Il garante privacy avvia la consultazione pubblica sull’uso dei cookies

Dario Reccia 03/01/13
Il 19 dicembre il Garante per la privacy ha pubblicato il provvedimento che segna l’avvio della consultazione pubblica sull’informativa semplificata da fornire agli utenti prima di installare sui loro dispositivi di navigazione i cosiddetti cookies.

Gli operatori del settore, i gestori dei siti internet e le associazioni rappresentative dei consumatori potranno far pervenire i loro contributi e le loro considerazioni, scrivendo al Garante al seguente indirizzo: consultazionecookie@gpdp.it

La consultazione avrà una durata di 90 giorni e si chiuderà pertanto il 19 marzo 2013.

I cookies sono piccoli file di testo che, installati sui computer degli utenti dai gestori dei siti internet, sono in grado di raccogliere una serie di dati personali dell’utente e di trasmetterli al soggetto responsabile dell’installazione del cookie.

I cookies sono utilizzati dai gestori dei siti per le finalità più disparate: per riconoscere l’utente che ha avuto accesso a un’area riservata del sito al fine di non costringerlo ad autenticarsi nuovamente ad ogni cambio pagina (cookies di sessione); per ricordare le preferenze dell’utente, per esempio riguardo la lingua in cui visualizzare il sito (cookies di personalizzazione); per agevolare le operazioni di commercio elettronico, salvando nel carrello i prodotti da acquistare; per profilare l’utente, registrando i siti visitati o, più in generale, le abitudini di navigazione dell’utente, etc…

Non tutti i cookies sono soggetti alla stessa disciplina.

Al riguardo occorre distinguere due macro categorie: i cookies tecnici e gli altri cookies.

I cookies tecnici sono quelli indispensabili per eseguire un’operazione o comunque per fornire un servizio richiesti dallo stesso utente. Rientrano in questa categoria, ad esempio, i cookies di autenticazione, quelli utilizzati nell’ambito del commercio elettronico, quelli che ricordano le preferenze dell’utente, etc…

Per installare i cookies tecnici, il gestore del sito deve prima informare l’utente in modo chiaro sulle modalità e finalità del trattamento, ma non ha la necessità di ottenere anche il suo consenso.

Per gli altri cookies, tra i quali spiccano per importanza quelli usati per attività di profilazione e marketing, l’informativa dovrà essere sempre accompagnata dalla raccolta preventiva del consenso dell’utente prima di procedere all’installazione.

Con il contributo di tutti i soggetti interessati che prenderanno parte alla consultazione pubblica, il Garante si propone di creare un modello di informativa semplificata che possa essere adoperato liberamente dai gestori dei siti, con la sicurezza di rispettare i requisiti prescritti al riguardo dall’art. 122 del Codice privacy.

Tuttavia il Garante ha già precisato che la semplificazione non andrà a discapito della salvaguardia di determinati principi cardine in materia di tutela della privacy.

Innanzitutto l’informativa dovrà sempre consentire all’utente di manifestare, se richiesto, un consenso libero, specifico ed espresso in relazione a ciascun singolo trattamento che giustifica l’installazione dei cookies.

Questo significa, ad esempio, che l’utente dovrà essere messo in condizione di rifiutare un cookie per attività di profilazione e marketing, accettando magari quelli strumentali al perseguimento di diverse finalità.

Anche le finalità del trattamento dovranno essere descritte in modo tale da offrire all’utente la possibilità di comprenderne chiaramente la portata: nel caso dei cookies utilizzati per la profilazione ed il marketing, ad esempio, non sarà sufficiente informare l’utente del fatto che il cookie è strumentale all’invio di comunicazioni di natura commerciale  e/o promozionale, se allo stesso tempo l’informativa non chiarisce che a tal fine sarà creato un profilo dell’utente a partire dall’analisi dei suoi dati di navigazione.

La consultazione pubblica costituirà inoltre l’occasione per chiarire un altro aspetto delicato. Molto spesso, infatti, accedendo ad un sito, l’utente riceve l’installazione non solo dei cookies provenienti dal gestore del sito, ma anche di quelli appartenenti a terze parti. Questo accade, per esempio, quando sul sito sono presenti inserzioni pubblicitarie, link, tasti social o altri contenuti comunque riconducibili a soggetti terzi.

Al riguardo il Garante ha già anticipato che l’informativa potrà essere fornita nell’interesse del terzo dallo stesso gestore del sito in base ad un accordo interno fra le parti con il quale il terzo nomina il gestore come suo responsabile del trattamento; analogo discorso vale nel caso in cui per l’installazione del cookie sia necessario il consenso dell’utente.

Peraltro il terzo può fornire l’informativa e raccogliere il consenso anche in altro modo, per esempio quando l’utente si collega al suo sito, cliccando sul link; in  ogni caso, quale che sia la modalità prescelta, sino a quando il terzo non fornisce l’informativa, l’installazione del cookie attraverso il sito di un altro soggetto rimane vietata.

Al riguardo resta da comprendere se il titolare del trattamento, con una sola informativa ed un unico consenso, possa installare i cookies a partire da più siti appartenenti a terzi; in altri termini, il gestore di un sito potrebbe informare in anticipo l’utente, raccogliendone se necessario anche il consenso, sulla futura installazione dei cookies ogniqualvolta l’utente visiti il sito di una terza parte.

Un ultimo aspetto molto interessante che la consultazione contribuirà a chiarire riguarda invece le modalità semplificate attraverso cui l’utente potrà esprimere il proprio consenso all’installazione dei cookies, anche attraverso le specifiche configurazioni di programmi informatici e di dispositivi elettronici, secondo quanto previsto dall’articolo 122 del Codice privacy.

Al riguardo, infatti, la maggior parte dei browser consentono già all’utente di scegliere se accettare o meno i cookies nel corso della navigazione, ovvero se accettarli solo a determinate condizioni. Lo stesso accade per mezzo dei cosiddetti plug-in, ovvero quei “programmini” che costituiscono un’estensione delle funzioni base del browser.

Da tenere presente, però, che il Gruppo Art. 29, nel proprio recente parere sulla Direttiva comunitaria 2009/136/CE di cui le nuove disposizioni contenute all’articolo 122 del Codice privacy costituiscono attuazione, ha già chiarito che impostare il proprio browser in modo tale che accetti qualsiasi cookie non equivale a prestare il consenso in quanto l’utente deve sempre avere l’opportunità di manifestare la propria volontà espressamente e con specifico riguardo a ciascun trattamento per il quale il consenso è richiesto.

Resta da vedere se il Garante italiano si adeguerà alle indicazioni fornite a livello comunitario dal Gruppo Art. 29.

Dario Reccia

Scrivi un commento

Accedi per poter inserire un commento