Contratti Software e del Web
Consulenza legale per la redazione e gestione di contratti software e informaticiA cura dell'avvocato Nicola ferrante
Il tema relativo ai cookie è piuttosto sentito, soprattutto in relazione ai possibili rischi per la privacy associati al loro utilizzo e per il massiccio loro utilizzo nella rete Internet per scopi di profilazione dell'utenza. Recentemente il Garante per la Protezione dei dati personali è intervenuto, con un provvedimento generale (Provvedimento generale del 8 maggio 2014, "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", doc. web n. 3118884) adottato al termine di una consultazione pubblica, in cui ha individuato delle modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e per acquisirne il consenso, quando richiesto dalla legge. Il Garante, ha ritenuto necessario prescrivere delle misure che fossero, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico e, dall'altro, che presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.
Il tema relativo ai cookie è piuttosto sentito, soprattutto in relazione ai possibili rischi per la privacy associati al loro utilizzo e per il massiccio loro utilizzo nella rete Internet per scopi di profilazione dell'utenza. Recentemente il Garante per la Protezione dei dati personali è intervenuto, con un provvedimento generale (Provvedimento generale del 8 maggio 2014, "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", doc. web n. 3118884) adottato al termine di una consultazione pubblica, in cui ha individuato delle modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e per acquisirne il consenso, quando richiesto dalla legge. Il Garante, ha ritenuto necessario prescrivere delle misure che fossero, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico e, dall'altro, che presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.
I cookie (denominati anche Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono ad un server, come ad esempio un sito web. Nel dettaglio, sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server ogni volta che il client accede alla stessa porzione dello stesso dominio web. Ogni dominio o sua porzione che viene visitata col browser può impostare dei cookie. Poiché una tipica pagina Internet, contiene oggetti che provengono da molti domini diversi e ognuno di essi può impostare cookie, solitamente nel proprio browser vengono ospitati moltissimi cookie. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso utente sta visitando.
Essendo tecnicamente tutti uguali, i cookie devono essere differenziati sulla base delle finalità perseguite da chi li utilizza. Lo stesso legislatore, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l'obbligo di acquisire il consenso preventivo e informato degli utenti all'installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (Art. 122 Codice Privacy, come modificato dall' art. 1 del d. lgs. 28 maggio 2012, n. 69). Pertanto si è giunti a definire due categorie di cookie: i cookie tecnici e i cookie di profilazione.
I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (art. 122, comma 1, del Codice Privacy). Essi non vengono utilizzati per altri scopi e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web, cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso. Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
I cookie di profilazione, invece, creano un vero e proprio profilo dell'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso, come del resto prevede l'art. 122 del Codice Privacy: "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3".
Un ulteriore elemento da considerare per il rilascio dell'informativa e l'acquisizione del consenso degli utenti online, è l'individuazione certa del soggetto che installa i cookie sul computer dell'utente. Infatti può trattarsi o dello stesso gestore del sito (ovvero l'editore del sito stesso) oppure può essere gestore di un sito diverso da quello che sta utilizzando l'utente (terze parti) che installa cookie per il tramite del primo. Per molte ragioni, non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie installati dalle terze parti. L'editore però, in virtù del rapporto diretto che si è instaurato tra lui e l'utente, tramite l'accesso al sito, assume una veste particolare: da un lato è titolare del trattamento quanto ai cookie installati direttamente dal proprio sito, dall'altro, non potendo individuare una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, viene considerato come una sorta di intermediario tecnico tra le stesse e gli utenti. Ed è, quindi, in questa veste che, è chiamato ad operare con riferimento al rilascio dell'informativa e all'acquisizione del consenso con riguardo ai cookie delle terze parti.
Il Garante con il suo provvedimento ha cercato di fare chiarezza e fornire delle regole precise e semplici sulle modalità per fornire l'informativa, sul suo contenuto e sulla sua struttura e sulle modalità per far esprimere il consenso. Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa "estesa", alla quale si accede attraverso un link cliccabile dall'utente. Anche la richiesta di consenso all'uso dei cookie deve essere inserita nel banner contenente l'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell'informativa estesa, la possibilità di esprimere scelte più specifiche.
Più precisamente, il banner, che deve essere di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando, deve contenere le seguenti indicazioni:
E' necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia da parte dell'editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico. Questa documentazione delle scelte dell'utente consente all'editore di non riproporre l'informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito.
L'informativa estesa invece deve contenere tutti gli elementi previsti dall'art. 13 del Codice e deve descrivere in maniera specifica le caratteristiche e le finalità dei cookie installati dal sito consentendo all'utente di selezionare/deselezionare i singoli cookie. All'interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Nel medesimo spazio dell'informativa estesa deve essere richiamata la possibilità per l'utente (alla quale fa riferimento anche l'art. 122, comma 2, del Codice Privacy) di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.
Per finire, si ricorda che l'uso dei cookie di profilazione rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti". L'uso dei cookie tecnici è, invece, sottratto all'obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli "relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).
Per quanto riguarda le conseguenze del mancato rispetto della presente, si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice). L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice). Mentre per finire, l'omessa o incompleta notificazione al Garante, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
Per informazione sulla nostra consulenza per la redazione di contratti dell'informatica e del web potete visitare questa pagina o contattare lo studio alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. al numero 3289687469 o tramite il modulo di contatto sottostante.