Cookies: nuovo intervento del Garante Privacy

Nella Gazzetta Ufficiale n. 126 del 3 giugno 2014 è stato pubblicato il Provvedimento del Garante per la Protezione dei dati Personali n. 229 del 8 maggio 2014, in ordine alla “individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. La data è importante, perché segna il decorso del termine annuale assegnato dal Garante ai gestori dei siti web per regolarizzare la loro posizione attendendosi alle istruzioni impartite nel provvedimento, che giunge al termine di una lunga gestazione iniziata con l’avvio di una consultazione pubblica nel dicembre 2012.

Decorso il predetto termine, i gestori inadempienti potranno incorrere in provvedimenti sanzionatori anche di notevole entità. Infatti, uno degli aspetti sui quali il provvedimento fa maggiore chiarezza è proprio quello sanzionatorio: l’Autorità indica chiaramente a quali nefaste conseguenze esporrebbe l’inerzia, offrendo una elencazione completa ed esaustiva di mancanze e norme punitive.

Quali sanzioni?

In particolare il Garante ricorda “che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).”

Tipologie di cookies

Una prima lettura del provvedimento, che pare collocarsi sulla scia di analoghe misure adottate dalle Autorità nordeuropee, dà il polso della semplificazione attuata:

i cookies, infatti, vengono suddivisi in due sole categorie: tecnici e profilanti.

1. Per i primi, definiti solo attraverso la lettera dell’art. 122 del Codice della Privacy, senza accogliere le specificazioni elaborate dal Gruppo di lavoro per la tutela dei dati personali ex art. 29 nel parere 04/12, pure richiamato in premessa, vengono intesi:

•  “cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);

• cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;

• cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.”

Questi cookies (e fin qui apparentemente nulla di nuovo), non necessitano del consenso dell’utente, ma deve essere resa l’informativa

2. I cookie di profilazione, invece, sono “volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete”.

Essi necessitano di consenso informato.

L’Informativa semplificata

Il provvedimento, pertanto, si preoccupa di definire le modalità semplificate attraverso le quali rendere l’informativa e acquisire il consenso.

Il Garante precisa che <<ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).>>

Il Garante precisa in maniera piuttosto chiara quali dovranno essere la forma e il contenuto  dell’informativa semplificata, e come dovrà essere strutturato il consenso. Fornisce anche un modello di banner, completo del contenuto necessario allo scopo.

Dato che il provvedimento non pone particolari problemi ermeneutici in ordine a questi aspetti, si rinvia a quanto ivi previsto. Ciò che si vuole sottolineare in questa sede, invece, è ciò che appare meno chiaro.

Dubbi:

1. Le definizioni fornite dal Gruppo di lavoro per la tutela dei dati personali ex art. 29 .

Tanto per cominciare il Gruppo di lavoro per la tutela dei dati personali ex art. 29, nel parere -richiamato in premessa nel provvedimento nostrano- in cui definiva quali tipologie di cookies fossero esentate dal consenso forniva una elencazione basata sia sulla funzione che sulla durata. Lo stesso cookie poteva essere esentato dal consenso se la sua durata corrispondeva a quella che l’utente poteva ragionevolmente attendersi, mentre non lo era quando questa ragionevole durata veniva superata. Si pensi a cookie di autenticazione o con dati compilati dall’utente: si tratta di cookie tecnici lato sensu, che non erano automaticamente esentati dal consenso se permanenti anzi l’acquisizione del consenso era necessaria solo se destinati a permanere sul terminale dell’utente. Se il Garante Privacy non avesse richiamato in premessa questo parere, che non ha efficacia vincolante, si sarebbe potuto ritenere che detta suddivisione non veniva accolta e che, pertanto, tutti i cookie tecnici, indipendentemente dalla permanenza, sarebbero stati esentati dalle procedure più  meno semplificate di acquisizione del consenso informato.

1. i cookie profilanti e l’applicazione dell’art. 22 del Codice Privacy

Inoltre il Garante avrebbe potuto espressamente limitare l’applicazione  dell’art. 122 del Codice Privacy ai soli cookie profilanti, e per fugare i dubbi sarebbe bastato precisare che “solo ad essi si riferisce l’art. 122…” cosa che, però, come si vede dall’inciso letteralmente riportato più sopra, non è stata fatta.

Quindi, sebbene la prima lettura del provvedimento, nella bipartizione effettuata tra cookie tecnici e profilanti, parrebbe riferire solo a questi ultimi gli obblighi inerenti l’acquisizione del consenso, indipendentemente dalla durata dei primi, una lettura sistematica sembra appannare questa certezza.

Sarebbe bene, pertanto, che il Garante intervenisse a chiarire questi aspetti, dato che l’incertezza su questo punto mal si sposa con l’enfasi sanzionatoria veicolata dal medesimo provvedimento, e la questione non appare peregrina se si considera anche come i cookie di autenticazione vengano definiti “di sessione”, quando potrebbero perdurare imperituramente nel terminale dell’utente, riconoscendolo ad ogni atterraggio sulle pagine del servizio prescelto.

1. reintrodotto l’opt out?

Inoltre il Garante prevede che l’informativa estesa (dovuta per tutti i tipi di cookie) contenga la possibilità per l’utente di opzionare singolarmente quali cookie intende ricevere e quali no. Detto principio non dovrebbe applicarsi ai cookie tecnici, perché, se un cookie è indispensabile per la trasmissione della comunicazione sulla rete, ad esempio, non occorrerebbe acquisire il consenso e non sarebbe necessario farlo revocare. Questa possibilità, infatti, finirebbe con il rendere impossibile la navigazione.  Diverso il caso di un cookie di autenticazione che permane per anni: dovrebbe essere data la possibilità all’utente di negare una durata così irragionevole, che non precluderebbe in toto la fruizione del sito: ma introdurre questa opzione nell’informativa estesa, senza preventivamente acquisire il consenso, finirebbe con il convertire l’impianto in un sistema di opt out.

La distinzione opt in -opt out, peraltro, non appare molto nitida: infatti nell’indicare il contenuto del banner richiesto per fornire l’informativa semplificata si legge che occorre specificare:

• “a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

• b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

• c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

• d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie; (…)”

Le lettere c) e d) sembrano riferirsi anche a cookie tecnici, che non sono indispensabili.

Come se l’opt in fosse limitato ai soli cookie profilanti, e per gli altri fosse sufficiente l’opt out.

opt in, opt out e impostazioni del browser

Distinzione non colta anche nello stabilire che “Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.”

Le impostazioni contenute nei comuni browser sono tradizionalmente rispondenti ad un sistema di opt out, e non vengono giudicate sufficienti a garantire l’acquisizione del consenso informato. Tale lettura rende impercettibile la differenza che il Garante intende profilare tra un sistema di opt in ed un sistema di opt out.

Il Gruppo di lavoro per la tutela dei dati personali ex art. 29 ha affrontato il tema, con riferimento all’impiego dei cookies nella pubblicità comportamentale immaginando un sistema improntato alla non acquisizione di marcatori che fosse impostato di default nel browser, ma che l’utente poteva, una volta fosse stato adeguatamente informato, modificare a piacimento attraverso l’installazione di appositi plug in o estensioni. In tal modo richiedendo automaticamente -attraverso la mera navigazione nei siti -i cookies per i quali aveva preventivamente impostato il consenso. L’esatto contrario del processo descritto dal Garante ove l’utente si limita a non accettare i cookies (opt out).

Si tratta di una impostazione in contrasto sia con la novella normativa che con il Parere reso dal Garante stesso in data 29 marzo 2012 (n. 119) e meriterebbe, anche per questo, maggiore chiarezza.

Ruoli privacy

Oltre ciò si segnala che il Garante ha preso atto della difficoltà di applicare i ruoli privacy ai rapporti tra i diversi attori, in particolare con riferimento ai cookies di terze parti. Pertanto, diversamente da quanto ipotizzato nelle faq di cui alla scheda informativa resa nel dicembre  2012, ha distinto i diversi ruoli ponendo in capo all’”editore” dl sito solo l’obbligo di linkare l’informativa riferita ai cookie di terze parti. I link dovranno essere aggiornati, e acquisiti già in “fase contrattuale”. Anche questo punto, considerati gli operatori e le dinamiche del web (si pensi al tasto mi piace di Facebook), non brilla per chiarezza.

Tornando agli adempimenti necessari per i cookie profilanti si precisa che il banner dovrà essere ben visibile, creare discontinuità nella navigazione ed essere presente nel momento in cui si accede ad una pagina del sito.

L’utente potrà essere invitato a manifestare un unico consenso anche implicito (continuando la navigazione nel sito, ad esempio), ma il sito dovrà essere inattivo fin tanto che la preferenza non sia stata inequivocabilmente manifestata con un comportamento attivo.

In particolare:

• Il banner dovrà avvertire l’utente delle modalità di scelta, e

• dovrà linkare l’informativa estesa

• che dovrà essere raggiungibile da ogni pagina nel sito, quindi è bene collocare il richiamo nel footer.

Se non si vuole utilizzare questa modalità (di cui il Garante offre anche un esempio), ma una equivalente, dovrà essere richiesto il consenso espresso, ai sensi dell’art. 23 del Codice.

La preferenza dell’utente potrà essere registrata attraverso un cookie persistente.

È possibile tutelare la privacy attraverso i cookie senza penaizzare la navigazione?

E’ senza dubbio da apprezzare lo sforzo del Garante, che nel tentativo di non penalizzare la navigazione, ha cercato un punto di equilibrio che rendesse gli adempimenti  il più scarni possibile. Come è da apprezzare il fatto che consenso e informativa siano stati incentrati sul nervo scoperto, ossia i marcatori destinati alla pubblicità comportamentale.

Così come, ancora, è da lodare la sensibilità dimostrata nei confronti della materia, che già complessa e tecnica, poco si presta ad essere legittimata dal consenso dell’utente che, comunque, verrebbe neutralizzato da informative pompose e ridondanti, come è anche vero che, rispetto alla riservatezza, un cookie profilante, per il quale, come giustamente sottolinea l’Autority, è necessaria la notifica, non può essere parificato ad uno di autenticazione permanente.

Tuttavia, uno sforzo chiarificatore in più, considerando la mole ermeneutica prodotta dal WP art. 29, e largamente acquisita in attesa di un pronunciamento nostrano, avrebbe consentito di fugare i dubbi sopra meglio individuati, ed appare auspicabile un intervento ulteriore in pendenza del periodo di comporto accordato per l’adeguamento.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017