Varato l’atteso provvedimento del Garante sui Cookies

E’ stato pubblicato sulla Gazzetta Ufficiale n. 126 del  3 giugno 2014 il provvedimento in materia di cookies recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” adottato dal Garante per la protezione dei dati personali (di seguito, il “Garante”) a seguito di una consultazione pubblica avviata il 19 dicembre 2012 (di seguito il “Provvedimento”).

Il Provvedimento individua le modalità semplificate per rendere agli utenti l’informativa sull’uso dei cookie e fornisce precise indicazioni ai fini dell’acquisizione del consenso.

Il Provvedimento in questione pare avere recepito molte delle indicazioni degli operatori del digital advertising e della editoria (con riferimento ai cookies dei terzi) e mostra indubbiamente un atteggiamento di apertura all’industry, accedendo ad una definizione non restrittiva del concetto di consenso espresso, richiesto dalla legge. Esso però al contempo prevede la necessità di compiere una serie di attività connesse all’utilizzo di cookies che avranno certamente un impatto oneroso per i titolari dei siti web.

Infatti, il Garante – al fine di consentire agli utenti di manifestare un consenso espresso e specifico e di non creare disagi in termini di discontinuità nella navigazione di un sito web – ha previsto un sistema strutturato su due livelli:

1.   Informativa breve e richiesta del consenso all’uso dei cookie

Non appena l’utente accede alla homepage o ad un’altra pagina del sito web deve immediatamente comparire un banner contenente un’“informativa breve”.

L’informativa breve deve indicare:

  • se il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  • se il sito consente anche l’invio di cookie “terze parti”;
  • il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
  • l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  • l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il Provvedimento precisa che il banner deve avere una dimensione sufficiente ad ospitare l’informativa (breve) e tale da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che l’utente sta visitando. Il superamento della presenza del banner deve essere possibile solo mediante un intervento attivo dell’utente (attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Per evitare di riproporre l’informativa breve quando l’utente accede una seconda volta al medesimo sito, il gestore si può avvalere di un apposito cookie tecnico. Tuttavia, l’utente deve avere la possibilità in qualsiasi momento e in maniera agevole di negare e/o modificare il consenso.

Fermo restando che il consenso deve essere espresso liberamente e specificamente e che all’utente deve essere fornita l’informativa in conformità all’art. 13 del d.lgs. 196/2003 (Codice Privacy), il Provvedimento prevede che il gestore del sito web possa utilizzare modalità diverse per l’acquisizione del consenso all’uso dei cookie.

2.   Informativa estesa e possibilità di esprimere scelte specifiche

L’informativa estesa, che deve essere raggiungibile mediante un link inserito nell’informativa breve, nonché attraverso un riferimento su ogni pagina del sito (collocato in calce alla medesima), deve contenere le indicazioni previste dall’art. 13 del Codice Privacy.

In particolare, l’informativa estesa deve:

  • contenere una descrizione specifica e analitica relative alle caratteristiche e alle finalità dei cookie installati dal sito
  • consentire all’utente di selezionare/deselezionare i singoli cookie.
  • contenere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il gestore del sito ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora il gestore del sito web abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti, ossia i network pubblicitari di suo riferimento. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso, come nel caso dei concessionari;
  • indicare la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie attraverso le impostazioni del browser, descrivendo almeno la procedura da eseguire per configurare tali impostazioni. Qualora le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

Si segnala la indicazione espressa, rivolta ai gestori di pagine web, di ottenere le informazioni relative ai link alla informativa ed modulo per l’espressione al consenso relativi ai cookies di terze parti, già in fase contrattuale al momento della stipula di accordi per la concessione di spazi.

Obbligo di notifica
Se, in linea generale, si può cogliere un atteggiamento di apertura da parte del Garante agli interessi del business, restano però fermi gli obblighi di notifica relativamente ai cookies volti alla profilazione degli utenti, ove essa sia finalizzata a definire la personalità dell’interessato o ad analizzare scelte o abitudini di consumo. Obbligo questo che, pensando alle caratteristiche proprie del behavioural advertising, alla istantaneità dei suoi processi ed alla massività del fenomeno, appare un po’ anacronistico.

Sanzioni
Quanto alle sanzioni, il Provvedimento rimanda alle misure stabilite dal Codice Privacy. In particolare:

  • in caso di omessa informativa o di informativa inidonea, è prevista la sanzione amministrativa del pagamento di una somma da 6.000,00 a 36.000,00 euro;
  • in caso di installazione di cookie senza il preventivo consenso la sanzione amministrativa del pagamento di una somma da 10.000,00 a 120.000,00 euro;
  • in caso di omessa o incompleta notificazione al Garante, la sanzione amministrativa del pagamento di una somma da 20.000,00 a 120.000,00 euro.

Adeguamento
Il Provvedimento del Garante non è immediatamente operativo. Alla luce dell’impatto, anche economico, della nuova disciplina il Garante ha concesso ai diversi soggetti interessati un periodo transitorio di un anno  per adeguarsi alle nuove misure.

di Daniela De Pasquale – Partner studio legale D&P – legal support for ideas