Cookie law: come adeguarsi alla normativa sui cookie

La privacy in rete

Nell’articolo dedicato al diritto alla privacy abbiamo già spiegato cosa la legge intende quando parla di privacy e quali sono le modalità legali di trattamento dei dati personali. Al riguardo si rimanda all’articolo sul diritto alla privacy.

Qui, invece, andremo a descrivere la speciale disciplina in materia di trattamento dei dati personali nel settore delle comunicazioni elettroniche, nonché, le ultime novità introdotte in materia di informativa sui cookie: la cosiddetta Cookie law.

Cookie law

Il decreto legislativo n. 196/2003 prevede modalità speciali di trattamento per settori particolari. Uno di questi è il settore delle comunicazioni elettroniche.

In particolare, il Codice contiene, agli articoli 121 e seguenti, norme che indicano delle specifiche modalità di trattamento di dati dettate per i titolari che forniscono servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.

Di recente, questa parte della normativa ha subito delle importanti modifiche adottate con decreto legislativo n. 69 del 2012 che, nell’ottica di un rafforzamento della privacy in rete auspicata da due direttive europee (le direttive 2009/136/CE e 2009/140/CE), ha previsto delle modalità di trattamento più garantiste per l’utente e, per converso, oneri maggiori per il fornitore del servizio. Invero, l’art. 122 del Codice della Privacy dispone adesso, al comma 1, che l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3; al comma 2 stabilisce che ai fini dell’espressione del consenso di cui al comma 1 possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

LEGGI PURE:  La capacità di agire

E’ proprio riguardo a questa ultima disposizione che il Garante per la privacy ha adottato un provvedimento (n. 229 del 8 maggio 2014) recante “individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“. Esso mira a specificare quali modalità il fornitore del servizio di comunicazione elettronica debba adottare per l’utilizzo dei cookie, i quali presupponendo la raccolta e la conservazione di dati personali, necessitano del consenso dell’utente cui i dati si riferiscono.

Al riguardo, il Garante prevede due distinte modalità di ottenimento del consenso da adottare rispettivamente nel caso di cookie c.d. tecnici e cookie di profilazione.

Informativa per i cookie tecnici:

I cookie tecnici sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” pertanto per la loro installazione non è richiesto il preventivo consenso degli utenti. Resta fermo, però, l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Con riguardo ai cookie tecnici, dunque, la normativa prevede a carico del gestore l’obbligo di dare all’utente l’informativa sul trattamento dei dati di cui all’art. 13 del Codice, ma non impone anche delle specifiche modalità per fornirla potendo, infatti, utilizzare quelle che egli ritenga più idonee.

Non è imposta la necessità di ottenere il previo consenso dell’interessato.

Informativa per i cookie di profilazione:

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso. E’ proprio ai cookie di profilazione che si riferisce l’art. 122 del Codice della Privacy quando richiede la necessità di ottenere il consenso per la conservazione dei dati personali dell’utente.

LEGGI PURE:  La capacità giuridica

Il consenso può essere ottenuto tramite l’utilizzo delle modalità semplificate indicate nell’art. 122 prima menzionato. A tal proposito il Garante ha previsto, a titolo esemplificativo, che una modalità semplificata può essere la seguente:

nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

In virtù del principio di semplificazione a cui si ispira la normativa sul trattamento dei dati personali in rete, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche, compresa la scelta di non consentire al consenso.

In sostanza, l’informativa breve dovrà contenere tali indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

LEGGI PURE:  Consulenza legale: cos’è e come richiederla

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Dunque, nella informativa breve testè menzionata è opportuno indicare che il sito utilizza cookie di profilazione e che la prosecuzione della navigazione all’interno del sito comporta la prestazione del consenso al trattamento dei dati, indicando anche la possibilità di negare il consenso alla pagina dell’informativa estesa, indicandone il link.

Come ha avuto, più volte, modo di chiarire il Garante, tale modalità di fornire l’informativa ed ottenere il consenso dei dati è meramente esemplificativa, per cui il titolare del sito può apprestare altre modalità, ritenute pur sempre idonee, purché siano in linea con i principi affermati a tutela della privacy in rete.

Avv. Graziana Aiello

Paolo Cernigliaro c/o moseo.it – Seo agency

Se vuoi ottenere una consulenza legale su questioni legate alla Cookie law oppure ottenere un esame completo del tuo sito per verificarne la conformità alla normativa sulla privacy richiedi una Consulenza Premium, riceverai un parere legale entro h 24.