GARANTE PRIVACY: le nuove regole sull’utilizzo dei cookie

GARANTE PRIVACY: le nuove regole sull’utilizzo dei cookie

Con provvedimento n. 229 dell’8 maggio 2014 (pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014), il Garante della Privacy ha chiarito le modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

Il provvedimento, riguardando in pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impatto su un numero enorme di soggetti, che presentano peraltro, natura e caratteristiche profondamente diverse tra loro.

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti“), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice).

Al riguardo, il Garante ha individuato pertanto due macro-categorie: cookie “tecnici” e cookie “di profilazione”.

a. Cookie tecnici.

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

b. Cookie di profilazione.

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).

c. Cookie di terze parti.

Per quanto concerne, poi, i cookie di “terze parti” il Garante della Privacy ha chiarito che non si può obbligare l’editore (gestore del sito) ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente faticosa per l’utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l’intento di semplificazione previsto dall’art. 122 del Codice.

Affinché la semplificazione sia effettiva, il Garante ha ritenuto necessario che la richiesta di consenso all’uso dei cookie sia inserita in un banner presente sulla home page del sito contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, dovranno poter accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.

L’informativa breve.

In particolare, con il provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014 il Garante per la protezione dei dati personali ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

L’informativa estesa.

L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari.

Notificazione del trattamento.

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics, non debbono essere notificati al Garante.

Tempi di adeguamento.

Il Garante ha ritenuto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate con scadenza, quindi, al 3 giugno 2015.

Conseguenze del mancato rispetto della disciplina in materia di cookie.

Per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).


Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Avv. Giacomo Romano

Ideatore e Coordinatore at Salvis Juribus
Nato a Napoli nel 1989, ha conseguito la laurea in giurisprudenza nell’ottobre 2012 con pieni voti e lode, presso l'Università degli Studi di Napoli Federico II, discutendo una tesi in diritto amministrativo dal titolo "Le c.d. clausole esorbitanti nell’esecuzione dell’appalto di opere pubbliche", relatore Prof. Fiorenzo Liguori. Nel luglio 2014 ha conseguito il diploma presso la Scuola di specializzazione per le professioni legali dell'Università degli Studi di Napoli Federico II. Subito dopo, ha collaborato per un anno con l’Avvocatura Distrettuale dello Stato di Napoli occupandosi, prevalentemente, del contenzioso amministrativo. Nell’anno successivo, ha collaborato con uno studio legale napoletano operante nel settore amministrativo. Successivamente, si è occupato del contenzioso bancario e amministrativo presso studi legali con sede in Napoli e Verona. La passione per l’editoria gli ha permesso di intrattenere una collaborazione professionale con una nota casa editrice italiana. È autore di innumerevoli pubblicazioni sulla rivista “Gazzetta Forense” con la quale collabora assiduamente da giugno 2013. Ad oggi, intrattiene collaborazioni professionali con svariate riviste di settore e studi professionali. È titolare di “Salvis Juribus Law Firm”, studio legale presso cui, insieme ai suoi collaboratori, svolge quotidianamente l’attività professionale avendo modo di occuparsi, in particolare, di problematiche giuridiche relative ai Concorsi Pubblici, Esami di Stato, Esami d’Abilitazione, Urbanistica ed Edilizia, Contratti Pubblici ed Appalti.

Articoli inerenti