Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Siti web

Cookie: il tempo stringe, ecco cosa bisogna sapere sul provvedimento del Garante Privacy

di Graziano Garrisi e Stefano Frontini, associazione ANORC

25 Mag 2015

25 maggio 2015

A partire dal 2 giugno terminerà il periodo transitorio concesso dal Garante per conformarsi al provvedimento sui cookie e l’impatto che gli stessi hanno sulla riservatezza degli utenti. I proprietari dei siti web dovranno necessariamente adeguarsi per evitare sanzioni. Vediamo che cosa significa

Il 2 giugno terminerà il periodo transitorio concesso dal Garante Privacy per conformarsi al provvedimento del 18 maggio sui cookie: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

Ossia, da quel momento in poi tutti gli utilizzatori di questi strumenti dovranno adeguarsi alle prescrizioni del Garante, se non vorranno incorrere nelle pesanti sanzioni pecuniarie previste per chi non le rispetti.

È certamente capitato a tutti, dopo aver navigato sul web e fatto delle ricerche, magari riguardanti un hobby o una passione, di veder comparire d’un tratto sui nostri account social o nella casella di posta elettronica messaggi pubblicitari di oggetti simili o comunque inerenti alle ricerche effettuate. Oramai quasi tutti sanno che a causare questi “fenomeni” sono proprio i cookie, ma forse non si comprende veramente cosa siano i cookie e che ingerenza possano avere nelle nostre vite.

Infatti, nonostante un discreto numero di siti internet (ancora troppo pochi, a dire la verità) possegga adeguate informative in merito ai cookie, la maggior parte degli internauti presta poca attenzione al contenuto delle stesse e molto spesso viene dato il consenso a trattamenti estremamente invasivi e pericolosi senza nemmeno rendersene conto.

I cookie, giova ricordarlo, sono delle informazioni trasmesse dai siti navigati al nostro PC che, a seconda della tipologia, possono avere impatti più o meno invasivi sulla nostra privacy.

Si possono avere diverse tipologie di cookie, ciascuna delle quali ha effetti molto differenti.

Si parte dai cookie tecnici, che sono quelli indispensabili alla corretta navigazione su un sito: essi sono finalizzati unicamente a effettuare la trasmissione di una comunicazione elettronica o, nella misura strettamente necessaria al fornitore, di un servizio esplicitamente richiesto dall’abbonato o dall’utente, senza perseguire scopi ulteriori[1]. Questa tipologia di cookie può essere ulteriormente divisa, ad esempio, in cookie di navigazione (o di sessione), che rendono possibile la navigazione del sito web; cookie analytics (o statistici), utilizzati dal gestore del sito al fine di raccogliere informazioni, in forma aggregata, sulla quantità di visitatori, sulle modalità con cui gli stessi navigano il sito e sui siti di provenienza; cookie funzionali, capaci di memorizzare alcuni fattori come ad esempio la lingua o i prodotti selezionati per l’acquisto, migliorando il servizio offerto.

L’installazione dei cookie tecnici è consentita anche senza il consenso preventivo, ferma restando, però, la necessità di predisporre un’informativa estesa (ai sensi dell’art. 13 del Codice Privacy) che fornisca all’utente informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito. Inoltre, qualora il sito utilizzi solo cookie tecnici (indipendentemente che siano di prima o di terza parte), non è necessario fornire all’utente l’informativa breve mediante banner.

Diversi dai cookie tecnici sono quelli cosiddetti di profilazione. Sono cookie capaci di raccogliere grandissime quantità delle informazioni diffuse dagli utenti durante la navigazione e di utilizzarle per inviare messaggi pubblicitari mirati e in linea con le preferenze palesate.

Alla luce delle conseguenze che possono nascere da un trattamento del genere, l’utilizzo dei cookie di profilazione è consentito – ai sensi dell’articolo 122, comma 1, del Codice Privacy – solo a condizione che l’utente abbia espresso il proprio consenso e sia stato adeguatamente informato (ai sensi dell’articolo 13 del citato Codice).

A tal proposito, l’Autorità Garante ha fornito – con il provvedimento citato – una semplificazione per quanto concerne l’obbligo di informativa, stabilendo che il gestore del sito web potrà mostrare su qualsiasi pagina di primo accesso al sito una semplice “informativa breve” tramite un banner dinamico, che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti. In particolare, il banner dovrà preferibilmente avere le seguenti caratteristiche:

–          dimensioni tali da essere facilmente visibile o – in alternativa – espandibile (ad esempio, strip autoespandibile o pushbar);

–          caratteri più evidenti rispetto a quelli del sito;

–          un colore del fondo contrastante rispetto a quello del sito e al testo del banner stesso.

La stessa Autorità ha, altresì, semplificato le modalità di acquisizione del consenso, stabilendo che l’utente può esprimerlo – direttamente e come indicato nel banner – anche mediante una serie di azioni quali:

–          scorrimento (c.d. scroll down);

–          click su uno dei link interni della pagina;

–          click sul tasto “OK”, “Chiudi” o sul tasto “X” eventualmente presente.

 

Nondimeno, va precisato che mentre per i cookie tecnici non è stabilito l’obbligo di notificazione preventiva, per poter installare cookie di profilazione è, invece, necessario tale adempimento, così come stabilito dall’art. 37 comma 1 lett. d) del Codice Privacy.

Ulteriore differenziazione che è possibile effettuare è quella tra cookie di prima e terza parte. È molto frequente, infatti, che navigando su un sito ci si imbatta in cookie di soggetti diversi dall’editore del sito principale. Questa ulteriore distinzione non è di poco conto, considerato il fatto che sulla base dell’individuazione del soggetto che invia i cookie vengono delineati ruoli e responsabilità in merito alla predisposizione dell’informativa per l’acquisizione del consenso.

Come si è scritto prima, dal prossimo 2 giugno per essere conformi al provvedimento dell’Autorità Garante sarà necessario mettere a disposizione degli internauti un’informativa chiara (che sia estesa o breve non fa differenza) che consenta a questi ultimi di esprimere un consenso consapevole all’uso dei cookie.

Tale nuova regolamentazione, inoltre, grazie al provvedimento del Garante “Linee guida in materia di trattamento di dati personali per profilazione on line” del 19 marzo 2015, è stata estesa anche ad altre tecnologie similari che vengono utilizzate dagli operatori del web: ci si riferisce, in particolare, a chi fa profilazione on line mediante l’utilizzo di altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern). Tale tecnica, denominata “fingerprinting”, poiché utilizzata per il conseguimento delle medesime finalità di profilazione (al pari dell’impiego dei cookie), viene anch’essa disciplinata dall’art. 122 del Codice Privacy e, quindi, sottoposta all’obbligo di acquisizione del consenso preventivo dell’interessato (tranne i casi di esenzione previsti e consistenti nella sola trasmissione di una comunicazione su una rete di comunicazione elettronica o erogazione del servizio su richiesta dell’utente).

Le sanzioni stabilite in caso di mancato rispetto delle prescrizioni previste nel provvedimento del Garante possono raggiungere entità piuttosto sostanziose. Si va da un minimo di seimila fino a trentaseimila euro in caso di mancata o inidonea informativa; da diecimila fino a centoventimila euro, invece, per la mancata acquisizione del consenso preventivo; e, infine, l’omessa o incompleta notificazione al Garante ai sensi dell’art 161 è punita con una somma variabile da ventimila a centoventimila euro.

Tempi duri, dunque, si prospettano per quei siti internet che dopo il 2 giugno non opereranno conformemente alle prescrizioni del Garante in materia di cookie.

 

[1] Art 122, comma 1 del Codice Privacy.

  • SIMONE ESPOSITO

    Nell’articolo non viene purtroppo chiarito se il sito del gestore deve consentire la disattivazione singola dei singoli cookie o se è sufficiente il richiamo alle impostazioni del browser.

  • GiBi

    Questo è quello che ho capito io. Sbaglio?

    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/3585077

    FAQ N. 5 – i cookie di profilazione sono quelli utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. per scopi pubblicitari.

    FAQ N. 6 – per l’istallazione di cookie tecnici non è richiesto il consenso preventivo. Bisogna solo darne notizia nell’informativa estesa (una pagina chiamata “cookie policy” linkata in ogni pagina del sito).

    FAQ N. 14 – per i cookie di profilazione di terze parti istallati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

    IN DEFINITIVA.

    A meno che il vostro sito non rilasci direttamente dei cookie di profilazione vostri (cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. con lo scopo di somministrargli poi della pubblicità) NON DOVETE FAR APPARIRE IL BANNER PER ACQUISIRE IL CONSENSO PREVENTIVO, ma dovete solo darne informazione in un file informativo chiamato “cookie policy” linkato in ogni pagina del sito.

  • Davide

    Cortesemente potreste chiarire dove è scritto o da dove si deduce che in caso si abbiano solo cookie tecnici non è necessario fornire all’utente l’informativa breve mediante banner?

    A me non risulta che sia così, ossia che l’informativa breve è comunque necessaria se si usano cookie. Anche dopo aver riletto la norma rimango di questa ipotesi, ma potrebbe essere che mi sbaglio.

    Vedo però che anche sul sito AGID, pur usando solo cookie tecnici l’informativa breve viene visualizzata …

    Grazie

  • honeybadger

    Forse potrebbe interessarvi questo articolo sui cookie: a tre anni dalle ultime modifiche apportate al Codice privacy sulla materia dei cookie, non c’è ancora chiarezza e c’è bisogno di parlarne in modo più approfondito. @lamiaprivacy #cookielaw #privacy
    https://lamiaprivacy.wordpress.com/2015/05/24/cookie-la-disciplina-applicabile-e-le-criticita-del-provvedimento-del-garante/

  • gomesse

    Ciao,

    Sono DIDIER GOMESSE, proprietario di molte imprese e società di produzioni in diversi settori un po’ovunque nel mondo, Europa, Asia e Africa.

    Allo scopo di aumentare il numero delle mie attività e rimettere a galla le mie casse a lunghi termini, amerei assegnare prestiti ad ogni persona desiderosa o aventi difficoltà finanziarie.

    Il nostro finanziamento comincia a parte di 5000€, 10.000€, 40 000€, 45.000€ a 10.000.000 €).
    Questi fondi saranno trasferiti immediatamente nel vostro nome nel vostro conto senza preoccupazione, quindi li prego di fornirli come segue: Nome, nome, paese e la somma totale, a: Contatto:

    DIDIER GOMESSE

    E-mail: didiergomesse@gmail.com

    Siamo al vostro servizio

  • Didier

    Ciao,

    Sono DIDIER GOMESSE, proprietario di molte imprese e società di produzioni in diversi settori un po’ovunque nel mondo, Europa, Asia e Africa.

    Allo scopo di aumentare il numero delle mie attività e rimettere a galla le mie casse a lunghi termini, amerei assegnare prestiti ad ogni persona desiderosa o aventi difficoltà finanziarie.

    Il nostro finanziamento comincia a parte di 5000€, 10.000€, 40 000€, 45.000€ a 10.000.000 €).
    Questi fondi saranno trasferiti immediatamente nel vostro nome nel vostro conto senza preoccupazione, quindi li prego di fornirli come segue: Nome, nome, paese e la somma totale, a: Contatto:

    DIDIER GOMESSE

    E-mail: didiergomesse@gmail.com

    Siamo al vostro servizio

  • Pingback: informativa sui cookie | RadioVirus Magazine()

Articoli correlati