Già nel 2012 avevamo diffusamente trattato la delicata tematica dei cookie e della loro disciplina alla luce delle modifiche all’art. 122 del Codice Privacy apportate dal d.lgs. n. 69/2012 in attuazione della direttiva 2009/136/CE. Ora, a distanza di due anni (e in particolare a fronte della diffusione dei cookie con finalità di profilazione e marketing senza la preventiva informativa agli utenti e la raccolta del loro consenso) il Garante Privacy ha avvertito l’esigenza di approfondire l’argomento fornendo con il provvedimento generale n. 229 dell’08.05.2014 un’analisi completa del fenomeno.
Di seguito si segnalano gli aspetti più significativi del provvedimento:

a) il Garante individua due macro-categorie di cookie: quelli “tecnici” e quelli “di profilazione”.
I. I cookie tecnici sono così denominati in quanto utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“.
Tale categoria comprende i cookie di navigazione o di sessione che garantiscono la normale navigazione e fruizione del sito web (permettendo di realizzare un acquisto o autenticarsi per accedere ad aree riservate); i cookie analytics utilizzati dal gestore del sito per raccogliere informazioni sul numero degli utenti e sulle visite del sito stesso; i cookie di funzionalità che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (i.e. lingua, prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice.
II. I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. L’invasività di tali dispositivi comporta che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

b) L’informativa di cui all’art. 13 del Codice (compresa la descrizione dei singoli cookie) è su due livelli di approfondimento successivi. L’idea di fondo è che al momento di accesso al sito web debba essere presentata all’utente una prima informativa “breve”, integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.
In ottica di semplificazione, è peraltro necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve, mentre gli utenti che desiderino avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.
I. L’informativa breve deve immediatamente comparire nel momento in cui si accede alla home page (o ad altra pagina) di un sito web ed è contenuta in un banner di idonee dimensioni – ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando – posto primo piano e il cui superamento deve essere possibile solo mediante un intervento attivo dell’utente.
L’informativa deve contenere le seguenti indicazioni:
A) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
B) che il sito consente anche l’invio di cookie “terze parti” (ovvero di soggetti esterni rispetto al gestore del sito / editore);
C) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
D) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
E) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
II. L’informativa estesa – raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima – deve contenere tutti gli elementi previsti dall’art. 13 del Codice e deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
All’interno dell’informativa deve:
A) essere inserito il link aggiornato alle informative e ai moduli di consenso delle “terze parti” con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito;
B) qualora l’editore abbia contatti indiretti con le terze parti, devono essere linkati i siti dei soggetti che fanno da intermediari tra lui e le stesse parti;
C) essere prevista la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

c) L’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lettera d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti“.

d) Valutata la portata del provvedimento e l’impatto economico che la disciplina dei cookie avrà sul settore dell’ICT, il Garante ha previsto un periodo transitorio di un anno per consentire ai soggetti interessati di adeguarsi alle procedure indicate.

e) In caso di mancato rispetto della disciplina in materia di cookie le sanzioni previste sono:
I. sanzione amministrativa da € 6.000,00= a € 36.000,00= per l’omessa informativa o la informativa inidonea;
II. sanzione amministrativa da € 10.000,00= a € 120.000,00= per l’installazione di cookie senza il preventivo consenso degli utenti;
III. sanzione amministrativa da € 20.000,00= a € 120.000,00= per l’omessa o incompleta notificazione al Garante.

The following two tabs change content below.
Diego D'Agostini
Avvocato civilista interessato alle tematiche di diritto bancario, finanziario, societario e fallimentare. Appassionato di diritto delle nuove tecnologie e gambling.