Cookie: dieci cose da considerare

Di cookie si parla molto in questi giorni, dato che il 3 giugno 2015 occorrerà adeguarsi alle prescrizioni impartite dal Garante per la protezione dei dati personali con Provvedimento  n. 229 del 8 maggio 2014  (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).

Data l’imminenza della scadenza immagino che gli aspetti salienti siano già noti. Ove non lo fossero un’ottima sintesi degli accorgimenti da adottare a seguito del provvedimento è quella della Collega Roberta Rapicavoli (e si può trovare qui);

Data per scontata la conoscenza del provvedimento e sempre mantenendo un’ottica pragmatica si vogliono ora focalizzare dieci aspetti che possono apparire problematici e che frequentemente emergono nelle prime fasi della implementazione del provvedimento.

1. Mobile

   E’ bene rammentare da subito che la normativa (art. 122 Codice Privacy) e i provvedimenti del Garante trovano applicazione anche nei confronti della navigazione da sistemi mobili, quindi occorrerà adeguare anche la versione mobile.

2. Individuazione dei cookie

   Innanzi tutto il provvedimento del Garante Privacy traccia una prima importante distinzione tra cookie tecnici e cookie di profilazione e una seconda distinzione, anche essa rilevante tra cookie di prima parte e cookie di terze parti.

   Il Garante, in ordine a quest’ultima distinzione ha sempre evitato fare diretto riferimento alla URL del sito, limitandosi laconicamente ad osservare che “Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando”.

   Per avere un’idea di quali cookie veicola un sito si può utilizzare lo strumento per sviluppatori del browser Chrome, accessibile dal menù visualizza/opzioni per sviluppatori/strumenti per sviluppatori.

   La distinzione tra cookie profilanti e cookie tecnici è riferita invece alla attività del cookie. Detto in maniera oltremodo semplificata: a cosa serve il cookie? Se lo scopo è costruire un profilo dell’utente tenendo conto delle sue abitudini e preferenze per potergli inviare pubblicità comportamentale, il cookie sarà profilante. Se invece migliora la funzionalità del sito o è necessario a consentire la comunicazione sulla rete, allora sarà tecnico.

3. Social buttons e cookie

   Un aspetto che genera qualche problema nella pratica, riguardo i cookie di terze parti, riguarda i pulsanti social. Infatti questi possono essere dei meri link al profilo dell’utente o possono invece agevolare la condivisione (“share”) o manifestare apprezzamenti, avvalendosi dei cookie: è il caso dei pulsanti “like” ad esempio, che per tracciare le scelte operate dall’utente normalmente usano cookie profilanti.

   Uguale attenzione merita l’inserimento di pulsanti social mediante “social button widget”, volti ad agevolare la condivisione di contenuti. Infatti questi servizi, spesso gratuiti e aderiti frettolosamente senza prestare troppa attenzione alle condizioni di utilizzo, spesso si avvalgono di cookie, anche profilanti, proprio perché si finanziano attraverso la pubblicità. Cookie profilanti di cui il gestore del sito, magari, non è neppure consapevole.

   La distinzione non è peregrina, poiché se un sito si avvale solo di cookie tecnici di prima parte non è tenuto ad acquisire il consenso, ma sarà ugualmente tenuto a fornire l’informativa, mentre se un sito si avvale di cookie di terze parti oppure di cookie profilanti, sarà tenuto ad acquisire il consenso dell’utente, attraverso, ad esempio, l’inserimento di un banner.

4. Discrezionalità nel contenuto del banner

   In ordine a questo aspetto vale la pena di sottolineare che il Garante ha disposto espressamente che il banner (o altre soluzione analoga) debba contenere le seguenti indicazioni:

   a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete; 

   b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

   c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

   d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

   e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

   E’ vero che si possono trovare soluzioni alternative, e il contenuto del banner indicato dal Garante nell’esemplificazione offerta non deve essere pedissequamente riprodotto, essendo concessa qualche variazione sul tema, ma la prima indicazione non può essere sostituita con indicazioni riferite all’impiego di cookie volto a migliorare l’esperienza di navigazione dell’utente o le funzionalità del sito: se il sito usa cookie profilanti l’utente deve essere informato della profilazione e non può essere distolto, con locuzioni inveritiere o relative a funzioni che non necessitano di consenso, dal fine primario dell’intero impianto normativo che è, appunto, salvaguardarlo dal trattamento invasivo che consegue alla pubblicità comportamentale.

5. Memorizzazione delle scelte attraverso un cookie

   In ordine alla registrazione delle scelte operate dall’utente, il Garante ha precisato che esse possono essere memorizzate tramite un cookie, per il quale non è necessario acquisire il consenso.

   “Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.

   In presenza di tale “documentazione”, non è necessario che l’informativa breve sia riproposta alla seconda visita dell’utente sul sito, ferma restando la possibilità per quest’ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all’informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.”

   Quanto alla permanenza di questo tipo di cookie nel terminale dell’utente, il Garante si riferisce solo alla seconda visita, ma pare potersi interpretare in coerenza con il riconoscere una qualche utilità alla memorizzazione, come “dalla seconda visita”. In ordine al periodo di permanenza del cookie sul terminale dell’utente Il Gruppo di Lavoro ex Art. 29, nel Parere 2/2010 sulla pubblicità comportamentale online, ha concluso che occorre “limitare la portata temporale del consenso. Il consenso a essere monitorati non dovrebbe essere valido “una volta per tutte”, ma solo per un periodo di tempo limitato, per esempio un anno.” Il parere è disponibile al seguente indirizzo:

   http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_it.pdf#h2-4

6. Cookie: se non ora, quando?

   Un elemento che appare piuttosto trascurato riguarda il fatto che il sito non deve archiviare i cookie sul terminale dell’utente fino a che questo non abbia manifestato il proprio consenso, o comunque essi non debbono essere attivati sino a quel momento.

7. Servizi di analisi

   Un altro aspetto che trova qualche difficoltà di inquadramento è inerente ai cookie dei servizi di analisi, infatti occorre stare attenti a non farsi trarre in inganno dall’affermazione del Garante Privacy, che si riporta per comodità, riferita alla assimilazione di questo tipo di cookie ai cookie tecnici: “cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso”. I cookie dei servizi di analisi più diffusi, potrebbero non rientrare in questa esenzione.

   Per dirimere dubbi in ordine alla tipologia dei cookie derivanti dal servizio di analisi utilizzato può essere davvero utile la lettura del kit descritto al punto successivo.

8. Kit di implementazione per i cookie

   Un aiuto per adottare soluzioni coerenti bloccando i cookie o la loro attivazione sino al momento della prestazione del consenso e distinguere quali servizi necessitano di consenso (e quali no) può arrivare dal kit di implementazione presentato in questi giorni (il 5 maggio)  dalle principali associazioni di categoria, DMA Italia, Fedoweb, IAB Italia, Netcomm, Upa, alla presenta del Garante Privacy.

   Il kit muove da un punto di vista pratico e contiene svariati suggerimenti più “tecnici” rispetto ai provvedimenti dell’autorità ai quali si affianca idealmente.

   Sebbene gli autori precisino che il kit “non potrà essere inteso quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verificare puntualmente”  esso appare uno strumento utile “in quanto raccoglie le diverse soluzioni discusse con il Garante al fine di permettere alle varie aziende di applicare nel modo migliore la normativa relativa ai cookie”.

   Proprio la sua genesi suggerisce una ulteriore accortezza: nel kit (cfr. pag. 12), infatti, si dà atto che sono da qualificare come cookie tecnici i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione “(ad esempio, cookie flash player se non superano la durata della sessione, cookie di salvataggio del carrello o delle preferenze sulla lingua/valuta)”

   Tale definizione ricalca quella utilizzata dal Garante privacy stesso nel provvedimento in cui richiamava la posizione sulle ipotesi di esenzione dal consenso individuate dal Gruppo ”Articolo 29” (WP194) “Faq in materia di cookie” Doc-Web2142939 del18/12/12, e pare auspicabile almeno impiegare cookie flash player di durata superiore alla sessione solo dopo una attenta valutazione delle misure da adottare, dato che, in effetti, una durata superiore non appare funzionale alle necessità dell’utente.

9. Cookie e notificazione

   Per esigenze di semplicità, nel presente post sono stati omessi gli aspetti inerenti la notificazione al Garante (art. 37 Codice Privacy – sanzionato dall’art 163 medesimo Codice) ma occorre fare attenzione su questo punto: infatti il Garante ha evidenziato che mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici non debbono essere notificati al Garante, specificando che sono sottratti all’obbligo di notificazione anche i cookie analytics nelle limitate ipotesi in cui siano assimilabili ai cookie tecnici.La notificazione è normalmente prevista per  cookie profilanti di prima parte,ma merita attenzione il kit di implementazione sopra citato, ove richiama l’attenzione sul fatto che in particolari condizioni potrebbe essere richiesta la notificazione anche per i cookie di terze parti: ciò potrebbe avvenire nel caso in cui il titolare/ gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, perché, parafrasando quanto affermato dal Garante in relazione all’acquisizione del consenso, si potrebbe ravvisare contitolarità o, addirittura, titolarità autonoma del trattamento ai fini della notificazione.

10. Solo cookie?

    Infine si rammenta che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del provvedimento del Garante n. 229/2014 in commento.

AGGIORNAMENTO del 11.06.15

Il 5 giugno 2015 in ordine ai servizi di analisi di terze parti il Garante ha chiarito che i siti “non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano”, individuando i seguenti accorgimenti (devono essere adottati entrambi):

1. che si operi il mascheramento di porzioni significative dell’indirizzo IP;
2. che l’impiego di tali cookie sia subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017