I cookie, questi sconosciuti. 6 riflessioni + 1 per conoscerli meglio
Lo Studio Legale Ciamei è lieto di riavviare la pubblicazione settimanale di articoli sul diritto italiano e svizzero, cominciando subito con un alto livello di competenza e professionalità: accogliamo il contributo del dott. Massimo Antonio Bruno, uno dei massimi esperti in Italia in materia di privacy, con il quale è da tempo avviata una collaborazione professionale che sta portando grandi benefici ai clienti dello studio.
Buona lettura e lasciate pure i vostri commenti, riceverete risposte ai vostri dubbi.
*****
Uso Cookie nei Siti Web per motivi di Profilazione
Navigando sul web ci imbattiamo continuamente, all’apertura delle home page di qualsiasi sito, su dei banner che ci avvisano che se nel sito che stiamo visitando si fa uso di cookies e che se continuiamo a navigare accettiamo l’uso degli stessi. A cosa servono? Perché ci sono? Riguardano forse la Privacy?
1. Il provvedimento generale 08.05.2014 del Garante Della Privacy.
Effettivamente nella progettazione dei siti web per la navigazione sulla rete si prevedono sempre più spesso l’uso di queste tecnologie che potrebbero, in alcuni casi, apparire abbastanza invasive sui nostri dati personali.
A tal proposito in Italia il Garante per la Protezione dei Dati Personali ha prescritto puntuali adeguamenti per tutti i soggetti che, nelle pagine web, adottano tali tecnologie, con un apposito Provvedimento Generale dell’8 Maggio 2014 denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, pubblicato nella G. U. n° 126 del 3 giugno 2014, emesso a seguito di una consultazione pubblica avviata dal Garante Italiano il 22 novembre 2012, tenuto conto delle indicazioni fornite sul tema dal Gruppo di lavoro Europeo per la tutela dei dati personali ex art. 29 (“Opinion 04/2012 on Cookie Consent Exemption”) e del Working Document 02/2013 (“Providing Guidance on Obtaining Consent for Cookies”).
Il provvedimento prima citato prescrive particolari adempimenti in relazione alle comunicazioni fatte via web da parte dei gestori dei siti internet che effettuano attività di profilazione e/o di marketing attraverso il meccanismo dei cookie e/o altri strumenti di monitoraggio analoghi, se utilizzati a tale scopo (ad es: web beacon/web bug, clear GIF, etc. ).
2. Lo scopo del provvedimento del Garante
Il provvedimento ha come scopo il far acquisire piena consapevolezza agli utenti on line, visitatori dei vari siti web, che la loro navigazione verrà monitorata e che avrà un certo livello di analisi più o meno profonda a seconda delle tecnologie di monitoraggio utilizzate dai gestori degli stessi siti.
Per fare un esempio sulla tematica, basta fare attenzione durante la navigazione su internet. Potrebbe essere capitato navigando di visitare un sito di servizi, di usare la propria webmail o di accedere alla pagina personale su un social network e di trovare, alla successiva visita, un messaggio di “bentornato” e/o dei banner pubblicitari legati alle ultime ricerche effettuate sul web o all’ultimo acquisto fatto su un sito di e-commerce. Se ciò è avvenuto è proprio a causa del fatto che quegli spazi web sono stati progettati per riconoscere i pc o altro terminale usati normalmente per collegarsi al web (smartphone, tablet, etc), ed eventualmente indirizzare messaggi promozionali “profilati” in base alle ricerche e all’utilizzo personale di Internet. Il tutto per merito del meccanismo di funzionamento dei cookie.
3. Cosa sono i cookie?
I cookie sono piccoli file di testo che i siti visitati inviano al terminale di navigazione (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire). Ma attraverso i cookie si può anche monitorare la navigazione, raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili dei consumatori.
A tal proposito si distinguono due meccanismi di monitoraggio che prevedono l’utilizzo dei cookies, quelli c. d. tecnici e quelli di profilazione.
I cookie tecnici sono largamente usati e sono anche necessari per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti, come quello utilizzato per effettuare le operazioni di accesso ai sistemi di internet banking o con protocolli di sicurezza.
I cookie di profilazione servono più specificatamente per profilare i potenziali clienti, monitorare la navigazione, raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili relativi all’utente navigatore e viene utilizzato solitamente con il fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti la legislazione attuale prevede l’uso di particolari accorgimenti e segnalazioni preventive all’Authority stessa per essere autorizzati prima del loro uso ( c. d. Notificazione ex art 37 del Codice ).
L’uso dei meccanismi di monitoraggio di tipo meramente tecnico è stato esonerato dall’obbligo preventivo di notificazione, mentre per quello tecnico di profilazione vige perentoriamente tale obbligo.
4. I meccanismi di web analytics
Larga diffusione di uso nei siti internet di ultima generazione hanno i meccanismi di web analytics attraverso i cookie. Il Garante ha precisato che, in linea di principio, essi non sono di tipo tecnico, ma possono essere ad essi assimilati soltanto se utilizzati a fini di ottimizzazione dei siti direttamente dai titolari dei siti stessi, che potranno raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano i siti. In altre parole, se utilizzati per riepiloghi di tipo “statistico” sono considerabili come “tecnici”.
Occorre effettuare anche una precisazione in merito all’uso di cookie di terze parti, molto in uso nei meccanismi di web analytics prima descritti. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).
Si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online.
5. L’informativa
Per assicurare quindi il livello di protezione adeguato per la privacy degli utenti e consentire loro scelte più consapevoli, il provvedimento del garante prevede che sia disponibile una informativa ex art. 13 ed un contestuale consenso espresso e specifico ex art. 23. In particolare, tenendo conto delle particolarità dettate dalla navigazione sul web, è prevista una modalità semplificata che prevede l’uso di un banner ben visibile, anche in modalità footer, in ogni pagina di accesso al sito web, cui sia indicato chiaramente:
- che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
- che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando (se previsto);
- un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
- l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.
Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.
Importante anche precisare che, se vengono utilizzati soltanto dei cookie di tipo “tecnico”, i titolari dei siti internet non sono soggetti all’obbligo del banner, ma possono dare l’informativa agli utenti con le modalità che ritengono più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nelle privacy policy già presenti nei propri siti web.
6. Le sanzioni
Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel provvedimento qui descritto, è prevista la sanzione amministrativa del pagamento di una somma da € 6.000,00 a € 36.000,00 (art. 161 del Codice).
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da € 10.000,00 a € 120.000,00 (art. 162, comma 2-bis, del Codice).
L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da € 20.000,00 a € 120.000,00 (art. 163 del Codice).
7. Considerazioni personali
Quello che comunque si denota, nella pratica, è che l’uso dei banner viene utilizzato indiscriminatamente da tutti, indipendentemente se sono in uso dei cookies di profilazione o no, contribuendo a creare confusione nel già difficile discernimento del mondo della rete.
Di fatto quindi i banner dovrebbero avvisare che nei siti che si sta visitando sono in uso dei cookies studiati per spiarci, ma in realtà, essendo presenti in quasi tutti i siti, facciamo veramente difficoltà a capire quali di queste pagine web adottano davvero queste tecnologie.
Dott. Massimo Antonio Bruno
( © diritti riservati )
BMConsulting
Consulenze Aziendali
Privacy, Franchise & Retail Consulting
Via Magenta, 6- 22079 Villa Guardia (CO)
Telephone: +39 3286162764
Fax: +39 2700564258
E-Mail: massimo.bruno@bmconsulting.it
Web Site : www.bmconsulting.it
Riferimenti normativi e link di interesse:
Provvedimento del Garante della Privacy 8 maggio 2014
Sito istituzionale Assoprivacy Italia
Trackbacks & Pingbacks
[…] e GDPR, rimando a successivi approfondimenti, ma nel frattempo, potete leggere un interessante articolo dell’Avv. Marco Ciamei dello Studio Ciamei di Lugano e dell’Avv. Tino Crisafulli su […]
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!