I cookie sono file di puro testo inviati da un sito web direttamente nel computer dell’utente che lo visita. I cookie nascono come strumenti per semplificare la navigazione online (consentendo al sito di ricordare le scelte dell’utente), ma consentono anche di identificare e riconoscere il dispositivo tramite il quale l’utente accede a quel sito.

Il riconoscimento permette di realizzare meccanismi di autenticazione (login), di memorizzare dati utili alla sessione di navigazione (preferenze sull’aspetto grafico, sulla lingua del sito), di associare univocamente dati memorizzati dal server (contenuto del carrello di un sito di acquisti online), di tracciare la navigazione dell’utente a fini statistici o anche pubblicitari (inviandogli pubblicità personalizzata)”.

Proprio quest’ultimo aspetto, cioè la possibilità di “seguire” il percorso di navigazione dell’utente (tra vari siti) e quindi registrare tale percorso, che consente di associare all’utente degli specifici comportamenti in rete e quindi classificarlo (profilazione), poiché incide fortemente sulla riservatezza degli utenti del web, ha convinto numerosi paesi, in particolar modo quelli europei, a regolamentare l’utilizzo dei cookie”.

[fonte protezionedatipersonali.it]

La normativa europea già nel 2002 prevedeva una regolamentazione embrionale dei cookie, stabilendo l’obbligo di informativa e sancendo la prescrizione di comunicare agli utenti come disabilitare i cookie tramite browser. All’epoca, quindi, già esisteva l’obbligo di ottenere il consenso dall’utente, anche se esso poteva essere implicito (e generalmente in tal senso lo si intendeva). Infatti, questo è diventato lo standard del settore.

La direttiva comunitaria 2009/136/CE ha modificato la direttiva 2002/58/CE (E-Privacy), imponendo al gestore del sito web di informare l’utente del fatto che fa uso dei cookie sul sito, e in determinati casi a ottenere il consenso preventivo all’uso degli stessi.

La direttiva europea del 2009 si limitava a creare un quadro normativo all’interno del quale erano, eventualmente, i singoli Garanti nazionali ad definire una regolamentazione di dettaglio (si veda la mappa di attuazione della Cookie Law in Europa).

Direttiva 2009/136/CE

Considerando 66: “Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE. L’esecuzione di detti requisiti dovrebbe essere resa più efficace tramite i maggiori poteri conferiti alle autorità nazionali competenti“.

Articolo 3 – “Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Articolo 5.3, modificato della DIRETTIVA 2002/58/CE – “Gli Stati membri assicurano che l’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare (o facilitare Nota: termine rimosso nel testo finale) la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente”.

[fonte protezionedatipersonali.it]

La normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con la nuova formulazione dell’art. 122 D. Lgs 196/2003.

Art. 122. Informazioni raccolte nei riguardi del contraente o dell’utente

“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”.

La normativa europea non è entrata subito in vigore per i ritardi dei Garanti nazionali nel predisporre la regolamentazione di dettaglio.

L’8 maggio 2014 anche il Garante per la Protezione dei Dati Personali italiano, come già in precedenza avevano fatto altri Garanti europei, ha emanato il Provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014), dettante le regole sulle modalità di adempimento agli obblighi di rilascio dell’informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Il provvedimento è entrato in vigore il 3 giugno del 2015.

La normativa, e il relativo provvedimento del Garante (pagina del Garante sui cookie), si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (art. 5, comma 2, del Codice privacy). E’ da precisare che i cookie (e tecnologie similari) vengono installati sul computer dell’utente e sono da considerare “strumenti situati nel territorio italiano” utilizzati al fine del tracciamento dell’utente.

In realtà le ultime pronunce dei Garanti e dei tribunali tendono a valutare la giurisdizione in base a parametri ulteriori rispetto al criterio di stabilimento.

La normativa si applica anche alla navigazione da cellulari e smartphone (mobile), e non solo ai cookie ma anche a tutti gli strumenti analoghi (web beacon, clear gif o similari) che consentono l’identificazione del dispositivo usato dall’utente.

La riforma europea si presenta come un chiaro rimprovero a quelle aziende che utilizzano termini di servizio poco chiari, troppo complessi, difficili da comprendere, ma anche a quelle che tendono a modificare troppo spesso i termini di servizio, determinando incertezza negli utenti su ciò che accade ai propri dati. Anche perché a seguito di tali modifiche spesso si amplia, sulla base di una scelta unilaterale, il numero dei dati utilizzati e gli scopi per i quali vengono utilizzati, rispetto a quanto era stato accettato dall’utente in sede di iscrizione al servizio.

Secondo l’Europa, infatti, i dati dovrebbero essere privati per impostazione predefinita (“privacy by default”).  Anche qui è una palese critica a quelle aziende che tendono ad impostare di default fin troppi dati come “pubblici” e “condivisi” automaticamente, fin quando l’utente non decide di leggere le impostazioni privacy e di modificarle. Insomma, gli americani osteggiano il principio dell’opt-in, già presente nelle legislazioni europee ma fortemente avversato dalle aziende che preferiscono il meno tutelante opt-out, il quale però permette all’azienda di raccogliere quanti più dati possibili dei suoi utenti.

Le prime applicazioni europee del blocco preventivo (es. Regno Unito) hanno, però, mostrato come fino al 90% degli utenti non conceda il consenso, spesso anche per una mancata consapevolezza di cosa siano realmente i cookie e di come siano utilizzati. Per questo motivo il Garante locale ha modificato la normativa di dettaglio consentendo nel Regno Unito l’invio di cookie prima di chiedere il consenso, purché siano rispettati gli altri obblighi di informativa e di messa a disposizione degli strumenti per il blocco e la cancellazione dei cookie. E’ ovvio che tale regolamentazione è valida solo nel Regno Unito, mentre in Italia occorre rispettare la regolamentazione predisposta dal Garante italiano.

Il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR) va a sostituire la normativa in materia di cookie chiarendo alcuni aspetti e, comunque, rafforzando la tutela dei dati degli individui. Il Considerando 30 menziona espressamente i cookie:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

Il Considerando 26, pur non menzionandoli, ci aiuta a capire che i cookie sono dati pseudonimi, e quindi dati personali. Aggiunge, altresì, che il GDPR non si applica al trattamento di informazioni anonime, anche per finalità statistiche e di ricerca (quindi fissando una esenzione per i cookie di analytics).

La normativa in materia di tutela dei dati personali (Data Protection) ha lo scopo di tutelare la sfera privata dell’utente, e in particolare si riconosce che il dispositivo (computer, smartphone, tablet) con il quale l’utente accede ad un sito web è parte della sfera privata, e quindi va protetto contro qualsiasi intrusione non autorizzata.

La Cookie Law, invece, si occupa esclusivamente delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell’accesso ad informazioni già registrate su quel dispositivo. Tutte le azioni precedenti o successive alla registrazione o all’accesso a tali informazioni non ricadono nella regolamentazione della Cookie Law, bensì nell’ambito della normativa generale (Data Protection).

Per chiarire, se il gestore di un sito vuole condurre un’analisi dell’uso del sito da parte degli utenti, a fini di statistica (analytics), dovrà inviare dei cookie al terminale dei visitatori. L’invio e quindi la registrazione sul terminale dell’utente dei cookie ricade, appunto, nella Cookie Law. Qualsiasi ulteriore accesso ai cookie già impiantati sul terminale dell’utente ricade anch’esso sotto la Cookie Law.

Però, nel momento in cui il gestore del sito vuole analizzare le informazioni raccolte tramite i suddetti cookie, questa analisi e tutti i trattamenti successivi, avvenendo al di fuori del terminale dell’utente,  non sono soggetti alla Cookie Law bensì alla Data protection.

Appare evidente che la Cookie Law fornisce una protezione superiore rispetto alla Data Protection, visto che quest’ultima prevede numerosi casi in cui il consenso informato non è necessario, mentre la Cookie Law non distingue tra dati personali e non personali e richiede sempre il consenso (a parte il rilascio di cookie tecnici).

Tutte la parti che registrano oppure ottengono l’accesso alle informazioni nel terminale dell’utente sono tenute al rispetto della Cookie Law, indipendentemente dall’uso delle informazioni (cioè il trattamento successivo dei dati ottenuti tramite cookie). Il gestore di un sito web è obbligato anche se tale registrazione o accesso avviene da parte di terzi (es. un social network), in quanto detto accesso si realizza tramite il suo sito (embed, banner, links, script, social button), cioè il gestore consente al terzo di utilizzare le sue risorse per l’accesso al terminale dell’utente.

La Cookie Law non consente ad una terza parte di registrare o accedere ad informazioni presenti sul terminale dell’utente in assenza di una corretta informazione e di un consenso da parte dell’utente. Per cui il gestore del sito diventa responsabile per i cookie impostati da una terza parte tramite il suo sito (vedi le FAQ del Garante, punto 6). Non è necessario un accordo preventivo tra il gestore del sito e la terza parte, ma può essere utile al fine di chiarire agli utenti del sito quali dati vengono raccolti e a quali fini dalla terza parte.

Il fattore decisivo per stabilire chi è responsabile dei cookie impostati e dell’accesso alle informazioni sul terminale dell’utente sta nel controllo del contenuto del sito. Il soggetto che controlla il contenuto del sito, cioè ha la possibilità tecnica di inserire o eliminare embed o social button, è responsabile per l’ottenimento del consenso.

Fermo restando che alcune categorie di cookie (anche detti tecnici) sono esentate da consenso, l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta una sanzione da 10mila a 120mila euro.

La regola generale è che per l’invio e l’accesso ai cookie occorre il consenso. La finalità del consenso è di assicurarsi che l’utente abbia un reale controllo sulle informazioni che vengono registrate sul suo terminale o alle quali si accede. Il Considerando 32 del GDPR prevede che:

“il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Quindi, prima che il trattamento dati abbia inizio, l’utente deve fornire un consenso che sia inequivocabile, liberamente dato, volontario, specifico e informato.

Consenso libero vuol dire che l’utente deve avere una reale scelta, per cui all’utente non può essere posta l’alternativa tra l’accettare tutti i cookie del sito oppure non navigare il sito e andarsene. In realtà non è previsto dalla normativa che un sito debba funzionare anche senza cookie, per cui può ritenersi conforme alla legge che in assenza di consenso al visitatore sia preclusa la navigazione del sito. Però occorre distinguere tra i vari servizi del sito, un utente non può essere soggetto al ricatto di dover accettare cookie per la pubblicità personalizzata se vuole semplicemente utilizzare dei servizi forniti dal sito che non necessitano di quel cookie. Ciò comporta che il consenso deve essere separato per i tipi di cookie e quindi in relazione alla finalità (Considerando 32: “Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste“).

Per questo motivo il consenso fornito tramite le impostazioni dei browser non è considerato valido, innanzitutto perchè si limita ai cookie HTTP e non copre cookie di altro tipo (es. Flash Cookie) o altre tecnologie (finger-printing), ma anche perchè il browser tratta tutti i cookie allo stesso modo, per cui l’utente si troverebbe di fronte l’aternativa di accettare tutti i cookie oppure lasciare il sito.

Consenso volontario vuol dire che l’utente deve avere l’opportunità di revocare un consenso già fornito. Non è necessario che sia fornito uno strumento apposito per revocare il consenso, è sufficiente che all’utente sia spiegato come fare ciò (procedendo alla cancellazione dei cookie), anche eventualmente indirizzando a pagine esterne al sito.

Consenso specifico significa che devono essere precisamente indicati i dati che vengono raccolti e le finalità di utilizzo degli stessi dati. Nel caso dei cookie il consenso deve essere collegato alla finalità di registrare informazioni sul terminale dell’utente o di accedere a tali informazioni.

Il consenso deve essere informato, nel senso che le informazioni fornite all’utente devono essere complete e veritiere. In particolare l’utente deve essere posto a conoscenza delle conseguenze delle sue scelte, cioè cosa accade se da il consenso all’uso dei cookie oppure lo rifiuta o lo revoca.

Infine, il consenso deve essere preventivo, nel senso che deve aversi prima che i cookie vengano inviati al terminale dell’utente.

Garante privacy: Faq in materia di cookie

“Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti” (v. punto 1), l’informativa e l’acquisizione del consenso sono di norma a carico del terzo. È necessario che l’utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale“.

[fonte protezionedatipersonali.it]