Cookie e Profilazione: i chiarimenti del Garante
L’Autorità Garante tramite un comunicato stampa cerca di far chiarezza sulle recenti novità normative in materia di Cookie Law
E’ del 4 giugno il comunicato stampa del Garante Privacy in materia di attuazione della c.d. Cookie Law. Tali chiarimenti si sono resi necessari a seguito di numerose richieste di maggiori informazioni pervenute sia dai gestori di siti web che dagli addetti al settore del digital marketing volte in maniera particolare ad alcuni punti della nuova normativa di riferimento.
Prima di affrontare tali "Chiarimenti" è doveroso rammentare il quadro normativo che si deve necessariamente tenere in considerazione e il suo relativo iter legislativo.
Tali nuovi obblighi in materia di Cookie derivano da una Direttiva UE (n. 136 del 2009), recepita dal nostro Paese con un Decreto del 2012 che imponeva sostanzialmente di informare gli utenti di internet quali soggetti interessati e di acquisire un loro consenso preventivo qualora ci si avvalesse di strumenti e tecnologie finalizzate al monitoraggio delle loro preferenze di navigazione volte anche alla c.d. profilazione on line al fine della ricostruzione di veri e propri profili commerciali.
Il provvedimento generale del Garante Privacy, la cui adozione definitiva segue una consultazione pubblica, è dell’8 maggio 2014, in tema di "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" (pubblicato in Gazzetta Ufficiale in data 3 giugno 2014), con il quale si intende semplificare tali nuovi obblighi e si fissa un anno di tempo per adeguarsi (termine recentemente scaduto ai primi di giugno).
Sono di recente emanazione (19 marzo 2015), infine, le "Linee guida in materia di trattamento di dati personali per profilazione on-line", (pubblicato in Gazzetta Ufficiale in data 6 maggio 2015) che forniscono maggiori tutele per gli utenti, ma anche regole più chiare per chi fa profilazione on-line, a partire dai principali siti web.
Il Garante Privacy, considerata la delicatezza della materia, è intervenuto anche con una recente nota ("Chiarimenti in merito all'attuazione della normativa in materia di cookie" del 4 giugno 2015) per fornire alcuni chiarimenti sugli obblighi dei siti e sulla necessità di tutelare la privacy degli utenti, il cui consenso preventivo è essenziale ai fini dell’uso lecito dei c.d. cookie di profilazione (cioè quelli che tracciano le scelte di navigazione dell’utente).
Innanzitutto viene specificato che la normativa in materia di cookie si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento dei dati personali strumenti situati sul territorio nazionale.
I siti che non consentono l’archiviazione delle informazioni nell’apparecchio dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa.
Per l’uso di cookie esclusivamente tecnici (necessari cioè per far funzionare il sito) è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo la c.d. Cookie Policy nella Privacy Policy del sito) senza necessità di realizzare un apposito banner.
I cookie analitici (cioè quelli necessari per monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso e per finalità statistiche su dati anonimi e aggregati) possono essere assimilati ai cookie tecnici se vengono realizzati e utilizzati direttamente dal sito senza l’intervento di soggetti terzi, e a patto e condizione che non sia assolutamente possibile neanche mediante un processo di reverse engineering accedere in chiaro a tali dati personali.
Se invece venisse utilizzato un cookie analitico di terza parte (es. Google Analytics), il gestore del sito internet pur accedendo alle informazioni, per finalità statistiche, unicamente su base anonima e aggregata, ma la terza parte accede a tali informazioni in chiaro, dunque non in modalità anonima e aggregata, nonché li incrocia e arricchisce con altri dati di cui risulta già in possesso, tale cookie non può essere assimilato ai cookie tecnici bensì a quelli di profilazione.
Qualora però i cookie analitici siano realizzati e messi a disposizione da terze parti e si voglia equipararli ai cookie tecnici e relativi obblighi più limitati, è necessario che queste ultime mettano a disposizione e utilizzino strumenti idonei a ridurre il potere identificativo dei cookie (per esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
In quest’ultimo caso, l’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte ad utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente in modalità anonima, a non "incrociarli" e non "arricchirli" con altre informazioni di cui esse dispongano.
Molti siti hanno evidenziato la difficoltà di apportare le modifiche necessarie in materia di cookie alle proprie piattaforme che già contengono al loro interno strumenti, spesso pre-configurati (es. Joomla, Wordpress), per la gestione dei cookie. Problema segnalato che ha un forte impatto soprattutto sui c.d. Blog che quasi sempre si avvalgono di tali strumenti per la loro progettazione e realizzazione.
Consapevole di tali difficoltà, il Garante aveva indicato ai siti il termine di un anno per adeguarsi compiutamente alla normativa.
In caso di cookie di profilazione provenienti da domini "terze parti" (es. www.facebook.com/advertising), sono necessari due elementi:
a) il banner che genera l’evento idoneo a rendere il consenso documentabile (a carico del sito principale);
b) i link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.
Il Garante chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti di terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso; nel caso contrario invece si rendono necessari entrambi (es. servizio "commenta" di Facebook).
Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
Il provvedimento del Garante prevede, inoltre, che ad esempio la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine) comporta la prestazione del consenso all’uso dei cookie.
Il Garante fa presente, dunque, che a tal fine sono ammesse soluzioni per l’acquisizione del consenso basate anche su "scroll" o sulla prosecuzione della navigazione all’interno della medesima pagina web.
È però necessario che tali soluzioni, particolarmente rilevanti nel caso di dispositivi mobili, siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.
Qualora, poi, un titolare gestisca più siti web, sarà sufficiente effettuare una sola notifica al Garante per l’utilizzo dei cookie (ad esempio www.nomeazienda.it/consulenza e www.nomeazienda.com/formazione).
Nonostante tali Chiarimenti, a causa, però, della ulteriore notevole ed indubbia confusione generata nei riguardi dei gestori dei siti internet, l’Autorità Garante ha deciso a metà del mese di giugno di pubblicare un’Infografica a dimostrazione di quanto premesso: http://www.microell.it/newsite/images/Articoli/Infografica_Garante_Cookie.jpg .
In merito alla chiarezza di tale Infografica, ci si limita semplicemente a precisare che a distanza di pochissimi giorni dalla sua pubblicazione, l’Autorità Garante ha organizzato gratuitamente un incontro di formazione incentrato proprio sull’applicazione di tale nuova disciplina che si terrà a Roma in data 3 luglio e che dopo pochissime ore ha visto esaurita la disponibilità dei posti.
A seguito di tale evento formativo, approfondiremo tramite un nuovo articolo gli aspetti fondamentali di tale Infografica rendendo noti anche gli ulteriori chiarimenti che saranno forniti dal Garante.
Al fine di andare incontro a quelle che sono le esigenze di tutti quei soggetti che direttamente o indirettamente operano nell’ambito del così detto Digital Marketing e viste le numerose richieste di adesione pervenute soprattutto in questi ultimi giorni da piccoli gestori di siti web, si è deciso di riproporre in data 15 luglio il Corso "La Privacy per il Digital Marketing: Consigli Pratici". Tale corso di formazione affronterà in particolar modo anche le ultime recentissime novità in materia di Cookie e Profilazione On-Line.
Prima di affrontare tali "Chiarimenti" è doveroso rammentare il quadro normativo che si deve necessariamente tenere in considerazione e il suo relativo iter legislativo.
Tali nuovi obblighi in materia di Cookie derivano da una Direttiva UE (n. 136 del 2009), recepita dal nostro Paese con un Decreto del 2012 che imponeva sostanzialmente di informare gli utenti di internet quali soggetti interessati e di acquisire un loro consenso preventivo qualora ci si avvalesse di strumenti e tecnologie finalizzate al monitoraggio delle loro preferenze di navigazione volte anche alla c.d. profilazione on line al fine della ricostruzione di veri e propri profili commerciali.
Il provvedimento generale del Garante Privacy, la cui adozione definitiva segue una consultazione pubblica, è dell’8 maggio 2014, in tema di "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" (pubblicato in Gazzetta Ufficiale in data 3 giugno 2014), con il quale si intende semplificare tali nuovi obblighi e si fissa un anno di tempo per adeguarsi (termine recentemente scaduto ai primi di giugno).
Sono di recente emanazione (19 marzo 2015), infine, le "Linee guida in materia di trattamento di dati personali per profilazione on-line", (pubblicato in Gazzetta Ufficiale in data 6 maggio 2015) che forniscono maggiori tutele per gli utenti, ma anche regole più chiare per chi fa profilazione on-line, a partire dai principali siti web.
Il Garante Privacy, considerata la delicatezza della materia, è intervenuto anche con una recente nota ("Chiarimenti in merito all'attuazione della normativa in materia di cookie" del 4 giugno 2015) per fornire alcuni chiarimenti sugli obblighi dei siti e sulla necessità di tutelare la privacy degli utenti, il cui consenso preventivo è essenziale ai fini dell’uso lecito dei c.d. cookie di profilazione (cioè quelli che tracciano le scelte di navigazione dell’utente).
Innanzitutto viene specificato che la normativa in materia di cookie si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento dei dati personali strumenti situati sul territorio nazionale.
I siti che non consentono l’archiviazione delle informazioni nell’apparecchio dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa.
Per l’uso di cookie esclusivamente tecnici (necessari cioè per far funzionare il sito) è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo la c.d. Cookie Policy nella Privacy Policy del sito) senza necessità di realizzare un apposito banner.
I cookie analitici (cioè quelli necessari per monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso e per finalità statistiche su dati anonimi e aggregati) possono essere assimilati ai cookie tecnici se vengono realizzati e utilizzati direttamente dal sito senza l’intervento di soggetti terzi, e a patto e condizione che non sia assolutamente possibile neanche mediante un processo di reverse engineering accedere in chiaro a tali dati personali.
Se invece venisse utilizzato un cookie analitico di terza parte (es. Google Analytics), il gestore del sito internet pur accedendo alle informazioni, per finalità statistiche, unicamente su base anonima e aggregata, ma la terza parte accede a tali informazioni in chiaro, dunque non in modalità anonima e aggregata, nonché li incrocia e arricchisce con altri dati di cui risulta già in possesso, tale cookie non può essere assimilato ai cookie tecnici bensì a quelli di profilazione.
Qualora però i cookie analitici siano realizzati e messi a disposizione da terze parti e si voglia equipararli ai cookie tecnici e relativi obblighi più limitati, è necessario che queste ultime mettano a disposizione e utilizzino strumenti idonei a ridurre il potere identificativo dei cookie (per esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
In quest’ultimo caso, l’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte ad utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente in modalità anonima, a non "incrociarli" e non "arricchirli" con altre informazioni di cui esse dispongano.
Molti siti hanno evidenziato la difficoltà di apportare le modifiche necessarie in materia di cookie alle proprie piattaforme che già contengono al loro interno strumenti, spesso pre-configurati (es. Joomla, Wordpress), per la gestione dei cookie. Problema segnalato che ha un forte impatto soprattutto sui c.d. Blog che quasi sempre si avvalgono di tali strumenti per la loro progettazione e realizzazione.
Consapevole di tali difficoltà, il Garante aveva indicato ai siti il termine di un anno per adeguarsi compiutamente alla normativa.
In caso di cookie di profilazione provenienti da domini "terze parti" (es. www.facebook.com/advertising), sono necessari due elementi:
a) il banner che genera l’evento idoneo a rendere il consenso documentabile (a carico del sito principale);
b) i link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.
Il Garante chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti di terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso; nel caso contrario invece si rendono necessari entrambi (es. servizio "commenta" di Facebook).
Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
Il provvedimento del Garante prevede, inoltre, che ad esempio la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine) comporta la prestazione del consenso all’uso dei cookie.
Il Garante fa presente, dunque, che a tal fine sono ammesse soluzioni per l’acquisizione del consenso basate anche su "scroll" o sulla prosecuzione della navigazione all’interno della medesima pagina web.
È però necessario che tali soluzioni, particolarmente rilevanti nel caso di dispositivi mobili, siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.
Qualora, poi, un titolare gestisca più siti web, sarà sufficiente effettuare una sola notifica al Garante per l’utilizzo dei cookie (ad esempio www.nomeazienda.it/consulenza e www.nomeazienda.com/formazione).
Nonostante tali Chiarimenti, a causa, però, della ulteriore notevole ed indubbia confusione generata nei riguardi dei gestori dei siti internet, l’Autorità Garante ha deciso a metà del mese di giugno di pubblicare un’Infografica a dimostrazione di quanto premesso: http://www.microell.it/newsite/images/Articoli/Infografica_Garante_Cookie.jpg .
In merito alla chiarezza di tale Infografica, ci si limita semplicemente a precisare che a distanza di pochissimi giorni dalla sua pubblicazione, l’Autorità Garante ha organizzato gratuitamente un incontro di formazione incentrato proprio sull’applicazione di tale nuova disciplina che si terrà a Roma in data 3 luglio e che dopo pochissime ore ha visto esaurita la disponibilità dei posti.
A seguito di tale evento formativo, approfondiremo tramite un nuovo articolo gli aspetti fondamentali di tale Infografica rendendo noti anche gli ulteriori chiarimenti che saranno forniti dal Garante.
Al fine di andare incontro a quelle che sono le esigenze di tutti quei soggetti che direttamente o indirettamente operano nell’ambito del così detto Digital Marketing e viste le numerose richieste di adesione pervenute soprattutto in questi ultimi giorni da piccoli gestori di siti web, si è deciso di riproporre in data 15 luglio il Corso "La Privacy per il Digital Marketing: Consigli Pratici". Tale corso di formazione affronterà in particolar modo anche le ultime recentissime novità in materia di Cookie e Profilazione On-Line.
Articolo del: