Nel 2009 è stata emanata una direttiva dell’Unione Europea (la n. 136) che ha imposto anche per la raccolta dei dati personali mediante cookies le consuete regole che si basano sulla fornitura di un’informativa all’interessato e all’ottenimento di un consenso.

Alcuni paesi europei, Olanda,  ha affrontato la questione con particolare attivismo imponendo pop up e banner per evidenziare la “cookie policy” dei siti richiedendo un consenso espresso al loro uso; altri hanno preferito assumere un atteggiamento attendista per non modificare troppo l’esperienza consolidata di navigazione che mal si concilia con questi “avvisi ai naviganti”.

Anche in Italia nel 2012 il nostro Codice in materia di protezione dei dati personali è stato modificato per recepire la direttiva, affidando al Garante il compito di definire come dovesse essere fornita l’informativa e con che modalità dovesse essere acquisito il consenso, ed infatti come conseguenza il 4 giugno 2014 il Garante ha emanato un provvedimento generale, al termine di una consultazione pubblica, nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge. Questo provvedimento è la normativa di riferimento.

Il Garante ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui devono essere chiariti alcuni elementi essenziali.

In particolare occorre:

·        precisare se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

·        precisare se il sito prevede anche l’uso di cookie di “terze parti”, ossia di cookie che raccolgono dati che verranno utilizzati da un sito diverso da quello che si sta visitando;

·        indicare un link che permette di leggere un’ informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, precisando che è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

·        infine evidenziare che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Il Garante ha anche chiarito che è comunque permesso utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente, tenendo così traccia del suo consenso espresso in occasione della visita precedente.

Infine occorre fare in modo che l’utente mantenga, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere consultabile da ogni pagina del sito.

Il Garante stesso poi in corso d’opera ha fornito alcuni chiarimenti, relativi a:

a) Ambito di applicazione

Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Si conferma che per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

·         I siti che non utilizzano cookie non sono soggetti ad alcun obbligo

·         Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.

·         I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.

·         Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi qualora:

A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);

B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

·         Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.

·         Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).

·         È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.

·         Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

b) Utilizzo di cookie analitici di terze parti

Nell’ottica della semplificazione che l’Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.

c) Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte

Con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini “terze parti”, si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico.

È bene precisare, tuttavia, che per la natura “distribuita” di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.

d) Modalità di acquisizione del consenso

E’ stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie”, del dispositivo.

Al riguardo, si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.