Documento di lavoro 02/2013 – WP 208 – indicazioni su come ottenere il consenso per i cookie [traduzione non ufficiale]

Documento di lavoro 02/2013 – WP 208

indicazioni su come ottenere il consenso per i cookie

adottato il 2 ottobre 2013

Dopo l’adozione delle modifiche apportate nel 2009 alla direttiva e-Privacy 2002/58/CE, attuata in tutti gli Stati membri dell’Unione europea, una serie di soluzioni pratiche sono state sviluppate dai gestori di siti web al fine di acquisire il consenso per l’uso dei cookie o tecnologie simili di tracciamento (in seguito denominati “cookie”) utilizzati per diversi scopi (dall’uso di funzionalità avanzate fino all’attività analitica, alla pubblicità mirata e all’ottimizzazione dei prodotti, ecc., dai gestori del sito web o da terze parti). La gamma di meccanismi di consenso messa in atto dai gestori di siti web riflette le differenze tra le varie organizzazioni e dei loro tipi di pubblico.

Il gestore del sito è libero di utilizzare mezzi diversi per acquisire il consenso purché tale consenso possa essere ritenuto valido in base alla legislazione dell’UE. La valutazione sul fatto se una particolare soluzione adottata dal gestore del sito soddisfi o meno tutti i requisiti affinché il consenso sia considerato valido è affrontata più avanti in questo documento.

Anche se la direttiva e-Privacy stabilisce la necessità del consenso per la memorizzazione o l’accesso ai cookie, l’implementazione pratica dei requisiti previsti dalla legge variano tra i gestori dei siti web dei diversi Stati membri dell’UE. Le implementazioni osservate attualmente sono basate su una o più delle seguenti soluzioni, anche se è importante notare che, mentre ciascuna può costituire un utile componente di un meccanismo per l’espressione del consenso, è improbabile che l’uso isolato di una sola di esse possa essere sufficiente, in quanto tutti gli elementi necessari per l’acquisizione di un valido consenso devono essere presenti contestualmente (ad esempio, un meccanismo di scelta efficace richiede anche la presenza di adeguate informazioni):

  • un avviso immediatamente visibile che le diverse tipologie di cookie [ad esempio i cookie di monitoraggio mediante plug-in sociali, i cookie per la pubblicità di terze parti o i cookie  per attività analitica come menzionati nel Parere sull’esenzione del consenso per l’uso dei cookie] vengono utilizzati dal sito web, fornendo le informazioni in un approccio a più livelli, in genere fornendo un link, o serie di link, dove l’utente può trovare maggiori informazioni sui tipi di cookie in uso,
  • un avviso immediatamente visibile che utilizzando il sito web, l’utente accetta l’utilizzo dei cookie da parte dei siti web,
  • informazioni su come gli utenti possono manifestare e poi ritirare le loro scelte per quanto riguarda i cookie comprese le informazioni sulle azioni necessarie per esprimere tali preferenze,
  • un meccanismo attraverso il quale l’utente può scegliere se accettare tutti o parte dei cookie o rifiutarli,
  • un’opzione per l’utente di modificare successivamente una precedente scelta manifestata in merito ai cookie.

Tenendo conto delle diverse interpretazioni della direttiva e-Privacy tra i diversi portatori di interessi e le rispettive implementazioni pratiche, la domanda che sorge è: quale implementazione sarebbe conforme alla legge per un sito web che opera in tutti gli Stati dell’Unione europea?

L’articolo 2 (f) e il considerando 17 della direttiva 2002/58/CE definiscono la nozione di consenso facendo riferimento a quella stabilita nella direttiva 95/46/CE. L’articolo 2 (h) della direttiva 95/46/CE stabilisce che il consenso dell’interessato per il trattamento dei propri dati personali dovrebbe consistere in una indicazione libera, specifica e informata della proprie intenzioni attraverso la quale l’interessato manifesta la propria volontà in merito a quel trattamento di dati personali. Ai sensi dell’articolo 7 della direttiva 95/46/CE il consenso dovrebbe anche essere reso in maniera non equivoca.

Nel suo parere sul consenso il Gruppo di lavoro ha riconosciuto le differenze nella nozione di consenso che possono verificarsi in Stati membri diversi. Il parere sul consenso fornisce maggiore chiarezza sui requisiti di un valido consenso e dei suoi elementi principali:

  1. Informativa specifica. Per essere valido, il consenso deve essere espresso specificamente e sulla base di informazioni adeguate. In altre parole, non è accettabile il consenso acquisito “in bianco”, senza specificare l’esatto scopo del trattamento.
  2. Tempistica. Come regola generale, il consenso deve essere acquisito prima dell’inizio del trattamento.
  3. Scelta attiva. Il consenso deve essere inequivoco. Pertanto, la procedura di richiesta e di acquisizione del consenso non deve lasciare alcun dubbio circa l’intenzione della persona interessata. Non ci sono in linea di principio limitazioni per quanto riguarda la forma che il modulo di consenso può assumere. Tuttavia, affinché il consenso sia valido, esso deve consistere in un’indicazione attiva della volontà dell’utente. L’espressione minima di una tale indicazione potrebbe essere un qualsiasi tipo di segnale che sia sufficientemente chiaro per essere in grado di indicare i desideri di un interessato e di essere comprensibile dal titolare (potrebbe includere una firma autografa apposta in calce ad un modulo cartaceo, o un comportamento attivo da cui il consenso può essere ragionevolmente desunto)[inoltre, il testo proposto del futuro regolamento UE sulla protezione dei dati si riferisce al consenso come espressivo di una “chiara azione positiva”].
  4. Fornito liberamente. Il consenso può essere considerato valido solo se l’interessato è in grado di esprimere una vera e propria scelta, e non vi è alcun rischio di inganno, intimidazione, coercizione o di significative conseguenze negative se egli non acconsente.

In linea con le precisazioni di cui sopra e anche [maggiori chiarimenti al riguardo nel Parere 2/2010 “sulla pubblicità comportamentale online”su ciò che costituisce un valido consenso in tutti gli Stati membri dell’UE, il Gruppo di lavoro ritiene che il gestore di un sito web dovrebbe adottare un meccanismo di acquisizione del consenso per i cookie che soddisfi le condizioni in ciascuno Stato membro, e tale meccanismo per il consenso dovrebbe includere ciascuno dei principali elementi, quali l’informativa specifica, il consenso preventivo, l’indicazione delle volontà espresse dal comportamento attivo dell’utente e la possibilità di scegliere liberamente.

1. Informativa specifica

Il meccanismo dovrebbe prevedere un avviso chiaro, completo e visibile sull’uso dei cookie, nel momento e nel posto in cui  il consenso viene richiesto, per esempio, sulla pagina web in cui un utente inizia una sessione di navigazione (la pagina iniziale). Quando accedono al sito web, gli utenti devono essere in grado di accedere a tutte le informazioni necessarie sulle diverse tipologie di cookie e sulle varie finalità per cui essi possono essere utilizzati dal sito web. Il sito web potrebbe visualizzare in modo evidente un collegamento a un apposito spazio in cui vengono illustrati tutti i tipi di cookie utilizzati dal sito. Sarebbero necessarie informazioni sulle finalità dei cookie e, se pertinenti, una indicazione sulla presenza di eventuali cookie di terze parti o l’accesso di terzi ai dati raccolti dai cookie del sito web. Informazioni quali il periodo di conservazione (ad esempio la data di scadenza dei cookie), i valori tipici, i dettagli sui cookie di terze parti e altre informazioni tecniche dovrebbero essere incluse per informare pienamente gli utenti. Gli utenti devono essere informati circa le modalità con le quali possono manifestare la loro volontà in relazione ai cookie, vale a dire su come possono accettare tutti, alcuni o nessuno dei cookie e su come modificare questa scelta in futuro.

2. Tempistica

Come ha concluso il Gruppo di lavoro nel parere precedentemente citato [Parere 15/2011 sulla definizione di consenso], il consenso deve essere dato dall’interessato prima che il trattamento dei dati abbia inizio. Il parere chiarisce che ciò vale anche nel contesto dell’articolo 5(3) della direttiva e-Privacy. Quindi, per ottenere la conformità in tutti gli Stati membri dell’UE, il consenso dovrebbe essere acquisito prima che i cookie siano impostati o letti. Come risultato, un sito web dovrebbe offrire una soluzione sul consenso in cui nessun cookie sia impostato sul dispositivo dell’utente (diversi da quelli che possono non richiedere il consenso dell’utente [per ulteriori chiarimenti sulle esenzioni si veda il Parere sull’esenzione del consenso per l’uso dei cookie]) prima che l’utente abbia comunicato le proprie scelte in merito a tali cookie.

3. Comportamento attivo

Oltre alle informazioni sulle tipologie e le finalità dei cookie, il sito deve anche presentare informazioni chiare e complete per gli utenti su come possono manifestare il proprio consenso, preferibilmente nella pagina in cui gli utenti iniziano la loro esperienza di navigazione.

Gli strumenti per ottenere il consenso possono includere schermate di avvio, banner, finestre di dialogo, impostazioni del browser, ecc. Per quanto riguarda queste ultime, il considerando 66 della direttiva 2009/136/CE specifica che “qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE, il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un browser o di un’altra applicazione”. Laddove il gestore del sito può essere fiducioso che l’utente sia stato pienamente informato e che abbia attivamente configurato il proprio browser, o un’altra applicazione, quindi, nelle giuste circostanze, tale configurazione indicherebbe un comportamento attivo e dunque dovrebbe essere rispettata dal gestore del sito. Le condizioni nelle quali le impostazioni del browser sono in grado di manifestare un consenso valido ed efficace sono descritte nel Parere del Gruppo di lavoro n. 2/2010.

Il procedimento attraverso il quale gli utenti possono manifestare il loro consenso per i cookie deve passare attraverso un’azione positiva o altri comportamenti attivi e purché siano stati pienamente informati di ciò che tale azione rappresenta. Pertanto gli utenti possono manifestare il proprio consenso sia facendo click su un pulsante o un link oppure barrando una casella all’interno o vicino allo spazio in cui viene fornita l’informativa (se viene eseguita l’azione congiuntamente al momento in cui viene fornita l’informativa sull’uso dei cookie) o ponendo in essere qualsiasi altro comportamento attivo da cui un gestore di sito web può desumere inequivocabilmente che ciò rappresenti la manifestazione di un consenso specifico e informato.

Ai fini del presente documento per comportamento attivo si intende un’azione che l’utente può eseguire, in genere un’azione che si basa su una richiesta tracciabile dell’utente verso il sito web, come ad esempio cliccare su un link, su un’immagine o su altro contenuto presente sulla pagina di avvio del sito web, ecc. Le forme di queste tipologie di azioni richieste agli utenti devono essere tali che il gestore del sito web può essere sicuro che l’utente abbia attivamente richiesto di impegnarsi con il sito web e che lo faccia dunque effettivamente esprimendo il consenso all’uso dei cookie (supponendo che l’utente sia completamente informato) e che l’azione sia un indicatore attivo di tale consenso. In ogni caso deve essere chiaramente indicato all’utente quale azione rappresenterà la manifestazione del proprio consenso all’uso dei cookie. Bisognerà fare in modo che la scelta espressa con il comportamento attivo dell’utente sia effettivamente basata su una chiara informativa che indichi che i cookie saranno impostati in ragione di tale azione. L’informativa deve essere presentata in modo tale che sia più probabile che l’utente la riconosca come tale (e non scambiandola, ad esempio, per la pubblicità). Pertanto, assicurare che il pulsante, il link o il box che indica il comportamento attivo sia all’interno o in prossimità del luogo in cui l’informativa è presentata, è essenziale per essere sicuri che l’utente possa collegare tale l’azione con l’informativa fornita. Inoltre, l’informativa dovrebbe essere presenta sul sito web e non dovrebbe scomparire fino a quando l’utente abbia espresso la sua/il suo consenso. In quest’ultimo caso, l’operatore del sito web può essere certo che un consenso inequivoco sia stato dato. Inoltre, un click effettuato solamente su un link a »ulteriori informazioni sui cookie« non può essere considerato manifestazione del consenso, ciò in quanto in questo caso l’utente ha esplicitamente richiesto soltanto maggiori informazioni. L’assenza di qualsiasi comportamento non può essere considerata espressiva di un valido consenso.

Se l’utente entra in un sito web nel quale gli viene visualizzata l’informativa sull’uso di cookie ed egli non pone in essere un comportamento attivo, come descritto sopra, ma rimane solo sulla pagina di ingresso senza nessun ulteriore comportamento attivo, è difficile sostenere che il consenso sia stato dato inequivocabilmente. L’azione dell’utente deve essere tale per cui, presa in considerazione unitamente all’informativa fornita sull’uso dei cookie, possa ragionevolmente essere interpretata come manifestazione della propria volontà.

4. Scelta effettiva – consenso fornito liberamente

Il meccanismo di acquisizione del consenso dovrebbe presentare all’utente sulla pagina di ingresso nel sito web una scelta effettiva e significativa con riferimento all’uso dei cookie. L’utente deve avere la possibilità di scegliere liberamente tra la possibilità di accettare alcuni o tutti i cookie o di rifiutare tutti o alcuni cookie e di mantenere la possibilità di modificare in futuro le impostazioni sui cookie.

In alcuni Stati membri l’accesso a determinati siti web può essere subordinato all’accettazione dei cookie [secondo la legge svedese, i siti web sono autorizzati a richiedere che l’utente dia il proprio consenso all’uso dei cookie, al fine di permettere l’accesso al sito web. L’interessato che non acconsenta dovrà poi optare per un fornitore di servizi diverso. L’eccezione sono i siti web che forniscono determinati servizi nel settore pubblico, in cui l’utente potrebbe avere poche alternative o nessun’altra opzione di usufruire del servizio, e quindi potrebbe essere privato di una effettiva possibilità di scelta circa l’utilizzo dei cookie], tuttavia in generale, l’utente deve mantenere la possibilità di continuare a consultare il sito web senza ricevere i cookie o ricevendone solo alcuni, quali quelli consentiti poiché necessari in relazione alla finalità connessa alla fornitura del servizio web e quelli che sono esentati dal requisito di consenso. E’ quindi raccomandato di astenersi dall’uso di meccanismi di acquisizione del consenso che forniscano come unica opzione per l’utente di fornire il proprio consenso, ma che non offrono alcuna scelta con riferimento alla possibilità di acconsentire a tutti o ad alcuni cookie. La granularità [maggior livello di dettaglio, n.d.r.] nelle opzioni rese disponibili all’utente è altamente raccomandata.

L’argomentazione di cui sopra è basata sul considerando 25 della direttiva e-Privacy 2002/58/CE, che prevede che l’accesso a specifici contenuti del sito web possa essere subordinato alla correttamente informata accettazione di un cookie o un dispositivo analogo, se utilizzato per uno scopo legittimo. L’enfasi su “specifici contenuti del sito web” chiarisce che i siti web non dovrebbero condizionare “l’accesso generale” al sito sull’accettazione di tutti i cookie, ma che possono solo limitare l’accesso ad alcuni contenuti se l’utente non acconsente all’uso dei cookie (ad esempio: per i siti web di e-commerce, il cui scopo principale è quello di vendere prodotti, la non accettazione di cookie (non indispensabili all’erogazione del servizio) non dovrebbe impedire a un utente di acquistare prodotti su questo sito).

Inoltre, il considerando 10 della direttiva e-Privacy 2002/58/CE precisa che, nel settore disciplinato dalla suddetta direttiva, la direttiva sulla protezione dei dati personali 95/46/CE si applica in particolare a tutte le questioni riguardanti la tutela dei diritti e delle libertà fondamentali, che non siano specificamente disciplinate dalle disposizioni di tale direttiva, compresi gli obblighi del responsabile [titolare, n.d.r.] del trattamento e i diritti delle persone fisiche. La direttiva 95/46/CE si applica a tutti i responsabili [titolari, n.d.r.] del trattamento. Poiché la memorizzazione delle informazioni o l’acquisizione di quelle precedentemente memorizzate sui dispositivi degli utenti per mezzo di cookie può comportare il trattamento dei dati personali [come è stato altresì chiarito dal Parere 2/2010 “sulla pubblicità comportamentale online”], in tale ipotesi si applicano chiaramente le regole di protezione dei dati. Uno dei principi che devono essere presi in considerazione è che i dati trattati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono acquisiti e/o successivamente trattati (articolo 6.1(c)). Se determinati cookie sono quindi non necessari rispetto alle finalità della fornitura del servizio web, ma forniscono solamente delle funzioni aggiuntive a beneficio del gestore del sito web, all’utente deve essere data un’effettiva possibilità di scelta per quanto riguarda questi cookie. Le tipologie di cookie che potrebbero essere sproporzionate rispetto alle finalità del sito web possono variare a seconda del contesto.

Un esempio, in cui il consenso per i cookie non necessari potrebbe essere considerato sproporzionato sono siti web che forniscono determinati servizi, in cui l’utente potrebbe avere poche alternative o nessun’altra opzione di usufruire del servizio, e quindi potrebbe essere privato di una effettiva possibilità di scelta circa l’utilizzo dei cookie. Nella maggior parte degli Stati membri dell’UE ciò avviene in particolare nel caso di servizi del settore pubblico [nella maggior parte degli Stati membri dell’UE non è considerato legittimo rendere condizionato l’accesso a siti web che forniscono servizi pubblici].

Agli utenti dovrebbe anche essere offerta un’effettiva possibilità di scelta per ciò che concerne i cookie di tracciamento. Tali cookie di tracciamento sono generalmente utilizzati per seguire i comportamenti degli individui attraverso differenti siti web, per creare profili basati su tali comportamento, per dedurre gli interessi e prendere decisioni che riguardano le singole persone. Quando i cookie di tracciamento vengono utilizzati per distinguere le persone in questo modo, è probabile che tali cookie siano considerati dati personali. Per il trattamento dei dati personali che viene effettuato mediante la lettura e l’impostazione dei cookie di tracciamento, il responsabile [titolare, n.d.r.] del trattamento deve acquisire il consenso inequivoco dell’utente. Le decisioni in merito alle violazione del predetto principio saranno prese caso per caso dall’autorità nazionale competente per vigilare sull’osservanza delle pertinenti disposizioni in materia di protezione dei dati personali.

Fatto a Bruxelles, il 2 ottobre 2013

Per il Gruppo di lavoro
Il presidente Jacob KOHNSTAMM

Advertisements

Un pensiero su “Documento di lavoro 02/2013 – WP 208 – indicazioni su come ottenere il consenso per i cookie [traduzione non ufficiale]

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...