per finalità di profilazione e marketing o che presentano un certo grado di invasività, senza aver prima adeguatamente informato gli utenti e aver acquisito un loro valido e preventivo consenso.

L’art. 122, comma 1, del Codice Privacy, in materia di informazioni raccolte nei riguardi del contraente o dell’utente, infatti, recentemente modificato dall’art. 1, comma 5, lett. a), del d.lgs. n. 69/2012, impone al gestore l’adozione di un sistema sostanzialmente basato sull’opt-in per il trattamento di tali informazioni.
In seguito a tale modifica, poi, il 19 dicembre 2012, l’Autorità Garante ha avviato una consulatazione pubblica, al fine di individuare le modalità più idonee a soddisfare quest’obbligo e predisporre così un modello di informativa c.d. “breve” (art. 13, comma 3, del Codice Privacy) che possa essere utilizzata dai titolari del trattamento dei dati (gestore del sito web), al fine di rendere edotti tutti coloro che navigano nel web su quali cookie vengano utilizzati e con quali modalità e che possa garantire un’adeguata protezione dei dati personali di tutti gli interessati.

D’altronde, già la direttiva c.d. “e-Privacy” (2002/58/CE) – modificata nel 2009 da un’altra direttiva (2009/136) – aveva introdotto il principio basato sul concetto di “opt-in” in tutti i casi in cui si accede a o si registrano "informazioni" come i cookie sul terminale dell’utente o dell’abbonato. Gli adempimenti obbligatori sono fornire un’informativa chiara e completa in merito alle modalità e finalità del trattamento dei dati dell’utente e acquisire un suo valido consenso, preliminare al trattamento nei casi in cui ciò sia espressamente dovuto.
Il consenso, infatti, non sempre è necessario; d’altronde, alcuni cookie tecnici o di sessione sono indispensabili in quanto senza il loro uso la navigazione o alcune operazioni sul sito web sarebbero molto difficoltose, se non addirittura impossibili da eseguire. L’archiviazione tecnica, quindi, se effettuata solo per rendere possibile la trasmissione di una comunicazione su una rete di comunicazione elettronica o per fornire all’utente un servizio da esso richiesto è sicuramente da ritenersi lecita (anche in assenza di consenso, ma sempre previa informativa). 

Con le nuove regole europee introdotte in Italia dal recepimento della normativa comunitaria, quindi, le conseguenze sono di due tipi:
i cookie c.d. “tecnici” (o si sessione) possono essere utilizzati anche senza consenso dell’utente, ma sarà comunque obbligatorio per i gestori dei siti web fornire l’informativa ex art. 13 d.lgs. 196/2003 in maniera semplice, chiara e comprensibile, per informare gli stessi della loro presenza;
per tutti i cookie “non tecnici” (ovvero quelli che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore) sarà obbligatorio invece acquisire il consenso preventivo e informato dell’utente4.

Per acquisire correttamente il consenso degli utenti all’uso dei cookie, in adempimento all’art. 23 del Codice Privacy e secondo quanto previsto dalla direttiva 2009/136/CE, il gestore del sito web può utilizzare specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Pur essendoci allo stato attuale diverse forme attraverso cui adempiere a tale obbligo, l’Autorità Garante Privacy, nell’intento dichiarato di non escludenderne anche delle nuove, ne ha richiamate alcune:
– le impostazioni presenti nei comuni browser, che consentono o meno la memorizzazione dei cookie nei terminali usati per la navigazione in Internet e che di norma permettono anche di impostare le regole dei cookie in modo che non vengano accettati quelli di “terze parti”. Alcuni consentono anche di bloccare i cookie di alcune terze parti e non di altre, tramite una funzione che permette di indicare da quali domini consentire l’invio di cookie;
– gli specifici programmi che possono essere aggiunti al browser (c.d. plug-in), che specializzano le funzioni comunemente rese disponibili dai software per la navigazione e che possono essere configurati dall’utente per effettuare una selezione dei cookie sulla base dei domini di provenienza;
– il c.d. “do not track”, che consente all’utente di segnalare a ciascun sito visitato la sua volontà di essere o meno tracciato nel corso della navigazione.

Alcuni chiarimenti sulle modalità di acquisizione del consenso sono già arrivate dal Gruppo Art. 29 che, nel recente parere sulla Direttiva comunitaria 2009/136/CE (che ha novellato le disposizioni di cui all’articolo 122 del Codice Privacy), ha fornito alcuni chiarimenti, specificando che l’impostazione del browser in modo tale che accetti qualsiasi cookie (impostato così di default) non equivale a prestare in maniera corretta il consenso, poiché l’utente deve sempre avere l’opportunità di manifestare la propria volontà in maniera espressa e con specifico riguardo a ciascun trattamento per il quale il consenso è richiesto.

Questi nuovi adempimenti, se da un lato tutelano maggiormanente la riservatezza dei navigatori della rete internet, dall’altro potrebbero rendere più difficile per le aziende la raccolta di alcuni dati personali strategici relativi agli utenti, perché utilizzati ai fini di profilazione e di invio di pubblicità commerciale (direct maketing ed e-mail marketing), ponendo fine a quello che sino ad oggi si è configurato come un trattamento occulto di dati in danno agli ignari utenti della rete.
Occorre sottilineare, inoltre, che le sanzioni ricollegabili a un eventuale mancato adeguamento sono di carattere amministrativo, come quelle previste dall’articolo 161 (Omessa o inidonea informativa) e dall’articolo 163 (Omessa notifica) del Codice Privacy, e potranno arrivare a cifre elevate in caso di eventuali operazioni di profilazione, che comportano in capo al gestore del sito web anche l’obbligo di notifica al Garante Privacy, vista la quasi sicura applicazione dell’articolo 164 bis, comma 2, 3 e 4 del Codice Privacy, relativo alle ipotesi aggravate.

Infine, anche in vista della prossima emanazione del Regolamento Europeo sulla privacy, che sostituirà l’attuale Codice Privacy italiano, si ritiene che tali misure saranno ugualmente applicabili: la Commissione europea, infatti, al Considerando 25 (che disciplina i marcatori/cookie) ha stabilito che “il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all’interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un’apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo”.

1 I cookie vengono spesso utilizzati dai gestori dei siti web per riconoscere l’utente che ha avuto accesso a un’area riservata per non costringerlo ad autenticarsi nuovamente ad ogni cambio pagina (cookie di sessione), per ricordare le sue preferenze personali (come, ad esempio, la scelta della lingua), per agevolare alcune operazioni di commercio elettronico (salvataggio nel carrello dei prodotti prescelti e da acquistare, sino a profilare l’utente, registrando i siti visitati, le abitudini di navigazione dell’utente, etc.).

 2 Si tratta di un documento che l’Autorità Garante ha emanato per chiarire meglio il funzionamento dei vari cookie in cui l’utente si può imbattere durante la navigazione.

 3 Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti”, tuttavia, l’informativa e l’acquisizione del consenso sono di norma a carico del terzo, anche se l’onere di informarlo rimane a carico del gestore del sito web visitato dall’utente. Entrano in gioco qui, assumendo un’importanza fondamentale, gli accordi scritti con i gestori dei siti web delle “terze parti”, con cui è possibile regolamentare i rispettivi compiti e responsabilità (il consenso, ad esempio, potrebbe essere acquisito dalle terze parti per il tramite del sito della “prima parte”: i diversi gestori coinvolti, infatti, devono avere cura di disciplinare i propri rispettivi ruoli con riguardo ai rapporti tra titolare e responsabile del trattamento conformemente alla normativa in materia di protezione dei dati personali).
 
 4 Per stabilire quali cookie non sono soggetti a consenso, la Commissione europea ha individuato quattro categorie:
  1) Strictly necessary cookie, senza i quali la trasmissione di una comunicazione su rete elettronica non sarebbe possibile e che sono collegati a un servizio espressamente richiesto dal visitatore, es. quelli del carrello virtuale nei siti di e-commerce. Qui il consenso non è necessario.
  2) Performance cookie, che raccolgono informazioni sull’uso del sito da parte dei visitatori, in maniera anonima e senza profilazione. (es.Google Analytics, advertising e pay per click). Se trattano dati in forma anonima ed aggregata non è necessario il consenso.
  3) Functionality cookie, che servono a ricordare le scelte dell’utente e automatizzano alcune procedure (come il login), oppure personalizzano l’accesso e la navigazione del sito (es. la lingua dell’utente). Qui il consenso non è necessario.
  4) Targeting o Advertising cookie, ovvero i cookie pubblicitari che consentono la profilazione degli utenti al fine di fornire pubblicità mirata, legati spesso a siti di terze parti, che raccolgono informazioni relative alla navigazione degli utenti
Qui non solo il consenso è necessario ma, ai sensi dell’art. 37 del Codice della privacy, vi è l’obbligo della notifica preventiva al Garante.