Avvocato Amministrativista a Trapani - Diritto Amministrativo - Notizie, Articoli, Sentenze

Sentenza

Garante Privacy:regole sui cookies: è necessario acquisire il consenso....
Garante Privacy:regole sui cookies: è necessario acquisire il consenso.
La disciplina sui cookies nel Codice della privacy dopo il d.lgs. 69/2012. Il decreto ha – tra l'altro - modificato l'art. 122 del Codice della privacy  rafforzando l'opt-in e dunque la necessità del consenso degli utenti alla operatività di determinati cookies non tecnici (previa informativa, anche semplificata).
Il Garante per la privacy - con Provvedimento Generale dell'8 Maggio 2014 (pubblicato nella Gazzetta Ufficiale del 3 Giugno scorso e intitolato “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie”) ha indicato a tutti i titolari del trattamento le regole semplificate in materia di rilascio dell'informativa e di acquisizione del consenso alla operatività dei cookies di profilazione, fissando termine di un anno (entro cioè il 3 Giugno 2015) ad imprese, gestori di siti, terze parti, etc per implementare tali prescrizioni (è opportuno ricordare che l'inosservanza dei provvedimenti generali adottati dall'Autorità Garante per la privacy è punita con una sanzione amministrativa da 30mila a 180mila euro).
Ma cosa sono i cookies? Un cookie è un piccolo file di lettere e numeri che viene scaricato sui terminali utilizzati dagli utenti (personal computer, notebook, tablet pc, smartphone, ecc.),  quando si accede a certi siti web. I cookie consentono ad un sito web di riconoscere le preferenze espresse da un utente durante una precedente navigazione, quando torna a visitare quel sito. Un cookie di per sé non contiene né raccoglie informazioni. Tuttavia, quando viene letto da un server in relazione ad un browser di rete, può aiutare un sito web a offrire un accesso più facile, ad esempio, ricordando gli acquisti precedenti o i dettagli di un account.
I cookie sono registrati nella memoria del browser dell'utente e ciascuno contiene generalmente il nome del server da cui il cookie è stato inviato,  la scadenza del cookie e un valore, solitamente un numero unico generato a caso dal computer. Il server del sito web che trasferisce il cookie al terminale dell'utente utilizza questo numero per riconoscerlo quando l'utente torna a visitare il sito o naviga da una pagina all'altra. Solo il server che ha inviato un cookie può leggere e quindi utilizzare quel cookie.
Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
Non è obbligatorio richiedere all'utente il preventivo consenso per i “cookies tecnici”. È lo stesso Garante privacy che apre il proprio Provvedimento Generale differenziando – ai fini della successiva disciplina – i “cookies tecnici” (per i quali non è obbligatorio richiedere all'utente il preventivo consenso, mentre resta fermo l'obbligo di fornire l'informativa privacy) dai “cookies di profilazione” (che sono i più critici in termini di invasività e la cui operatività deve invece basarsi su un consenso esplicito, consapevole, informato e selettivo da parte degli utenti).
I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc..
I “cookie tecnici” – continua il Garante -  sono quelli utilizzati al solo fine di «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio» (art. 122, comma 1, Codice). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in:
1.       cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
2.       cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.
In alcuni casi i cookie sono tecnicamente necessari. Alcune operazioni non potrebbero essere compiute senza l'uso dei cookie, che in alcuni casi sono quindi tecnicamente necessari: a titolo esemplificativo, l'accesso all'home banking e le attività che possono essere svolte sul proprio conto corrente online (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.) sarebbero molto più complesse da svolgere e meno sicure senza la presenza di cookie tecnici che consentono di identificare l'utente e mantenerne l'identificazione nell'ambito della sessione.
Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito potrà fornire con le modalità che ritiene più idonee: spiega difatti il Garante che in tali casi l'assenza del consenso riduce la consapevolezza dell'interessato, che deve essere necessariamente fondata su una informativa chiara e di immediata comprensione.
Continuando con esempi di cookies tecnici per i quali non è necessario richiedere il consenso (ma resta ferma l'informativa) può richiamarsi una elencazione che è stata fornita dall'organismo europeo che riunisce tutte le Autorità Garanti per la privacy dei vari Stati Membri UE (il c.d. Gruppo “Articolo 29” ) che ha chiarito nel Parere 4/2012 (WP194) intitolato “Esenzione dal consenso per l'uso dei cookies” che sono cookies per i quali non è necessario acquisire il consenso dell'utente:
1)      cookies con dati compilati dall'utente (identificativo di sessione), della durata di una sessione o cookies persistenti limitatamente ad alcune ore in taluni casi;
2)      cookies per l'autenticazione, utilizzati ai fini dei servizi autenticati, della durata di una sessione;
3)      cookies di sicurezza incentrati sugli utenti, utilizzati per individuare abusi di autenticazione, per una durata persistente limitata;
4)      cookies di sessione per lettori multimediali, come i cookies per lettori “flash”, della durata di una sessione;
5)      cookies di sessione per il bilanciamento del carico, della durata di una sessione;
6)      cookies persistenti per la personalizzazione dell'interfaccia utente, della durata di una sessione (o poco più);
7)      cookies per la condivisione dei contenuti mediante plug-in sociali di terzi, per membri di una rete sociale che hanno effettuato il login.
Le cose cambiano se si tratti di “cookie di profilazione”. I “cookie di profilazione” sono invece quelli volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete (servono cioè per creare un profilo personalizzato dell'utente a partire dalle pagine che lo stesso ha visitato e mostrargli quindi pubblicità mirate, c.d. Behavioural Advertising).
La pubblicità comportamentale online è difatti una modalità di utilizzare le informazioni raccolte sulla attività di navigazione online (proprio attraverso i cookie) per raggruppare gli utenti in categorie di interesse specifiche (c.d. clusters) e sottoporre annunci pubblicitari basati su questi stessi interessi (la pubblicità comportamentale è diversa rispetto ad altre forme di pubblicità su internet, come la pubblicità contestuale, che è invece inviata in risposta alle attività dell'utente nell'ambito della sessione in corso,incluse ricerche o visite di siti web).
In ragione della particolare invasività che i cookie di profilazione possono avere nell'ambito della sfera privata degli utenti - chiarisce il Garante -  la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.
Avv. Antonino Sugamele

Richiedi una Consulenza