Cookie law: come adeguarsi alla normativa sui cookie

• I cookie sono strumenti utilizzati per reperire informazioni sulle preferenze degli utenti. Esistono diverse tipologie di cookie, i quali, in realtà, non esauriscono gli strumenti di tracciamento.
• La disciplina dei cookie incide sul diritto alla privacy, alla riservatezza e il diritto al controllo dei dati personale.
• I cookie, interagendo su predetti diritti, devono essere oggetto di specifico consenso, che deve essere espresso e non equivoco.

Nell’articolo dedicato al diritto alla privacy abbiamo già spiegato a cosa la legge si riferisca quando parla di privacy e quali siano le modalità legali di trattamento dei dati personali.

Qui, invece, andremo a descrivere la speciale disciplina in materia di trattamento dei dati personali nel settore delle comunicazioni elettroniche, nonché, le ultime novità introdotte in materia di informativa sui cookie: la cosiddetta Cookie law.

Nel seguente articolo, ti spiegheremo dunque cosa sono i cookie, cosa si intende per sistemi di tracciamento e come deve essere prestato il consenso.

Ti diremo quali sono le varie tipologie di cookie, le differenze tra cookie tecnici, di profilazione e analitici. Ci occuperemo poi anche della disciplina normativa dettata dal Garante della privacy nelle linee guida pubblicate nel 2021.

Cookie law: cos’è

Il decreto legislativo n. 196/2003 prevede modalità speciali di trattamento per settori particolari. Uno di questi è il settore delle comunicazioni elettroniche.

In particolare, il Codice contiene, agli articoli 121 e seguenti, norme che indicano delle specifiche modalità di trattamento di dati dettate per i titolari che forniscono servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.

Di recente, questa parte della normativa ha subito importanti modifiche adottate con decreto legislativo n. 69 del 2012 che, nell’ottica di un rafforzamento della privacy in rete auspicata da due direttive europee – le direttive 2009/136/CE e 2009/140/CE – ha previsto delle modalità di trattamento più garantiste per l’utente e, per converso, oneri maggiori per il fornitore del servizio.

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Cookie law: normativa

L’art. 122 del Codice della Privacy dispone adesso, al comma 1, che l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3.

Il comma 2 stabilisce che, ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

È proprio riguardo a questa ultima disposizione che il Garante per la privacy ha adottato un provvedimento (n. 229 del 8 maggio 2014) recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

Esso mira a specificare quali modalità il fornitore del servizio di comunicazione elettronica debba adottare per l’utilizzo dei cookie, i quali, presupponendo la raccolta e la conservazione di dati personali, necessitano del consenso dell’utente cui i dati si riferiscono.

Al riguardo, il Garante prevede due distinte modalità di ottenimento del consenso da adottare rispettivamente nel caso di cookie c.d. tecnici e cookie di profilazione.

Ti potrebbe anche interessare leggere: Influencer e diritto di immagine: regole, compensi, tassazione

1) Cookie tecnici

I cookie tecnici sono utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio, pertanto, per la loro installazione, non è richiesto il preventivo consenso degli utenti.

Resta fermo, però, l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Con riguardo ai cookie tecnici, dunque, la normativa prevede a carico del gestore l’obbligo di dare all’utente l’informativa sul trattamento dei dati di cui all’art. 13 del Codice, ma non impone anche delle specifiche modalità per fornirla potendo, infatti, utilizzare quelle che egli ritenga più idonee. Non è imposta la necessità di ottenere il previo consenso dell’interessato.

Potrebbe interessarti anche leggere: Wokefishing: cos’è e come difendersi

2) Cookie di profilazione

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

È proprio ai cookie di profilazione che si riferisce l’art. 122 del Codice della Privacy quando richiede la necessità di ottenere il consenso per la conservazione dei dati personali dell’utente. Il consenso può essere ottenuto tramite l’utilizzo delle modalità semplificate indicate nell’art. 122 prima menzionato.

A tal proposito il Garante ha previsto, a titolo esemplificativo, che una modalità semplificata può essere la seguente: nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

Ti consigliamo anche di leggere: Influencer: è un vero lavoro? Come funziona dal punto di vista legale?

Consenso sui cookie di profilazione

In virtù del principio di semplificazione a cui si ispira la normativa sul trattamento dei dati personali in rete, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve.

Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche, compresa la scelta di non consentire al consenso.

In sostanza, l’informativa breve dovrà contenere tali indicazioni:

• che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
• che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
• il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics e viene data la possibilità di scegliere quali specifici cookie autorizzare;
• l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
• l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (per esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Ti consigliamo anche di leggere: Creare un profilo falso sui social è reato?

Cookie analitici

Un’altra categoria di cookie, presa in considerazione nelle linee guida del Garante della Privacy, è quella dei cookie analitici. Questi sono tali quando vengono utilizzati per misurare l’efficacia di un servizio della società di informazione. Sono considerati tecnici quando non consentono di identificare l’utente, per esempio, mascherando l’indirizzo IP.

L’uso di questo cookie deve essere limitato, anch’esso come gli altri cookie, al singolo sito web. Non può essere impiegato per il tracciamento cross site, cioè che tiene conto dei vari siti che vengono visitati dall’utente.

Inoltre, si fa divieto di incrociare i dati tratti medianti suddetto cookie con quelli di altri sistemi. Possono, però, essere effettuate analisi statistiche relative a più domini, siti web o app.

A questo proposito, leggi anche Come funziona il furto di identità online

Altri sistemi di tracciamento

Esistono poi ulteriori strumenti di tracciamento. Nelle linee guida del 2021, il Garante della Privacy ha distinto tra:

1. strumenti di tracciamento attivi come i cookie, i quali possono essere disattivati dall’utente, che può disabilitarli o impedirne l’installazione;
2. gli strumenti di tracciamento passivi, contro i quali l’utente non dispone di strumenti autonomi per tutelarsi. Infatti, in tal caso, sarà necessario contattare il titolare del trattamento dati, in particolare, il titolare del sito web.

Potresti trovare interessante anche: Falsi guru finanziari: come difendersi dalle truffe sul web

Fingerprinting: cos’è?

Il fingerprinting è un meccanismo di tracciamento alternativo ai cookie, particolarmente utilizzato di recente. Infatti, sempre più frequentemente, si usano blocchi ai cookie, che vengono disabilitati – quindi, sono diventati uno strumento non più particolarmente utile. Gli inserzionisti hanno pertanto avuto l’esigenza di individuare un nuovo strumento per il tracciamento.

Il fingerprinting è quindi un metodo per raccogliere le informazioni sui dispositivi e per individuare l’identità degli utenti. Tale sistema consente di creare l’identikit dell’utente, individuando:

• tipo di browser;
• plug-in attivi;
• fuso orario;
• la lingua;
• la risoluzione dello schermo;
• le impostazioni attive.

Una volta individuato questo profilo dell’utente, si iniziano a raccogliere le preferenze di ricerca. Poi i dati che vengono ricavati vengono confrontati con quelli di altri utenti. Non necessariamente, tuttavia, il sistema raccoglie anche l’identità effettiva dell’utente.

Ti consigliamo anche di leggere: Fare un giveaway è illegale?

Linee guida del Garante della Privacy

Il Garante della Privacy, nel 2021, ha introdotto delle linee guida, allo scopo di regolare compiutamente la disciplina dei cookies. Come abbiamo evidenziato, per la prima volta il Garante distingue tra modalità di tracciamento attive e passive.

Le nuove linee guida, in primo luogo, hanno previsto una serie di regole per la stesura dell’informativa sulla privacy. In particolare, si dispone che esse devono essere:

1. redatte con un linguaggio semplice ed accessibile;
2. multilayer, ossia dislocata su più livelli;
3. rese tramite più canali e modalità, deve essere, cioè, multicahannel, con il ricorso a pop-up informativi, interazioni vocali, chatbot e via discorrendo.

Divieto di cookie wall

Una delle previsioni più significative delle nuove linee guida riguarda il divieto di cookie wall. Con ciò si fa riferimento a tutti quei blocchi che i siti impongono se non si accettano i cookie. Ti sarà sicuramente capitato che qualche sito non ti lasci accedere a delle aree se non accetti prima i cookie.

Quindi, con le nuove linee guida, il Garante ha proibito questi sistemi, salvo siano rispettate specifiche condizioni. In primo luogo, è necessaria la verifica del rispetto dei principi del GDPR. Tuttavia, proprio perché è facile incorrere in violazioni, è preferibile non ricorrere ai cookie wall.

Potrebbe interessarti anche Influencer e diritto di immagine: regole, compensi, tassazione

Consenso raccolto tramite scolling

Il Garante ha poi vietato anche il consenso tramite scrolling, cioè semplicemente passando con il dito sul display e muovendolo verso l’alto. Molti siti avevano adottato come prassi quella dello scrolling per dare il consento al trattamento dei dati o per accettare i cookie.

Il Garante ha, invece, vietato questa modalità. Il consenso deve consistere in un atto positivo e volontario dell’interessato, il quale abbia anche dato lettura all’informativa. Lo scrolling è ammesso solo a specifiche condizioni e in casi eccezionali.

Si richiede l’adozione di un processo articolato. L’utente deve generare un evento, registrabile e documentabile presso il server su cui è collocato il sito. Tale evento deve essere tale da essere qualificato come un’azione positiva idonea ed equivalente alla manifestazione espressa del consenso.

Ciò implica che il titolare del trattamento dati deve strutturare un complesso pattern, in modo tale che sia possibile desumere una volontà chiara ed inequivocabile. Il titolare deve essere in grado di dimostrare l’acquisito consenso.

Contenuto del banner informativo

Le linee guida prevedono anche quello che deve essere il contenuto del banner informativo. Infatti, se si utilizzano cookie non tecnici, devono essere inserite le seguenti informazioni:

1. l’avviso espresso sullo sfruttamento degli accennati strumenti;
2. un pulsante (una X in alto a destra, o un pulsante “non presto il mio consenso”) per chiudere il banner senza prestare il consenso all’uso dei cookie che, quindi, per impostazione predefinita, non andranno installati (fatta eccezione di quelli tecnici);
3. il link alla privacy policy e alla cookie policy contenente l’informativa completa;
4. un pulsante per accettare l’installazione dei cookie o di altri strumenti di tracciamento;
5. il link a un’altra pagina del sito web da cui gestire in modo granulare le funzionalità, le terze parti e i cookie che si vogliono installare, tramite due ulteriori comandi, prestando il consenso a nuove tipologie di cookie o revocandolo anche in blocco.

Se, invece, sono utilizzati cookie tecnici, l’informativa può essere contenuta nella home page o nell’informativa generale del sito web.

Reiterazione richiesta del consenso

Il Titolare può reiterare la richiesta di consenso. Il consenso può essere negato dall’utente:

1. se cambiano significativamente le condizioni del trattamento;
2. quando sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo;
3. quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

LEGGI ANCHE AI Act: cosa cambierà dopo l’approvazione del Parlamento europeo

Cookie law – Domande frequenti

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza