Cookies e adempimenti: il Garante interviene ancora per chiarimenti
Considerate le numerose richieste provenienti dai titolari e gestori di siti internet relativamente ad alcuni punti del provvedimento in materia di cookie del Garante per la protezione dei dati personali dell’8 maggio 2014, l’Autorità ha pubblicato il 5 Giugno 2015 un documento di chiarimenti sul punto.
Attraverso il documento il Garante ribadisce alcuni principali argomenti cercando di eliminare i maggiori dubbi riscontrati sul punto, ovvero:
- L’ambito di applicazione del provvedimento;
- Il corretto utilizzo dei cookies analitici e la loro disciplina;
- L’uso di piattaforme che installano cookies;
- I soggetti tenuti a realizzare il banner in considerazione del ruolo ricoperto dai siti;
- La modalità di acquisizione del consenso;
- La modalità semplificata di notificazione in caso di realizzazione di più siti web.
Ma vediamoli di seguito in specifico:
- Relativamente all’ambito di applicazione dei provvedimento il Garante precisa che gli obblighi prescritti dal provvedimento si applicano a tutti i siti internet che utilizzano cookies. Naturalmente, quindi, al contrario, il provvedimento non si applica a quei siti che non usano cookies.
Ancora in ordine al campo di applicazione del provvedimento, l’Autorità ribadisce che l’obbligatorietà di prevedere l’apertura automatica di un banner per l’acquisizione del consenso all’istallazione dei cookies si applica esclusivamente a quei siti che rilasciano sul dispositivo dell’utente cookies profilanti e/o cookies di terze parti. Al contrario, quindi, se il sito web utilizza solo cookies tecnici il titolare del sito non è obbligato ad acquisire il consenso dell’interessato e quindi all’uso del banner. Tuttavia, occorre precisare che sullo stesso restano salvi gli obblighi di cui agli artt. 122 e 13 del D.lgs. 196 del 2003 e s.m.i. (Codice Privacy), ovvero l’obbligo di informare adeguatamente l’utente dell’uso dei cookies tecnici attraverso la predisposizione di una apposita informativa da pubblicare sul sito web, in particolare nel footer della pagina in maniera tale che l’utente possa accedere alla stessa da qualunque pagina del sito e prendere visione facilmente delle informazioni ivi contenute.
- In merito all’uso di cookies analitici il Garante ha finalmente apportato un po’ di chiarezza. Preciso un po’, in quanto a parere di chi scrive rimangono dubbi alquanto rilevanti. Prima di tutto il Garante ha precisato che i cookies analitici propri utilizzati in forma anonima ed aggregata possono essere considerati cookies tecnici e quindi il titolare non è obbligato a prevedere l’apertura del banner per l’acquisizione del consenso, ma esclusivamente prevedere l’indicazione degli stessi nell’informativa completa di cui sopra detto. Al contrario naturalmente se i cookies analitici propri sono nominativi non possono essere assimilati ai Cookies Tecnici, pertanto è necessario l’uso del banner e l’acquisizione del consenso (e nel caso in cui gli stessi siano utilizzati per finalità di profilazione anche la notificazione al Garante ex art. 37 del codice Privacy), oltre sempre all’indicazione nell’informativa cookies estesa.
Ribadito ciò, il Garante poi, continuando con la lettura del documento del 5 giugno in analisi, approfondisce l’argomento dei cookies analitici impiantati sul terminale dell’utente non direttamente dal sito del titolare, ma da terze parti. Un esempio lampante e veramente diffuso si verifica con l’uso del servizio denominato “Google Analitycs” della Google Inc. In tali casi, precisa il Garante, il banner (e nel caso la notificazione al Garante ex art. 37 del codice Privacy) non deve essere considerato un obbligo per il titolare del sito quando:
- vengono adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizza
e
- sussistono vincoli contrattuali tra il sito e la terza parte, attraverso i quali la terza parte si impegna ad utilizzare i cookies esclusivamente per la fornitura del servizio, conservandoli separatamente senza “arricchirli”, oppure a non “incrociarli”, con altre informazioni di cui essa dispone.
Appare evidente come la mancanza in capo al titolare dei sito di poteri discrezionali sull’uso dei cookies analitici da parte dei terzi non sia di aiuto in tali casi e pertanto la soluzione più opportuna dovrà essere valutata in maniera molto rigorosa e puntuale per non ricadere in conseguenze sgradevoli.
- Il Garante, ribadito quanto sopra, si sofferma poi sulla mancanza di possibilità da parte di chi utilizza siti pre-configurati di dare attuazione alla normativa in materia di cookies perché appunto i siti sono già impostati e non modificabili. In tale situazione l’Autorità precisa che non è più considerabile una giustificazione idonea dato il termine ampio un anno utile ad adeguarsi al provvedimento in materia e l’uso di strumenti di c.d. privacy-by-design messi a disposizione dagli stessi siti.
- In ordine al ruolo del sito web che ospita servizi di terze parti che rilasciano cookies anche di profilazione, il Garante ribadisce che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico. Pertanto in tali casi occorre prevedere l’istallazione del banner per la richiesta del consenso all’istallazione dei cookies di terze parti e l’indicazione nell’informativa completa dei terzi che istallano i cookies con i link alle loro informative.
Sempre in materia di cookies di terze parti il Garante finalmente chiarisce che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.
- Relativamente alla modalità di acquisizione del consenso il Garante ribadisce che il banner può scomparire solo se si verifica una “azione positiva dell’utente” in grado di registrare la volontà dell’utente a rilasciare il consenso all’uso dei cookies, infatti, secondo il Provvedimento dell’8 maggio 2014 il banner deve essere idoneo a creare “discontinuità” nella navigazione. Pertanto, il semplice scroll del mouse oppure la prosecuzione della navigazione all’interno della medesima pagina web per essere in linea con i requisiti di legge devono essere considerabili come “azioni positive” dell’utente (il banner non deve scomparire se l’utente non tocca nulla) e nel banner dovrà essere indicato tale aspetto.
- Naturalmente in ordine alla applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU il Garante ribadisce l’art. 5, comma 2, del Codice privacy e precisa che la normativa italiana deve essere applicata da tutti i siti che istallano cookies ed utilizzano per il trattamento “strumenti situati sul territorio dello Stato“, indipendentemente dal fatto che gli stessi hanno o meno una sede nel territorio dello Stato Italiano o UE.
- Nell’ultimo paragrafo del documento in analisi, il Garante ribadisce la possibilità per il titolare di più siti web di effettuare una sola notificazione per tutti i diversi siti web che gestisce, naturalmente indicandolo all’interno della notificazione.
Dal documento pubblicato dal Garante e sopra analizzato, appare evidente come la disciplina sull’uso dei cookies sia alquanto complicata e piena di insidie, pertanto non bisogna sottovalutarla e tenere il considerazione le possibili sanzioni che il Garante può applicare. Comunque, si ricorda che il nuovo documento sopra analizzato non deroga e non sostituisce quanto prescritto con il provvedimento dell’8 maggio 2014.