Individuazione
delle modalità semplificate per l'informativa e l'acquisizione del
consenso per l'uso dei cookie - 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)
Registro
dei provvedimenti
n. 229 dell'8 maggio 2014
n. 229 dell'8 maggio 2014
IL
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA
riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott.ssa Augusta Iannini, vice presidente, della dott.ssa
Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti
e del dott. Giuseppe Busia, segretario generale;
VISTA
la direttiva
2002/58/CE del
12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al
trattamento dei dati personali e alla tutela della vita privata nel
settore delle comunicazioni elettroniche;
VISTA
la direttiva
2009/136/CE del 25 novembre 2009,
del Parlamento europeo e del Consiglio, recante modifica della
direttiva 2002/22/CE relativa al servizio universale e ai diritti
degli utenti in materia di reti e di servizi di comunicazione
elettronica, della direttiva 2002/58/CE relativa al trattamento dei
dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche e del regolamento
(CE) n. 2006/2004 sulla
cooperazione tra le autorità nazionali responsabili dell'esecuzione
della normativa a tutela dei consumatori;
VISTO
il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al
decreto legislativo 30 giugno 2003, n. 196, recante codice in materia
di protezione dei dati personali in attuazione delle direttive
2009/136/CE, in materia di trattamento dei dati personali e tutela
della vita privata nel settore delle comunicazioni elettroniche,
e 2009/140/CE in
materia di reti e servizi di comunicazione elettronica e del
regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità
nazionali responsabili dell'esecuzione della normativa a tutela dei
consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio
2012 n. 126);
VISTO
il Codice in materia di protezione dei dati personali (d.lg. 30
giugno 2003, n. 196, di seguito "Codice") e, in
particolare, gli artt. 13, comma 3 e 122, comma 1;
VISTA
la precedente deliberazione del Garante recante "Avvio
di una consultazione pubblica ai sensi dell'art. 122 volta ad
individuare modalità semplificate per l'informativa di cui all'art.
13, comma 3, del Codice in materia di protezione dei dati
personali" (Del.
n. 359 del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre
2012 n. 295);
TENUTO
CONTO delle indicazioni fornite sul tema dal Gruppo di lavoro per la
tutela dei dati personali ex art. 29, in particolare nella Opinion
04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e nel
Working Document 02/2013 providing guidance on obtaining consent for
cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai
link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf);
TENUTO
CONTO delle risultanze dei contributi pervenuti al Garante dai
principali fornitori di servizi di comunicazione elettronica, nonché
dalle associazioni dei consumatori e delle categorie economiche
coinvolte che hanno partecipato alla suindicata consultazione
pubblica;
CONSIDERATI
gli ulteriori elementi emersi in occasione degli incontri tenutisi a
settembre 2013 e febbraio 2014 presso l'Autorità, nell'ambito del
tavolo di lavoro avviato dalla stessa al fine di sollecitare un nuovo
e più diretto confronto con i suindicati soggetti, nonché con
esponenti del mondo accademico e della ricerca che si occupano delle
tematiche di interesse;
RITENUTO
necessario adottare, ai sensi del combinato disposto degli artt. 13,
comma 3, 122, comma 1 e 154, comma 1, lett. c), del Codice, un
provvedimento di carattere generale, con il quale oltre a
individuare le modalità semplificate per rendere l'informativa
online agli utenti sull'archiviazione dei c.d. cookie sui loro
terminali da parte dei siti Internet visitati si intende
fornire idonee indicazioni sulle modalità con le quali procedere
all'acquisizione del consenso degli stessi, laddove richiesto dalla
legge;
CONSIDERATO
che la disciplina relativa all'uso dei c.d. cookie riguarda anche
altri strumenti analoghi (come ad esempio web beacon/web bug, clear
GIF o altri), che consentono l'identificazione dell'utente o del
terminale e che quindi devono essere ricompresi nell'ambito del
presente provvedimento;
VISTE
le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento n. 1/2000;
RELATORE
il dott. Antonello Soro;
PREMESSA
1.
Considerazioni preliminari.
I
cookie sono stringhe di testo di piccole dimensioni che i siti
visitati dall'utente inviano al suo terminale (solitamente al
browser), dove vengono memorizzati per essere poi ritrasmessi agli
stessi siti alla successiva visita del medesimo utente. Nel corso
della navigazione su un sito, l'utente può ricevere sul suo
terminale anche cookie che vengono inviati da siti o da web server
diversi (c.d. "terze parti"), sui quali possono risiedere
alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici
link a pagine di altri domini) presenti sul sito che lo stesso sta
visitando.
I
cookie, solitamente presenti nei browser degli utenti in numero molto
elevato e a volte anche con caratteristiche di ampia persistenza
temporale, sono usati per differenti finalità: esecuzione di
autenticazioni informatiche, monitoraggio di sessioni, memorizzazione
di informazioni su specifiche configurazioni riguardanti gli utenti
che accedono al server, ecc.
Al
fine di giungere a una corretta regolamentazione di tali dispositivi,
è necessario distinguerli posto che non vi sono delle
caratteristiche tecniche che li differenziano gli uni dagli altri
proprio sulla base delle finalità perseguite da chi li utilizza. In
tale direzione si è mosso, peraltro, lo stesso legislatore, che, in
attuazione delle disposizioni contenute nella direttiva 2009/136/CE,
ha ricondotto l'obbligo di acquisire il consenso preventivo e
informato degli utenti all'installazione di cookie utilizzati per
finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5,
lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l'art.
122 del Codice).
Al
riguardo, e ai fini del presente provvedimento, si individuano
pertanto due macro-categorie: cookie "tecnici" e cookie "di
profilazione".
a.
Cookie tecnici.
I
cookie tecnici sono quelli utilizzati al solo fine di "effettuare
la trasmissione di una comunicazione su una rete di comunicazione
elettronica, o nella misura strettamente necessaria al fornitore di
un servizio della società dell'informazione esplicitamente richiesto
dall'abbonato o dall'utente a erogare tale servizio" (cfr. art.
122, comma 1, del Codice).
Essi
non vengono utilizzati per scopi ulteriori e sono normalmente
installati direttamente dal titolare o gestore del sito web. Possono
essere suddivisi in cookie di navigazione o di sessione, che
garantiscono la normale navigazione e fruizione del sito web
(permettendo, ad esempio, di realizzare un acquisto o autenticarsi
per accedere ad aree riservate); cookie analytics, assimilati ai
cookie tecnici laddove utilizzati direttamente dal gestore del sito
per raccogliere informazioni, in forma aggregata, sul numero degli
utenti e su come questi visitano il sito stesso; cookie di
funzionalità, che permettono all'utente la navigazione in funzione
di una serie di criteri selezionati (ad esempio, la lingua, i
prodotti selezionati per l'acquisto) al fine di migliorare il
servizio reso allo stesso.
Per
l'installazione di tali cookie non è richiesto il preventivo
consenso degli utenti, mentre resta fermo l'obbligo di dare
l'informativa ai sensi dell'art. 13 del Codice, che il gestore del
sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con
le modalità che ritiene più idonee.
b.
Cookie di profilazione.
I
cookie di profilazione sono volti a creare profili relativi
all'utente e vengono utilizzati al fine di inviare messaggi
pubblicitari in linea con le preferenze manifestate dallo stesso
nell'ambito della navigazione in rete. In ragione della particolare
invasività che tali dispositivi possono avere nell'ambito della
sfera privata degli utenti, la normativa europea e italiana prevede
che l'utente debba essere adeguatamente informato sull'uso degli
stessi ed esprimere così il proprio valido consenso.
Ad
essi si riferisce l'art. 122 del Codice laddove prevede che
"l'archiviazione delle informazioni nell'apparecchio terminale
di un contraente o di un utente o l'accesso a informazioni già
archiviate sono consentiti unicamente a condizione che il contraente
o l'utente abbia espresso il proprio consenso dopo essere stato
informato con le modalità semplificate di cui all'articolo 13, comma
3" (art. 122, comma 1, del Codice).
2.
Soggetti coinvolti: editori e "terze parti".
Un
ulteriore elemento da considerare, ai fini della corretta definizione
della materia in esame, è quello soggettivo. Occorre, cioè, tenere
conto del differente soggetto che installa i cookie sul terminale
dell'utente, a seconda che si tratti dello stesso gestore del sito
che l'utente sta visitando (che può essere sinteticamente indicato
come "editore") o di un sito diverso che installa cookie
per il tramite del primo (c.d. "terze parti").
Sulla
base di quanto emerso dalla consultazione pubblica, si ritiene
necessario che tale distinzione tra i due soggetti sopra indicati
venga tenuta in debito conto anche al fine di individuare
correttamente i rispettivi ruoli e le rispettive responsabilità, con
riferimento al rilascio dell'informativa e all'acquisizione del
consenso degli utenti online.
Vi
sono molteplici motivazioni per le quali non risulta possibile porre
in capo all'editore l'obbligo di fornire l'informativa e acquisire il
consenso all'installazione dei cookie nell'ambito del proprio sito
anche per quelli installati dalle "terze parti".
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.
I
cookie terze parti potrebbero, poi, essere nel tempo modificati dai
terzi fornitori e risulterebbe poco funzionale chiedere agli editori
di tenere traccia anche di queste modifiche successive.
Occorre
tenere conto inoltre del fatto che spesso gli editori, che
comprendono anche persone fisiche e piccole imprese, sono la parte
più "debole" del rapporto. Laddove invece le terze parti
sono solitamente grandi società caratterizzate da notevole peso
economico, servono normalmente una pluralità di editori e possono
essere, rispetto al singolo editore, anche molto numerose.
Si
ritiene pertanto che, anche in ragione delle motivazioni sopra
indicate, non si possa obbligare l'editore ad inserire sull'home page
del proprio sito anche il testo delle informative relative ai cookie
installati per il suo tramite dalle terze parti. Ciò determinerebbe
peraltro una generale mancanza di chiarezza dell'informativa
rilasciata dall'editore, rendendo nel contempo estremamente faticosa
per l'utente la lettura del documento e quindi la comprensione delle
informazioni in esso contenute, con ciò vanificando anche l'intento
di semplificazione previsto dall'art. 122 del Codice.
Analogamente,
per quanto concerne l'acquisizione del consenso per i cookie di
profilazione, dovendo necessariamente -per le ragioni suesposte
tenere distinte le rispettive posizioni di editori e terze parti, si
ritiene che gli editori, con i quali gli utenti instaurano un
rapporto diretto tramite l'accesso al relativo sito, assumono
necessariamente una duplice veste.
Tali
soggetti, infatti, da un lato sono titolari del trattamento quanto ai
cookie installati direttamente dal proprio sito; dall'altro, non
potendo ravvisarsi una contitolarità con le terze parti per i cookie
che le stesse installano per il loro tramite, si ritiene corretto
considerarli come una sorta di intermediari tecnici tra le stesse e
gli utenti. Ed è, quindi, in tale veste che, come si vedrà più
avanti, sono chiamati ad operare nella presente deliberazione, con
riferimento al rilascio dell'informativa e all'acquisizione del
consenso degli utenti online con riguardo ai cookie delle terze
parti.
3.
Impatto della disciplina in materia di cookie sulla rete.
I
cookie svolgono diverse e importanti funzioni nell'ambito della rete.
Qualunque decisione in merito alle modalità di informativa e
consenso online, riguardando in pratica chiunque abbia un sito
Internet, avrà quindi un fortissimo impatto su un numero enorme di
soggetti, che presentano peraltro, come si è detto, natura e
caratteristiche profondamente diverse tra loro.
Il
Garante, consapevole della portata della presente decisione, ritiene
pertanto necessario che le misure prescritte nella stessa -ai sensi
di quanto previsto dall'art. 122, comma 1, del Codice siano, da
un lato, tali da consentire agli utenti di esprimere scelte realmente
consapevoli sull'installazione dei cookie mediante la manifestazione
di un consenso espresso e specifico (come previsto dall'art. 23 del
Codice) e, dall'altro, presentino il minore impatto possibile in
termini di soluzione di continuità della navigazione dei medesimi
utenti e della fruizione, da parte loro, dei servizi telematici.
Di
tali opposte esigenze, emerse chiaramente anche in occasione della
consultazione pubblica e degli incontri tenuti dall'Autorità, si
tiene conto in primo luogo nella determinazione delle modalità con
le quali rendere l'informativa in forma semplificata.
È
peraltro convinzione del Garante che i due temi, dell'informativa e
del consenso, vadano necessariamente trattati in maniera congiunta,
onde evitare che il ricorso a modalità di espressione del consenso
online che richiedano operazioni eccessivamente complesse da parte
degli utenti vanifichino la semplificazione realizzata
nell'informativa.
4.
L'informativa con modalità semplificate e l'acquisizione del
consenso online.
Ai
fini della semplificazione dell'informativa, si ritiene che una
soluzione efficace, che fa salvi i requisiti previsti dall'art. 13
del Codice (compresa la descrizione dei singoli cookie), sia quella
di impostare la stessa su due livelli di approfondimento successivi.
Nel
momento in cui l'utente accede a un sito web, deve essergli
presentata una prima informativa "breve", contenuta in un
banner a comparsa immediata sulla home page (o altra pagina tramite
la quale l'utente può accedere al sito), integrata da un'informativa
"estesa", alla quale si accede attraverso un link
cliccabile dall'utente.
Affinché
la semplificazione sia effettiva, si ritiene necessario che la
richiesta di consenso all'uso dei cookie sia inserita proprio nel
banner contenente l'informativa breve. Gli utenti che desiderano
avere maggiori e più dettagliate informazioni e differenziare le
proprie scelte in merito ai diversi cookie archiviati tramite il sito
visitato, possono accedere ad altre pagine del sito, contenenti,
oltre al testo dell'informativa estesa, la possibilità di esprimere
scelte più specifiche.
4.1.
Il banner contenente informativa breve e richiesta di consenso.
Più
precisamente, nel momento in cui si accede alla home page (o ad altra
pagina) di un sito web, deve immediatamente comparire in primo piano
un banner di idonee dimensioni ossia di dimensioni tali da
costituire una percettibile discontinuità nella fruizione dei
contenuti della pagina web che si sta visitando contenente le
seguenti indicazioni:
a)
che il sito utilizza cookie di profilazione al fine di inviare
messaggi pubblicitari in linea con le preferenze manifestate
dall'utente nell'ambito della navigazione in rete;
b)
che il sito consente anche l'invio di cookie "terze parti"
(laddove ciò ovviamente accada);
c)
il link all'informativa estesa, ove vengono fornite indicazioni
sull'uso dei cookie tecnici e analytics, viene data la possibilità
di scegliere quali specifici cookie autorizzare;
d)
l'indicazione che alla pagina dell'informativa estesa è possibile
negare il consenso all'installazione di qualunque cookie;
e)
l'indicazione che la prosecuzione della navigazione mediante accesso
ad altra area del sito o selezione di un elemento dello stesso (ad
esempio, di un'immagine o di un link) comporta la prestazione del
consenso all'uso dei cookie.
Il
suindicato banner, oltre a dover presentare dimensioni sufficienti a
ospitare l'informativa, seppur breve, deve essere parte integrante
dell'azione positiva nella quale si sostanzia la manifestazione del
consenso dell'utente. In altre parole, esso deve determinare una
discontinuità, seppur minima, dell'esperienza di navigazione: il
superamento della presenza del banner al video deve essere possibile
solo mediante un intervento attivo dell'utente (appunto attraverso la
selezione di un elemento contenuto nella pagina sottostante il banner
stesso).
Resta
ferma naturalmente la possibilità per gli editori di ricorrere a
modalità diverse da quella descritta per l'acquisizione del consenso
online all'uso dei cookie degli utenti, sempreché tali modalità
assicurino il rispetto di quanto disposto dall'art. 23, comma 3, del
Codice.
In
conformità con i principi generali, è necessario in ogni caso che
dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia
da parte dell'editore, il quale potrebbe a tal fine avvalersi di un
apposito cookie tecnico, sistema che non sembra particolarmente
invasivo (in tal senso, si veda anche il considerando 25 della
direttiva 2002/58/CE).
La
presenza di tale "documentazione" delle scelte dell'utente
consente poi all'editore di non riproporre l'informativa breve alla
seconda visita del medesimo utente sullo stesso sito, ferma restando
naturalmente la possibilità per l'utente di negare il consenso e/o
modificare, in ogni momento e in maniera agevole, le proprie opzioni
relative all'uso dei cookie da parte del sito, ad esempio tramite
accesso all'informativa estesa, che deve essere linkabile da ogni
pagina del sito.
4.2.
L'informativa estesa.
L'informativa
estesa deve contenere tutti gli elementi previsti dall'art. 13 del
Codice, descrivere in maniera specifica e analitica le
caratteristiche e le finalità dei cookie installati dal sito e
consentire all'utente di selezionare/deselezionare i singoli cookie.
Deve essere raggiungibile mediante un link inserito nell'informativa
breve, come pure attraverso un riferimento su ogni pagina del sito,
collocato in calce alla medesima.
All'interno
di tale informativa, deve essere inserito anche il link aggiornato
alle informative e ai moduli di consenso delle terze parti con le
quali l'editore ha stipulato accordi per l'installazione di cookie
tramite il proprio sito. Qualora l'editore abbia contatti indiretti
con le terze parti, dovrà linkare i siti dei soggetti che fanno da
intermediari tra lui e le stesse terze parti. Non si esclude
l'eventualità che tali collegamenti con le terze parti siano
raccolti all'interno di un unico sito web gestito da un soggetto
diverso dall'editore, come nel caso dei concessionari.
Al
fine di mantenere distinta la responsabilità degli editori da quella
delle terze parti in relazione all'informativa resa e al consenso
acquisito per i cookie di queste ultime tramite il proprio sito, si
ritiene necessario che gli editori stessi acquisiscano, già in fase
contrattuale, i suindicati link dalle terze parti (con ciò
intendendosi anche gli stessi concessionari).
Nel
medesimo spazio dell'informativa estesa deve essere richiamata la
possibilità per l'utente (alla quale fa riferimento anche l'art.
122, comma 2, del Codice) di manifestare le proprie opzioni in merito
all'uso dei cookie da parte del sito anche attraverso le impostazioni
del browser, indicando almeno la procedura da eseguire per
configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate
dal sito siano compatibili con la versione del browser utilizzata
dall'utente, l'editore potrà predisporre un collegamento diretto con
la sezione del browser dedicata alle impostazioni stesse.
5.
Notificazione del trattamento.
Si
ricorda che l'uso dei cookie rientra tra i trattamenti soggetti
all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma
1, lett. d), del Codice, laddove lo stesso sia finalizzato a
"definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo, ovvero a monitorare
l'utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti".
L'uso
dei cookie è, invece, sottratto all'obbligo di notificazione sulla
base di quanto previsto dal provvedimento del Garante del 31 marzo
2004, che ha inserito espressamente, tra i trattamenti esonerati dal
suindicato obbligo, quelli "relativi all'utilizzo di marcatori
elettronici o di dispositivi analoghi installati, oppure memorizzati
temporaneamente, e non persistenti, presso l'apparecchiatura
terminale di un utente, consistenti nella sola trasmissione di
identificativi di sessione in conformità alla disciplina
applicabile, all'esclusivo fine di agevolare l'accesso ai
contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo
2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).
Dal
quadro sopra delineato, emerge pertanto che, mentre i cookie di
profilazione, i quali hanno caratteristiche di permanenza nel tempo,
sono soggetti all'obbligo di notificazione, i cookie che invece hanno
finalità diverse e che rientrano nella categoria dei cookie tecnici,
ai quali sono assimilabili anche i cookie analytics (v. punto 1,
lett. a), del presente provvedimento), non debbono essere notificati
al Garante.
6.
Tempi di adeguamento.
Come
già evidenziato in precedenza, il Garante è consapevole
dell'impatto, anche economico, che la disciplina sui cookie avrà
sull'intero settore della società dei servizi dell'informazione e,
quindi, del fatto che la realizzazione delle misure necessarie a dare
attuazione al presente provvedimento richiederà un notevole impegno,
anche in termini di tempo.
In
ragione di ciò, si ritiene pertanto congruo prevedere un periodo
transitorio di un anno a decorrere dalla pubblicazione della presente
decisione in Gazzetta Ufficiale per consentire ai soggetti
interessati dal presente provvedimento di potersi avvalere delle
modalità semplificate ivi individuate.
7.
Conseguenze del mancato rispetto della disciplina in materia di
cookie.
Si
ricorda che per il caso di omessa informativa o di informativa
inidonea, ossia che non presenti gli elementi indicati, oltre che
nelle previsioni di cui all'art. 13 del Codice, nel presente
provvedimento, è prevista la sanzione amministrativa del pagamento
di una somma da seimila a trentaseimila euro (art. 161 del Codice).
L'installazione
di cookie sui terminali degli utenti in assenza del preventivo
consenso degli stessi comporta, invece, la sanzione del pagamento di
una somma da diecimila a centoventimila euro (art. 162, comma 2-bis,
del Codice).
L'omessa
o incompleta notificazione al Garante, infine, ai sensi di quanto
previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata
con il pagamento di una somma da ventimila a centoventimila euro
(art. 163 del Codice).
TUTTO
CIO' PREMESSO IL GARANTE
1.
ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del
Codice -ai fini dell'individuazione delle modalità semplificate per
l'informativa che i gestori di siti web, come meglio specificati in
premessa, sono tenuti a fornire agli utenti in relazione ai cookie e
agli altri dispositivi installati da o per il tramite del proprio
sito stabilisce che nel momento in cui si accede alla home page
(o ad altra pagina) di un sito web, deve immediatamente comparire in
primo piano un banner di idonee dimensioni contenente le seguenti
indicazioni:
a)
che il sito utilizza cookie di profilazione al fine di inviare
messaggi pubblicitari in linea con le preferenze manifestate
dall'utente nell'ambito della navigazione in rete;
b)
che il sito consente anche l'invio di cookie "terze parti"
(laddove ciò ovviamente accada);
c)
il link all'informativa estesa, che deve contenere le seguenti
ulteriori indicazioni relative a:
• uso
dei cookie tecnici e analytics;
• possibilità
di scegliere quali specifici cookie autorizzare;
• possibilità
per l'utente di manifestare le proprie opzioni in merito all'uso dei
cookie da parte del sito anche attraverso le impostazioni del
browser, indicando almeno la procedura da eseguire per configurare
tali impostazioni;
d)
l'indicazione che alla pagina dell'informativa estesa è possibile
negare il consenso all'installazione di qualunque cookie;
e)
l'indicazione che la prosecuzione della navigazione mediante accesso
ad altra area del sito o selezione di un elemento dello stesso (ad
esempio, di un'immagine o di un link) comporta la prestazione del
consenso all'uso dei cookie;
2.
ai sensi dell'art. 154, comma 1, lett. c), del Codice ai fini
di mantenere distinta la responsabilità dei gestori di siti web,
come meglio specificati in motivazione, da quella delle terze parti
prescrive ai medesimi gestori di acquisire già in fase contrattuale
i collegamenti (link) alle pagine web contenenti le informative e i
moduli per l'acquisizione del consenso relativo ai cookie delle terze
parti (con ciò intendendosi anche i concessionari).
Si
dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia ai fini della sua pubblicazione sulla
Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio
pubblicazione leggi e decreti.
Roma,
8 maggio 2014
IL
PRESIDENTE
Soro
Soro
IL
RELATORE
Soro
Soro
IL
SEGRETARIO GENERALE
Busia
Busia
Internet:
Garante privacy, no ai cookie per profilazione senza consenso
In un banner le informazioni all'utente e la possibilità di scegliere quali cookie autorizzare
In un banner le informazioni all'utente e la possibilità di scegliere quali cookie autorizzare
Stop
all'installazione dei cookie per finalità di profilazione e
marketing da parte dei gestori dei siti senza aver prima informato
gli utenti e aver ottenuto il loro consenso. Chi naviga on line potrà
quindi decidere in maniera libera e consapevole se far usare o no le
informazioni raccolte sui siti visitati per ricevere pubblicità
mirata.
Lo
ha stabilito il Garante privacy con un provvedimento generale [doc.
web n. 3118884] pubblicato
sulla Gazzetta ufficiale, adottato al termine di una consultazione
pubblica,
nel quale ha individuato modalità semplificate per rendere agli
utenti l'informativa on line sull'uso dei cookie e ha fornito
indicazioni per acquisire il consenso, quando richiesto dalla legge.
I
cookie sono piccoli file di testo che i siti visitati inviano al
terminale (computer, tablet, smartphone, notebook) dell'utente, dove
vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla
visita successiva. Sono usati per eseguire autenticazioni
informatiche, monitoraggio di sessioni e memorizzazione di
informazioni sui siti (senza l'uso dei cookie "tecnici"
alcune operazioni risulterebbero molto complesse o impossibili da
eseguire). Ma attraverso i cookie si può anche monitorare la
navigazione, raccogliere dati su gusti, abitudini, scelte personali
che consentono la ricostruzione di dettagliati profili dei
consumatori.
"Con
questo provvedimento, maturato anche attraverso la consultazione dei
vari stakeholder, diventa più facile il rispetto degli obblighi
previsti dalla normativa europea" -
commenta Antonello Soro, presidente del Garante privacy. "La
procedura semplificata consentirà agevolmente ai navigatori di
manifestare un consenso davvero libero e consapevole".
Per
proteggere la privacy degli utenti e consentire loro scelte più
consapevoli, il Garante ha dunque stabilito che, d'ora in poi
quando si accede alla home page o ad un'altra pagina di un sito web
deve immediatamente comparire un banner ben visibile, in cui sia
indicato chiaramente:
1)
che il sito utilizza cookie di profilazione per inviare messaggi
pubblicitari mirati;
2)
che il sito consente anche l'invio di cookie di "terze parti",
ossia di cookie installati da un sito diverso tramite il sito che si
sta visitando;
3)
un link a una informativa più ampia, con le indicazioni
sull'uso dei cookie inviati dal sito, dove è possibile negare il
consenso alla loro installazione direttamente o collegandosi ai
vari siti nel caso dei cookie di "terze parti";
4)
l'indicazione che proseguendo nella navigazione (ad es., accedendo ad
un'altra area del sito o selezionando un'immagine o un link) si
presta il consenso all'uso dei cookie.
Per
quanto riguarda l'obbligo di tener traccia del consenso dell'utente,
al gestore del sito è consentito utilizzare un cookie tecnico, in
modo tale da non riproporre l'informativa breve alla seconda visita
dell'utente.
L'utente
mantiene, comunque, la possibilità di modificare le proprie scelte
sui cookie attraverso l'informativa estesa, che deve essere linkabile
da ogni pagina del sito.
A
mero titolo di esempio, il Garante ha predisposto un modello
di banner disponibile
sul proprio sito www.garanteprivacy.it
Roma,
4 giugno 2014
|
Informativa
e consenso per l'uso dei cookie
Domande
più frequenti
|
|
|
|
|
1.
Cosa sono i cookie?
I
cookie sono piccoli file di testo che i siti visitati dagli utenti
inviano ai loro terminali, ove vengono memorizzati per essere poi
ritrasmessi agli stessi siti alla visita successiva. I cookie delle
c.d. "terze parti" vengono, invece, impostati da un sito
web diverso da quello che l'utente sta visitando. Questo perché su
ogni sito possono essere presenti elementi (immagini, mappe, suoni,
specifici link a pagine web di altri domini, ecc.) che risiedono su
server diversi da quello del sito visitato.
2.
A cosa servono i cookie?
I
cookie sono usati per differenti finalità: esecuzione di
autenticazioni informatiche, monitoraggio di sessioni, memorizzazione
di informazioni su specifiche configurazioni riguardanti gli utenti
che accedono al server, memorizzazione delle preferenze, ecc.
3.
Cosa sono i cookie "tecnici"?
Sono
i cookie che servono a effettuare la navigazione o a fornire un
servizio richiesto dall'utente. Non vengono utilizzati per scopi
ulteriori e sono normalmente installati direttamente dal titolare del
sito web.
Senza
il ricorso a tali cookie, alcune operazioni non potrebbero essere
compiute o sarebbero più complesse e/o meno sicure, come ad esempio
le attività di home banking (visualizzazione dell'estratto conto,
bonifici, pagamento di bollette, ecc.), per le quali i cookie, che
consentono di effettuare e mantenere l'identificazione dell'utente
nell'ambito della sessione, risultano indispensabili.
4.
I cookie analytics sono cookie "tecnici"?
No.
Il Garante (cfr. provvedimento
dell'8 maggio 2014)
ha precisato che possono essere assimilati ai cookie tecnici soltanto
se utilizzati a fini di ottimizzazione del sito direttamente dal
titolare del sito stesso, che potrà raccogliere informazioni in
forma aggregata sul numero degli utenti e su come questi visitano il
sito. A queste condizioni, per i cookie analytics valgono le stesse
regole, in tema di informativa e consenso, previste per i cookie
tecnici.
5.
Cosa sono i cookie "di profilazione"?
Sono
i cookie utilizzati per tracciare la navigazione dell'utente in rete
e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi
cookie possono essere trasmessi al terminale dell'utente messaggi
pubblicitari in linea con le preferenze già manifestate dallo stesso
utente nella navigazione online.
6.
È necessario il consenso dell'utente per l'installazione dei cookie
sul suo terminale?
Dipende
dalle finalità per le quali i cookie vengono usati e, quindi, se
sono cookie "tecnici" o di "profilazione".
Per
l'installazione dei cookie tecnici non è richiesto il consenso degli
utenti, mentre è necessario dare l'informativa (art. 13 del Codice
privacy). I cookie di profilazione, invece, possono essere installati
sul terminale dell'utente soltanto se questo abbia espresso il
proprio consenso dopo essere stato informato con modalità
semplificate.
7.
In che modo il titolare del sito deve fornire l'informativa
semplificata e richiedere il consenso all'uso dei cookie di
profilazione?
Come
stabilito dal Garante nel provvedimento indicato alla domanda n. 4,
l'informativa va impostata su due livelli.
Nel
momento in cui l'utente accede a un sito web (sulla home page o su
qualunque altra pagina), deve immediatamente comparire un banner
contenente una prima informativa "breve", la richiesta di
consenso all'uso dei cookie e un link per accedere ad un'informativa
più "estesa". In questa pagina, l'utente potrà reperire
maggiori e più dettagliate informazioni sui cookie scegliere quali
specifici cookie autorizzare.
8.
Come deve essere realizzato il banner?
Il
banner deve avere dimensioni tali da coprire in parte il contenuto
della pagina web che l'utente sta visitando. Deve poter essere
eliminato soltanto tramite un intervento attivo dell'utente, ossia
attraverso la selezione di un elemento contenuto nella pagina
sottostante.
9.
Quali indicazioni deve contenere il banner?
Il
banner deve specificare che il sito utilizza cookie di profilazione,
eventualmente anche di "terze parti", che consentono di
inviare messaggi pubblicitari in linea con le preferenze dell'utente.
Deve
contenere il link all'informativa estesa e l'indicazione che, tramite
quel link, è possibile negare il consenso all'installazione di
qualunque cookie.
Deve
precisare che se l'utente sceglie di proseguire "saltando"
il banner, acconsente all'uso dei cookie.
10.
In che modo può essere documentata l'acquisizione del consenso
effettuata tramite l'uso del banner?
Per
tenere traccia del consenso acquisito, il titolare del sito può
avvalersi di un apposito cookie tecnico, sistema non particolarmente
invasivo e che non richiede a sua volta un ulteriore consenso.
In
presenza di tale "documentazione", non è necessario che
l'informativa breve sia riproposta alla seconda visita dell'utente
sul sito, ferma restando la possibilità per quest'ultimo di negare
il consenso e/o modificare, in ogni momento e in maniera agevole, le
proprie opzioni, ad esempio tramite accesso all'informativa estesa,
che deve essere quindi linkabile da ogni pagina del sito.
11.
Il consenso online all'uso dei cookie può essere chiesto solo
tramite l'uso del banner?
No.
I titolari dei siti hanno sempre la possibilità di ricorrere a
modalità diverse da quella individuata dal Garante nel provvedimento
sopra indicato, purché le modalità prescelte presentino tutti i
requisiti di validità del consenso richiesti dalla legge.
12.
L'obbligo di usare il banner grava anche sui titolari di siti che
utilizzano solo cookie tecnici?
No.
In questo caso, il titolare del sito può dare l'informativa agli
utenti con le modalità che ritiene più idonee, ad esempio, anche
tramite l'inserimento delle relative indicazioni nella privacy policy
indicata nel sito.
13.
Cosa deve indicare l'informativa "estesa"?
Deve
contenere tutti gli elementi previsti dalla legge, descrivere
analiticamente le caratteristiche e le finalità dei cookie
installati dal sito e consentire all'utente di
selezionare/deselezionare i singoli cookie.
Deve
includere il link aggiornato alle informative e ai moduli di consenso
delle terze parti con le quali il titolare ha stipulato accordi per
l'installazione di cookie tramite il proprio sito.
Deve
richiamare, infine, la possibilità per l'utente di manifestare le
proprie opzioni sui cookie anche attraverso le impostazioni del
browser utilizzato.
14.
Chi è tenuto a fornire l'informativa e a richiedere il consenso per
l'uso dei cookie?
Il
titolare del sito web che installa cookie di profilazione.
Per
i cookie di terze parti installati tramite il sito, gli obblighi di
informativa e consenso gravano sulle terze parti, ma il titolare del
sito, quale intermediario tecnico tra queste e gli utenti, è tenuto
a inserire nell'informativa "estesa" i link aggiornati alle
informative e ai moduli di consenso delle terze parti stesse.
15.
L'uso dei cookie va notificato al Garante?
I
cookie di profilazione, che di solito permangono nel tempo, sono
soggetti all'obbligo di notificazione, mentre i cookie che hanno
finalità diverse e che rientrano nella categoria dei cookie tecnici,
non debbono essere notificati al Garante.
16.
Quando entrano in vigore le misure prescritte dal Garante con il
provvedimento dell'8 maggio 2014?
Il
Garante ha previsto un periodo transitorio di un anno a decorrere
dalla pubblicazione del provvedimento in Gazzetta Ufficiale per
consentire ai soggetti interessati di mettersi in regola. Tale
periodo terminerà il 2 giugno 2015.
Cosa
sono i cookie? A cosa servono? Rappresentano dei potenziali rischi
per la nostra privacy? Come possiamo tutelare i nostri dati personali
quando navighiamo sul web?
Sono
queste alcune delle domande a cui risponde il nuovo
video tutorial realizzato dal Garante per la privacy.
Il
filmato è parte di una campagna informativa che comprende anche la
scheda divulgativa presentata in questa pagina e una lista
di risposte a domande frequenti (FAQ) in
tema di "Informativa e consenso per l'uso dei cookie".
Cookie
e privacy
Cosa
sono i cookie?
I cookie sono
informazioni immesse sul tuo browser quando visiti un sito web o
utilizzi un social
network con
il tuo pc, smartphone o tablet.
Ogni cookie contiene
diversi dati come, ad esempio, il nome del server da
cui proviene, un identificatore numerico, ecc..
I cookie possono
rimanere nel sistema per la durata di una sessione (cioè fino a che
non si chiude ilbrowser utilizzato
per la navigazione sul web)
o per lunghi periodi e possono contenere un codice identificativo
unico.
A
cosa servono i cookie?
Alcuni cookie sono
usati per eseguire autenticazioni informatiche, monitoraggio di
sessioni e memorizzazione di informazioni specifiche sugli utenti che
accedono ad una pagina web.
Questi cookie,
cosiddetti tecnici,
sono spesso utili, perché possono rendere più veloce e rapida la
navigazione e fruizione del web,
perché ad esempio intervengono a facilitare alcune procedure quando
fai acquisti online,
quando ti autentichi ad aree ad accesso riservato o quando un
sito webriconosce
in automatico la lingua che utilizzi di solito.
Una
particolare tipologia di cookie,
dettianalytics,
sono poi utilizzati dai gestori dei siti web per
raccogliere informazioni, in forma aggregata, sul numero degli utenti
e su come questi visitano il sito stesso, e quindi elaborare
statistiche generali sul servizio e sul suo utilizzo.
Altri cookie possono
invece essere utilizzati per monitorare e profilare gli utenti
durante la navigazione, studiare i loro movimenti e abitudini di
consultazione del web o
di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di
inviare pubblicità di servizi mirati e personalizzati (c.d.
Behavioural Advertising).
Parliamo in questo caso di cookie di
profilazione.
Ad
esempio: Ti
è mai capitato di visitare un sito di servizi, di usare la tua
webmail o di accedere alla tua pagina su un social network e di
trovare dei banner pubblicitari legati alle tue ultime ricerche sul
web o all'ultimo acquisto fatto su Internet?
Ciò
accade perché quegli spazi web sono
progettati per riconoscere il tuo pc o un altro terminale che usi per
collegarti al web (smartphone, tablet),
ed eventualmente indirizzarti messaggi promozionali "profilati"
in base alle tue ricerche e al tuo utilizzo di Internet.
Può
accadere anche che una pagina web contenga cookie provenienti
da altri siti e contenuti in vari elementi ospitati sulla pagina
stessa, come ad esempio banner pubblicitari,
immagini, video, ecc.. Parliamo, in questi casi, dei
cosiddetti cookie terze
parti,
che di solito sono utilizzati a fini di profilazione.
Così
i cookie che
scarichi su pc, smartphone e tablet possono
essere letti anche da altri soggetti, diversi da quelli che
gestiscono le pagine web che
visiti.
I
cookie e la privacy
Considerata
la particolare invasività che i cookie
di profilazione (soprattutto
quelli terze parti) possono avere nell'ambito della sfera privata
degli utenti, la normativa europea e italiana prevedono che l'utente
debba essere adeguatamente informato sull'uso degli stessi ed
esprimere il proprio valido consenso all'inserimento dei cookie sul
suo terminale.
In
particolare, con il provvedimento "Individuazione
delle modalità semplificate per l'informativa e l'acquisizione del
consenso per l'uso dei cookie" dell'8
maggio 2014 [doc web n. 3118884] il
Garante per la protezione dei dati personali ha stabilito che
quando si accede alla home page o ad un'altra pagina di un
sito web che
usa cookie per finalità di profilazione e marketing deve
immediatamente comparire unbanner ben
visibile, in cui sia indicato chiaramente:
1)
che il sito utilizza cookie di profilazione per inviare messaggi
pubblicitari mirati;
2)
che il sito consente anche l'invio di cookie di "terze parti",
in caso di utilizzo di questo tipo di cookie,ossia
di cookie installati da un sito diverso tramite il sito che si sta
visitando;
3)
un link a una informativa più ampia, con le indicazioni
sull'uso dei cookie inviati dal sito, dove è possibile negare il
consenso alla loro installazione direttamente o collegandosi ai
vari siti nel caso dei cookie di "terze parti";
4)
l'indicazione che proseguendo nella navigazione (ad
es., accedendo ad un'altra area del sito o selezionando un'immagine o
un link)
si presta il consenso all'uso dei cookie.
In
ogni caso, oltre alle tutele previste, hai anche altre opzioni per
navigare senza cookie
Blocca
i cookie di terze parti
I cookie di
terze parti non sono generalmente indispensabili per navigare, quindi
puoi rifiutarli per default,
attraverso apposite funzioni del tuo browser.
Attiva
l'opzione Do
Not Track
L'opzione Do
Not Track è
presente nella maggior parte dei browser di ultima generazione. I
siti web progettati in modo da rispettare questa opzione, quando
viene attivata, dovrebbero automaticamente smettere di raccogliere
alcuni tuoi dati di navigazione. Come detto, tuttavia, non tutti i
siti web sono impostati in modo da rispettare questa opzione
(discrezionale).
Attiva
la modalità di "navigazione anonima"
Mediante
questa funzione puoi navigare senza lasciare traccia nel browser dei
dati di navigazione. I siti non si ricorderanno di te, le pagine che
visiti non saranno memorizzate nella cronologia e i nuovi cookie
saranno cancellati.
La
funzione navigazione anonima non garantisce comunque l'anonimato su
Internet, perché serve solo a non mantenere i dati di navigazione
nel browser, mentre invece i tuoi dati di navigazione continueranno a
restare disponibili ai gestori dei siti web e ai provider di
connettività.
Elimina
direttamente i cookie
Ci
sono apposite funzioni per farlo in tutti i browser. Ricorda però
che ad ogni collegamento ad Internet vengono scaricati nuovi cookie,
per cui l'operazione di cancellazione andrebbe eseguita
periodicamente. Volendo, alcuni browser offrono dei sistemi
automatizzati per la cancellazione periodica dei cookie.
Nessun commento:
Posta un commento