Cookie law: i chiarimenti del Garante privacy

La cookie law ha provocato un notevole scompiglio: i siti web che devono essere adeguati alla normativa sui cookie sono molto numerosi e dunque sul web si possono osservare fantasiosi tentativi di adeguamento al provvedimento del Garante privacy dell’8 maggio 2014. In molti siti web, infatti, si notano copia e incolla, nonché diverse informative privacy che sono comunque inidonee perché smentite dalle modalità con cui ciascun gestore effettua il trattamento dei dati personali acquisiti mediante i medesimi siti web.

Tanto premesso, molte persone e molte aziende si sono rivolte all’Autorità per chiedere chiarimenti in ordine all’applicazione del suo provvedimento in materia di cookie. Così, il 5 giugno 2015, il Garante ha reso disponibili alcuni chiarimenti in ordine all’interpretazione del provvedimento sopra citato.

Di seguito si riporta il testo integrale dei chiarimenti del Garante in ordine all’adeguamento dei siti web alla cookie law:

“1. Ambito di applicazione

Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

2. Utilizzo di cookie analitici di terze parti

Nell’ottica della semplificazione che l’Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

3. Uso di piattaforme che installano cookie

In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.

Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l’applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.

Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.

4. Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte

Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.

Al riguardo, si coglie l’occasione per ribadire che le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.

Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.

5. Modalità di acquisizione del consenso

Come noto, nel Provvedimento è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie” (cfr. punto 1, lett. e), del dispositivo).

Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.

6. Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU

In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy).

7. Notificazione in caso di realizzazione di più siti web

Si ritiene condivisibile la richiesta presentata da alcuni editori titolari in merito alla possibilità di effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono, in linea con le previsioni normative. In tal caso nella notificazione del trattamento andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco.

Ulteriori chiarimenti potranno essere forniti dall’Autorità a seguito di eventuali quesiti che verranno posti anche alla luce delle innovazioni tecnologiche che dovessero intervenire.

 

IN PARTICOLARE EVIDENZA

• I siti che non utilizzano cookie non sono soggetti ad alcun obbligo

• Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.

• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.

• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:

A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);

B) la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispone.

• Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.

• Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).

• È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.

• Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.”

Il testo di cui sopra, così come riportato, è stato redatto dal Garante per la protezione dei dati personali. Per ulteriori chiarimenti si rinvia, altresì, alla pagina predisposta dalla medesima Autorità: Cookie – Garante privacy.

***

Per assistenza e consulenza legale in materia di adeguamento dei siti web alla cookie law è possibile rivolgersi allo Studio Legale Associato Fioriglio-Croari.

FocusPrivacy e sicurezza Informatica
giugno 5, 2015
adeguamento cookie lawcookie e privacycookie siti webcookie sito webprivacy
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it