Cookie: la disciplina applicabile e le criticità del provvedimento del Garante

honeybadger cookie, data protection, privacy, protezione dati personali, , , ,

cookie_e_privacyDa quasi tre anni il decreto legislativo n. 69 del 2012 ha recepito all’interno del Codice in materia di protezione dei dati personali le modifiche necessarie per dare attuazione – tra l’altro – alla direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche.

Le novità principali riguardano l’introduzione di una disciplina in materia di data breach, di cui mi riservo di parlare in un prossimo articolo, e le modifiche alla disciplina dei c.d. cookies, di cui all’art. 122, recante “Informazioni raccolte nei riguardi del contraente o dell’utente”.
Già prima del recepimento, il Gruppo di lavoro articolo 29 (istituito in virtù dell’articolo 29 della direttiva 95/46/CE quale organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata) si era espresso sul tema dei cookie con ben tre diversi pareri (Parere 2/2010 “sulla pubblicità comportamentale online”, Parere 16/2011 relativo “alla raccomandazione dell’EASA/IAB sulle buone prassi in materia di pubblicità comportamentale online” e Parere 4/2012 relativo alla “esenzione del consenso per l’uso dei cookie”) e con un documento di lavoro (Documento di lavoro 02/2013 recante “indicazioni su come ottenere il consenso per i cookie”), gli ultimi due dei quali sono essenziali a chiunque debba gestire servizi che fanno uso di cookie o di strumenti analoghi per orientarsi correttamente sulla materia. Un articolo pubblicato su La Repubblica dal titolo «L’audizione del Gruppo Espresso: “Serve seria protezione della privacy dei cittadini”» fa finalmente emergere una seria discrasia tra le disposizioni contenute nella direttiva comunitaria 2009/136/CE e nell’art. 122 del Codice rispetto al successivo provvedimento del Garante del maggio 2014, recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.
In questo articolo esaminiamo l’articolata disciplina sui cookie cercando di chiarirne alcuni punti apparentemente ambigui e di fornire alcune indicazioni ai gestori di siti web sulle condizioni di utilizzo “lecito” dei cookie e agli utenti per comprendere le conseguenze delle proprie scelte.

La legge

Ma andiamo con ordine, iniziando con l’esame passo per passo dell’articolo del Codice nella versione attuale (modificata da ultimo nel 2012):

Art. 122. Informazioni raccolte nei riguardi del contraente o dell’utente

1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3.

Con l’espressione “informazioni archiviate nell’apparecchio terminale” il Codice intende tutti quegli strumenti informatici, quali cookie, web beacon/web bug, clear GIF, ecc., che possono essere memorizzati su un dispositivo remoto e successivamente acceduti remotamente da parte dei c.d. “fornitori di servizio della società dell’informazione” (di seguito fornitori o editori), ossia dagli esercenti “attività economiche svolte in linea -on line-“, quali gestori di siti web, di app per smartphone, tablet, e smart TV, ecc. Notiamo subito che la legge non parla di cookie ma, come è giusto che sia, offre una definizione generale che consente di ricomprendere tutti quegli strumenti, attuali e futuri, il cui funzionamento prevede la memorizzazione di informazioni sul dispositivo dell’utente e la loro successiva lettura dal medesimo apparato. Tale definizione “aperta”, apparentemente lungimirante nella sua formulazione, costituisce – come vedremo in seguito – un limite poiché non riesce a ricomprendere alcune nuove tecniche di identificazione e di tracciamento degli utenti che prescindono dall’utilizzo di file da memorizzare sul dispositivo dell’utente. Inoltre la legge prevede che la memorizzazione e il successivo accesso possano essere effettuate “unicamente a condizione che… l’utente abbia espresso il proprio consenso”, e che tale consenso possa essere validamente acquisito solo dopo che l’utente sia stato informato con le modalità semplificate di cui all’articolo 13, comma 3″. Quindi, secondo lo schema derivante dall’applicazione di queste disposizioni, un cookie può essere memorizzato o acceduto solo dopo che l’utente sia stato preventivamente informato di tale circostanza e abbia prestato il proprio inequivoco ed espresso consenso. Per rendere meno complicato il meccanismo di acquisizione del consenso, viene prevista la possibilità di fornire l’informativa all’utente con le modalità semplificate che, sentite le associazioni di categoria e dei consumatori, potranno essere individuate dal Garante con proprio provvedimento (in assenza di diverse indicazioni da parte del legislatore, resta ferma la necessità – fino all’entrata in vigore del provvedimento “di semplificazione” da parte del Garante – di fornire comunque l’informativa agli interessati con le modalità ordinarie). La legge precisa che nel determinare le modalità semplificate per l’informativa il Garante debba tenere “anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente. Quindi la regola è che i cookie possono essere utilizzati solo col consenso informato dell’utente. La legge, tuttavia, prevede delle eccezioni in base alle quali in alcuni casi non è necessario acquisire il consenso dell’utente per poter usare i cookie, sebbene sia comunque sempre necessario rendergli preventivamente l’informativa relativa alla circostanza che il sito faccia utilizzo di cookie o di strumenti analoghi. Infatti:

Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.

Quindi non è necessario acquisire il consenso:

  • quando i cookie sono finalizzati unicamente ad effettuare la trasmissione di una comunicazione elettronica;
  • nella misura strettamente necessaria al fornitore di un servizio – esplicitamente richiesto dall’utente – per erogare tale servizio.

In altre parole, non è necessario il consenso dell’utente per l’utilizzo di quei cookie che, al termine della “comunicazione”, non restano memorizzati sul dispositivo e che quindi permangono sul sistema solo entro i limiti della durata della comunicazione stessa (c.d. cookie di sessione). Inoltre non è necessario il consenso per quei cookie che risultano indispensabili per rendere all’utente un servizio da questi espressamente richiesto e che, a tal fine, devono rimanere memorizzati sul dispositivo dell’utente anche dopo il termine della sessione. Per capire quali tipologie di cookie rientrino in questo secondo gruppo, facciamo alcuni esempi:

  1. se un sito web consente di scegliere alcune caratteristiche “estetiche” (es. dimensioni dei caratteri, temi, ecc.) o di funzionalità (es. lingua, audio, ecc.), si possono utilizzare i cookie per memorizzare tali scelte effettuate dall’utente senza richiedere uno specifico consenso al riguardo;
  2. si possono utilizzare i cookie senza il consenso dell’interessato per memorizzare altre scelte operate dall’utente, ad esempio la circostanza di aver già visitato il sito e di voler saltare una pagina di “benvenuto” per andare direttamente alla home page, oppure di aver già letto l’informativa sui cookie e di aver negato il consenso per l’utilizzo dei cookie diversi da quelli indispensabili per la fornitura del servizio, ecc.

In entrambi i casi è l’utente che “chiede” al fornitore che quel servizio gli venga reso in un determinato modo (dimensioni dei caratteri, temi, ecc.) e di memorizzare tali scelte per il futuro. In realtà in questi casi non si fa a meno del consenso dell’utente ma esso è implicito nella richiesta o nella scelta operata dall’utente medesimo. La caratteristica comune a tutte queste tipologie di cookie è quella di poter essere utilizzate senza la necessità di memorizzare nel cookie stesso informazioni che consentano di identificare univocamente l’utente. Ad esempio, per le caratteristiche estetiche e le altre scelte operate dall’utente, il fornitore può memorizzare nel cookie solo i dati strettamente indicativi di tali scelte, senza fare ricorso a codici che possono risultare – anche indirettamente – identificativi dell’utente (e, quindi, senza essere considerati dati personali dell’utente). Se tali cookie non consentono di individuare univocamente l’utente (e, quindi, di poterlo identificare, anche indirettamente), il fornitore potrà utilizzarli senza acquisire lo specifico consenso dell’utente. La leggedo_not_track_10923 prevede anche un’altra possibilità:

2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

Il legislatore ha in questo modo immaginato la possibilità che si sviluppino sistemi che permettano all’utente di esprimere il proprio consenso – per determinate tipologie di cookie – utilizzando specifiche funzionalità del proprio browser o del proprio dispositivo, che consentano di preimpostare opportunamente le proprie scelte e trasmetterle direttamente a ciascun fornitore (gestore di sito web, app, ecc.). Al momento in cui scriviamo (dopo tre anni dal recepimento in Italia della direttiva 2009/136/CE, a sua volta risalente al novembre 2009) non si registra una diffusa applicazione pratica di strumenti di espressione/diniego “agevole” del consenso ai cookie principalmente perché non si è ancora affermato uno standard per la gestione di tale tipo di operazione. Uno dei sistemi più diffuso è quello costituito dalla funzione do non track, ormai presente nei principali browser, che, una volta impostata, prevede che il browser invii al web server che ospita la pagina visitata uno specifico messaggio (sotto forma di header http DNT) che indica le preferenze dell’utente riguardo alla raccolta dei suoi dati di navigazione. Tale sistema, tuttavia, rappresenta solo uno standard per comunicare le proprie preferenze al sito web che si sta visitando, senza però che il gestore del sito sia vincolato a rispettare le scelte dell’utente: infatti il gestore del sito potrebbe tranquillamente ignorare la comunicazione poiché al momento non esiste una soluzione tecnologica per obbligare il fornitore a rispettare le scelte dell’utente. Esistono anche altre soluzioni che consentono di tenere sotto controllo la proliferazione di cookie sul proprio dispositivo, dai prodotti per la protezione della navigazione internet (antivirus/firewall o Ad filtering), che tra le varie funzioni offrono anche strumenti dedicati ai cookie, alle estensioni per i principali browser (qui trovate un esempio di quelle per Chrome). Tuttavia tali ultime soluzioni sono cosa ben diversa dalle “specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente” previste dalla legge e spesso non sono alla portata dell’utente comune.

Attività vietate

La legge, infine, prevede che:

2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

Riepilogando, fatti salvi i cookie di sessione e quelli strettamente necessari per rendere un servizio espressamente richiesto dall’utente, per poter utilizzare tutti gli altri cookie è necessario acquisire preventivamente il consenso dell’utente. Quindi la distinzione è tra tre categorie:

  1. cookie finalizzati unicamente ad effettuare la comunicazione (di sessione);
  2. cookie strettamente necessari per rendere un servizio esplicitamente richiesto dall’utente (per i quali il consenso può ritenersi implicito nella richiesta del servizio);
  3. altri cookie, per i quali è necessario che il fornitore abbia correttamente informato al riguardo l’utente e ne abbia acquisito il consenso.

In tutti i casi è comunque necessario che il fornitore renda preventivamente l’informativa all’interessato sul trattamento dei dati che viene effettuato allorquando l’utente si collega al sito web o utilizza l’app, nel cui ambito dovrà essere specificato anche il trattamento di dati effettuato mediante cookie.

Il provvedimento del Garante

Col già citato provvedimento dell’8 maggio 2014, recante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, il Garante, oltre a stabilire – in linea con quanto previsto dalla legge al citato art. 122 del Codice – le modalità semplificate per rendere l’informativa agli interessati, è andato ben oltre i confini individuati nella legge intervenendo anche sulle modalità di acquisizione del consenso degli interessati. Inoltre nel provvedimento il Garante divide i cookie in due categorie, i cookie “tecnici” e quelli “di profilazione”, assoggettando solo questi ultimi all’acquisizione preventiva del consenso, discostandosi sensibilmente dal dettato normativo sopra illustrato. Infine il provvedimento interviene anche sui cookie c.d. di terze parti, individuando in capo ai gestori di siti web – titolari dei cookie c.d. di prime parti – degli obblighi informativi non previsti dalla legge con riferimento a tali cookie di terze parti.

  • Informativa con modalità semplificate

La semplificazione consiste nella possibilità di fornire l’informativa “su due livelli di approfondimento successivi”:

  1. “nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito)”;
  2. essa poi deve essere “integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente”.

“Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche”. Il banner contenente l’informativa e la scelta del consenso (ove necessario) “deve immediatamente comparire in primo piano […] nel momento in cui si accede alla home page (o ad altra pagina) di un sito web” e deve avere “idonee dimensioni”, ossia “dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando”. Tale scelta recepisce le soluzioni già adottate da molti fornitori per dare attuazione alla legge. Il banner deve contenere “le seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete; [sempre che tale tipologia di cookie sia prevista, n.d.r.] b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada); c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare; d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie; e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie”.

  • Consenso “per comportamenti concludenti”

L’ultimo punto (lett. e) rappresenta secondo il citato articolo su La Repubblica dal titolo «L’audizione del Gruppo Espresso: “Serve seria protezione della privacy dei cittadini”», e anche a mio avviso, un’ingiustificata deroga ai principi generali in tema di acquisizione legittima del consenso (che deve essere sempre espresso dall’interessato in modo consapevole) e – dal mio punto di vista – una criticità con riferimento all’aderenza allo specifico dettato normativo dell’art. 122 del Codice, che non attribuisce al Garante alcun potere di derogare ai predetti principi generali, facendolo – tra l’altro – con modalità criticabili. Infatti si legge nel predetto articolo che: “il Garante italiano alla privacy ha stabilito nel maggio scorso che, in presenza di un banner informativo dei diritti dell’utente, basta continuare la navigazione nel sito con un click [su un’altra pagina del sito, n.d.r.] o uno scroll per accettare che qualsiasi soggetto possa erogare i propri cookie e poi registrare le attività e abitudini online dell’utente per fini commerciali. […] Il passaggio fondamentale e contraddittorio con quanto dichiarato nella premessa è quello riassunto nel punto finale: in applicazione alla Direttiva 2009/136/CE del 25 novembre 2009, il Garante stabilisce che basta continuare la navigazione nel sito con un click o uno scroll per accettare che qualsiasi soggetto possa erogare i propri cookie e registrare le attività e abitudini online dell’utente per fini commerciali. Così farà il 99 per cento degli utenti messi in balìa di operatori sconosciuti. Non vi è dubbio che questa modalità di acquisizione del consenso “per comportamenti concludenti”, costituiti da azioni quali uno scroll o un click in qualsiasi parte del sito – persino su un link che porta fuori dal sito stesso – e non sugli specifici link o pulsanti relativi al consenso, non rappresenti una modalità corretta per l’acquisizione di un valido consenso e ciò è confermato dall’orientamento espresso a più riprese sul tema dal Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali (Gruppo di lavoro art. 29), in particolare nel Parere 4/2012 relativo alla “esenzione del consenso per l’uso dei cookie”) e nel Documento di lavoro 02/2013 recante “indicazioni su come ottenere il consenso per i cookie”. Nel suddetto Documento di lavoro 02/2013 si legge, tra l’altro, che:

Il procedimento attraverso il quale gli utenti possono manifestare il loro consenso per i cookie deve passare attraverso un’azione positiva o altri comportamenti attivi e purché siano stati pienamente informati di ciò che tale azione rappresenta. Pertanto gli utenti possono manifestare il proprio consenso sia facendo click su un pulsante o un link oppure barrando una casella all’interno o vicino allo spazio in cui viene fornita l’informativa (se viene eseguita l’azione congiuntamente al momento in cui viene fornita l’informativa sull’uso dei cookie) o ponendo in essere qualsiasi altro comportamento attivo da cui un gestore di sito web può desumere inequivocabilmente che ciò rappresenti la manifestazione di un consenso specifico e informato.Per comportamento attivo si intende un’azione che l’utente può eseguire, in genere un’azione che si basa su una richiesta tracciabile dell’utente verso il sito web, come ad esempio cliccare su un link, su un’immagine o su altro contenuto presente sulla pagina di avvio del sito web, ecc. Le forme di queste tipologie di azioni richieste agli utenti devono essere tali che il gestore del sito web può essere sicuro che l’utente abbia attivamente richiesto di impegnarsi con il sito web e che lo faccia dunque effettivamente esprimendo il consenso all’uso dei cookie (supponendo che l’utente sia completamente informato) e che l’azione sia un indicatore attivo di tale consenso.

Affinché il gestore del sito web possa essere sicuro che l’utente abbia voluto esprimere con una determinata azione il proprio consenso all’utilizzo dei cookie è necessario che l’utente abbia compiuto un’azione che inequivocabilmente indichi tale consenso e, a parere di chi scrive e del Gruppo di lavoro art. 29, uno scroll verso il basso o un click in una qualsiasi zona del sito non può costituire una valida accettazione dell’uso dei cookie poiché azioni come quelle in questione possono essere eseguite anche inconsapevolmente o per altri motivi o senza aver letto il banner di avviso contenente l’informativa sintetica.

Per avere un esempio pratico del modo corretto di porre in essere gli adempimenti in questione, al di là del garbuglio di adempimenti prescritti dal Garante e delle relative presunte agevolazioni, che potrebbero anche risultare fuorvianti, può essere utile dare un’occhiata a come hanno adempiuto ai medesimi obblighi le istituzioni dell’Unione europea.

Cookie_Parlamento_UEAd esempio il sito del Parlamento europeo propone un banner che richiede di accettare o rifiutare i cookie ovvero fornisce ulteriori informazioni. Se l’utente non effettua una scelta, il banner rimane visualizzato anche se si naviga su altre pagine del sito, finché l’utente non esprime il proprio consenso o diniego all’utilizzo dei cookie cliccando sulle rispettive caselle: nessuno scroll verso il basso o click chissà dove viene considerato equivalente all’espressione del consenso. Un approccio forse un po’ rigido ma di certo conforme alla disciplina che stiamo esaminando, che avrebbe potuto essere migliorato con qualche ulteriore accorgimento. Infatti, nel caso in questione, si sarebbe potuto rendere più agevole la navigazione prevedendo che, nel caso in cui l’utente decidesse di proseguire all’interno del sito (con uno scroll o cliccando un link verso altre pagine del sito) senza manifestare espressamente la propria volontà, il gestore avrebbe potuto prevedere in alternativa o un ridimensionamento del banner (per renderlo meno ingombrante ma comunque accessibile per l’effettuazione della scelta) oppure avrebbe potuto considerare tale azione alla stregua di un diniego “temporaneo” del consenso, da memorizzare non su un cookie “permanente” ma su uno valido fino al termine di quella specifica sessione (in tal modo, alla successiva visita, non essendo presente nel dispositivo dell’utente alcun cookie, il sito avrebbe di nuovo presentato il banner nella sua versione integrale).

  • Adempimenti per i cookie di terze parti

La gran parte dei siti web attualmente contiene cookie di terze parti sui quali il gestore del sito stesso, come sa bene chiunque si occupi di queste cose, ha margini di azione pressoché nulli. Nonostante ciò, il Garante ha imposto ai gestori di siti web che ospitino al proprio interno cookie di terze parti i seguenti obblighi che, come già accennato, a mio avviso non sono previsti dalla legge:

  1. all’interno dell’informativa estesa va inserito un “link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari”;
  2. inoltre “al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari)”;
  3. infine “nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse”.

A parere di chi scrive, questi adempimenti previsti dal Garante per i cookie di terze parti sono tanto gravosi quanto inefficaci alla prova dei fatti.

Innanzitutto, pensare di imporre al gestore del sito di dover tenere un elenco dei link ai moduli dell’informativa e per l’espressione del consenso per le terze parti denota una totale ignoranza delle dinamiche commerciali attuali (e future) esistenti nel mondo della pubblicità on-line e della velocità con cui cambiano le forme contrattuali e le configurazioni dei rapporti tra i diversi attori in gioco. Un siffatto elenco, oltre a richiedere uno sforzo ragguardevole di iniziale predisposizione, risulterebbe nella pratica obsoleto sul nascere e sostanzialmente impossibile da tenere costantemente aggiornato.

Inoltre, occorre considerare che ragionevolmente (oltre che sotto un profilo strettamente legale) ciascuno possa essere chiamato a rispondere solo della gestione dei propri cookie! Sarà il gestore del cookie “terzo” a doversi preoccupare di dare una propria informativa e di acquisire direttamente il consenso degli interessati, se ne ricorrono le condizioni. In assenza dell’informativa e dell’eventuale consenso, non potranno memorizzare i propri cookie sul dispositivo dell’utente e i medesimi gestori di cookie “terzi” dovranno essere i soli a rispondere di eventuali violazioni di tali divieti. L’unico obbligo che – a mio avviso – il Garante avrebbe potuto imporre legittimamente al gestore del sito “prima parte” è quello di rendere edotti gli utenti della possibile presenza sul proprio sito di cookie di terze parti, senza richiedere ulteriori specificazioni (spesso al di fuori della portata del gestore “prima parte”).

  • L’improprio differimento dell’entrata in vigore del provvedimento

Altro motivo di perplessità è legato alla previsione contenuta nel provvedimento del Garante di differire di un anno l’entrata in vigore delle misure di semplificazione in esso contenute. Si legge, infatti, che, tenuto conto “del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo […], si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate”.

Ricordiamo come l’obbligo di rendere l’informativa e di acquisire il consenso trae origine dall’art. 122 del Codice privacy e che, nella versione modificata nel 2012, la legge attribuisca al Garante la sola facoltà di individuare modalità semplificate per assolvere al solo obbligo dell’informativa e non anche per il consenso.

Quindi il Garante incorre in un triplice errore:

  1. come già detto, il Garante, oltre che semplificare l’informativa, individua – in assenza di alcun presupposto normativo e quindi operando al di fuori dei propri poteri – anche modalità di acquisizione del consenso non conformi alla disciplina nazionale e unionale;
  2. differisce di un anno (al 2 giungo 2015) l’entrata in vigore delle misure di semplificazione dell’informativa, dimenticando che in assenza di tali modalità semplificate (e solo per quella, perché il consenso – come detto – è fuori dall’ambito della semplificazione), i gestori sono tenuti a rendere l’informativa con le modalità ordinarie;
  3. quindi, in astratto, chi ha reso finora l’informativa con le modalità individuate dal Garante ma non ancora entrate in vigore potrebbero rispondere (si ribadisce, in astratto) della violazione relativa all’inidonea informativa.

Quindi il Garante, per quello che sembra desumersi, ha differito l’entrata in vigore del proprio provvedimento nell’erronea convinzione che ciò comportasse uno slittamento dei termini per adempiere agli obblighi di legge a favore dei gestori di servizi web, non considerando che la legge non ha attribuito questo potere all’Autorità e che, pertanto, il differimento ha paradossalmente avuto il solo effetto di rendere inefficaci per un anno le misure di semplificazione dell’informativa.

Proprio un bel pasticcio…

  • L’effetto paradossale in campo sanzionatorio

Un ultimo aspetto da considerare riguarda i possibili profili sanzionatori. Il dispositivo del provvedimento (la parte in cui sono contenute le prescrizioni) si divide in due parti:

1) la prima, adottata ai sensi dell’art. 122, comma 1, del Codice, che consente solamente di individuare l’informativa semplificata ai sensi dell’art. 13, comma 3, del Codice, e dell’art. 154, comma 1, lettera h), che attribuisce al Garante il compito di “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati”.

2) la seconda, adottata ai sensi dell’art. 154, comma 1, lettera c), che consente al Garante di “prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143” (quest’ultimo articolo riguarda i provvedimenti che possono essere emessi a seguito di reclamo, estesi anche a quelli relativi alle segnalazioni ai sensi dell’art. 141).

In virtù di tale ultima disposizione, il Garante ha ritenuto di “prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)”. Al riguardo il Garante si dimentica di specificare se tale prescrizione costituisca una misura necessaria o opportuna e tale mancanza non è irrilevante…

Questo approccio ha un ultimo effetto paradossale:

a) se il gestore prima parte non rende l’informativa per i propri trattamenti, può essere chiamato a rispondere di una sanzione tra 6.000 e 36.000 € (art. 161 del Codice, per violazione dell’art. 13);
b) se il gestore prima parte non acquisisce e non rende disponibili i link alle informative/moduli del consenso delle terze parti, la sanzione varia tra 30.000 e 180.000 € (art. 162, comma 2-ter, del Codice, per violazione dell’art. 154, comma 1, lettera c).

Quindi per la prima parte è più grave omettere la raccolta e la pubblicazione dei link all’informativa per i trattamenti effettuati dalle terze parti di quella relativa ai propri!

Oltre i cookie: un futuro già presente – il fingerprinting

device_fingerprintingPer onestà intellettuale occorre precisare che la materia che abbiamo trattato sia stata potenzialmente superata dall’evoluzione tecnologica già da alcuni anni. A livello teorico, la loro ideazione risale ad oltre dieci anni fa e, nella pratica, già da almeno cinque anni esistono sul mercato diverse soluzioni, ampiamente utilizzate dai gestori di servizi sul web, che consentono di tracciare gli utenti senza aver bisogno di memorizzare alcunché sul dispositivo dell’utente stesso e senza nessuna necessità di registrazione da parte dell’utente al servizio: si tratta del c.d. fingerprinting, nelle sue varie declinazioni (browser fingerprinting, device fingerprinting, ecc.).

Si tratta di sistemi che, a fattor comune, riescono ad individuare in modo pressoché univoco l’utente o il dispositivo che sta accedendo ad un servizio web sulla base delle informazioni che normalmente vengono comunicate dal browser al server remoto per motivi “di servizio”; tali informazioni, ad esempio, riguardano il tipo di browser che l’utente sta utilizzando, la risoluzione dello schermo, i font installati sul dispositivo, ecc., elementi che normalmente e legittimamente vengono utilizzati da tutti i gestori di servizi web per adattare (formattare) l’aspetto (layout) del sito web o del servizio rispetto alle caratteristiche del dispositivo che vi sta accedendo, al fine di rendere migliore l’esperienza di navigazione.

PanopticlickSul sito https://panopticlick.eff.org/ potete toccare con mano quanto sia riconoscibile e tracciabile il vostro dispositivo/browser solo con l’uso di tecniche di fingerprinting e senza fare ricorso a cookie o simili.

Le tecniche di fingerprinting vengono solitamente e legittimamente utilizzate per distinguere le attività svolte da reali “utenti umani” rispetto al traffico generato da spyder, robot e simili e, allo stesso modo, anche per incrementare le difese rispetto a tentativi di furti d’identità digitale e per ridurre il rischio di click fraud. Fare ricorso a strumenti di tracciamento mediante fingerprinting è più semplice di quanto si possa pensare, grazie anche a soluzioni open source come quella offerta da http://www.darkwavetech.com/device_fingerprint.html e non richiede l’uso di tecniche “malevole”.

Questi strumenti, quindi, non richiedono la memorizzazione di “qualcosa” sul dispositivo dell’utente e il successivo accesso alla medesima informazione archiviata in precedenza, ma effettuano il trattamento necessario per l’identificazione dell’utente lato server, in modo del tutto sconosciuto all’utente. Pertanto tali strumenti, dal punto di vista della protezione dei dati personali, risultano più subdoli e rischiosi rispetto ai cookie e simili e, nonostante ciò, ad essi non risulta direttamente applicabile l’art. 122 del Codice sui cookie.

Ma a tali strumenti, che consentono di identificare (nel senso inteso dalla direttiva 95/46/CE e dal Codice in materia di protezione dei dati personali) indirettamente l’utente, si applicano comunque le regole e i principi generali in materia di trattamento di dati personali e, conseguentemente, per poterli utilizzare è necessario:

  1. informare preventivamente l’utente del loro utilizzo, ai sensi dell’art. 13 del Codice;
  2. acquisire il consenso dell’utente al loro utilizzo, ai sensi dell’art. 23 del Codice;
  3. nel caso in cui si intenda utilizzare le informazioni identificative ottenute mediante fingerprinting per finalità di profilazione, è necessario effettuare la notificazione preventiva ai sensi degli artt. 37 e 38 del Codice.

Tenuto conto del modo in cui operano questi strumenti, è chiaro che la verifica da parte delle autorità di protezione dati del loro corretto utilizzo sarà molto più complessa e difficoltosa rispetto a quella necessaria per i controlli in materia di cookie, ma ciò non toglie che la legge, grazie all’ampiezza con cui sono formulate le disposizioni generali sui presupposti di legittimità dei trattamenti di dati personali, già ricomprenda le ipotesi di trattamenti effettuati mediante fingerprinting e che i titolari del trattamento siano già obbligati a tenerne conto.

Considerazioni e conclusioni

Pur volendo ammettere che l’intervento ultra legem o, quantomeno, ultroneo del Garante sia stato animato dall’intenzione di agevolare gli adempimenti che i gestori dei siti web devono porre in essere per utilizzare i cookie, si deve rilevare come il prodotto finale risulti parzialmente in contrasto con la normativa comunitaria (o, più correttamente, unionale) e con quella nazionale e, nell’insieme, abbastanza confuso.

Ci troviamo, infatti, di fronte al tipico esempio della “frammentazione regolamentare” causata dalla mancanza di una disciplina europea direttamente applicabile ai singoli Stati e del modo in cui una singola autorità nazionale di protezione dati può distorcere la portata di una disposizione di legge con un’interpretazione non conforme al dettato normativo e alla disciplina unionale da cui la legge nazionale promana.

Questo è proprio il tipo di criticità cui il nuovo regolamento in materia di protezione dei dati personali intende porre rimedio, riducendo lo spazio di “integrazione della normazione” attualmente lasciato alle singole autorità nazionali a favore di un’applicazione più uniforme sul territorio dell’Unione europea della disciplina in materia di protezione dei dati personali.

Il provvedimento sui cookie, anche se può sembrare ancora prematuro, offre lo spunto per riflettere su una questione che dovrà essere affrontata in vista del nuovo regolamento europeo in materia di protezione dei dati personali e dovrebbe essere già presa in adeguata considerazione da parte del Garante prima di adottare ulteriori provvedimenti: cosa sarà dei provvedimenti emanati nel tempo delle singole autorità nazionali, e delle loro discrasie ed eventuali distorsioni, quando entrerà in vigore il nuovo regolamento europeo? Dal punto di vista giuridico, all’entrata in vigore del nuovo regolamento le parti dei vari provvedimenti che risulteranno essere in contrasto col regolamento perderanno efficacia; da un punto di vista pratico, c’è da aspettarsi che le singole autorità nazionali si preoccuperanno di fare un po’ di “pulizia”, effettuando una ricognizione di tutti i propri provvedimenti per attualizzarli o almeno per indicare per ciascuno le parti eventualmente superate.

In questo contesto, mentre le modalità semplificate per rendere l’informativa stabilite dal Garante in questo provvedimento sono pienamente legittime, le ulteriori “semplificazioni sul consenso” sono invece già ora in contrasto con la disciplina nazionale ed europea e, quindi, il consiglio per i gestori di siti web è di utilizzare fin da subito modalità corrette per l’acquisizione del consenso degli utenti all’uso dei cookie (quindi gli scroll o i click verso link diversi da quelli del “sì” all’utilizzo dei cookie cautamente non andrebbero considerati un modo valido di acquisizione del consenso – ciò eviterà in futuro di dover ritornare sui propri sistemi per renderli effettivamente conformi alla disciplina di settore).

Qualora foste di interessati ad approfondire alcuni degli argomenti trattati nell’articolo ovvero ad un esame dettagliato delle varie tipologie di cookie (con indicazione caso per caso delle loro rispettive corrette modalità di utilizzo), inserite un commento all’articolo o scriveteci su mailto:honeybadger@virgilio.it, cercheremo di accontentarvi.

Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

16 pensieri su “Cookie: la disciplina applicabile e le criticità del provvedimento del Garante

  2. Ho un mio sito web creato utilizzando uno dei tanti modelli di una società.
    Non effettuo alcuna attività commerciale ma lo uso solo a fini pubblicitari (Chi sono, cosa faccio, cosa ho fatto, clienti, ecc.).
    Chi ospita il mio sito ha inserito (disclaimer) la seguente frase: L’attività di XXYY si limita alla mera raccolta e conservazione sui propri server e piattaforme dei dati forniti dal Proprietario del sito o da terzi conformemente alla normativa ex art. 16 d. lgs. n. 70 del 2003″.
    Devo far inserire l’informativa e la richiesta di consenso?
    Grazie.

    "Mi piace"

    Rispondi

    • Mi sembra di capire che il suo sito, come il nostro, sia ospitato su una piattaforma CMS (content management system) su cui lei pubblica i suoi contenuti. Come nel nostro caso, lei non credo che tratti direttamente i dati personali dei visitatori del suo sito (a meno che non siano previsti form di registrazione a forum o newsletter e cose simili) che invece, casomai, sono trattati dal gestore della piattaforma CMS; in questo caso, quindi, come abbiamo fatto anche noi, dovrebbe limitarsi ad indicare nella sua informativa i dati che lei eventualmente tratta in proprio e far rimando all’informativa del suo fornitore di CMS per i restanti trattamenti, compresi quelli eventualmente relativi ai cookie. Guardi la nostra informativa su https://lamiaprivacy.wordpress.com/benvenuti/
      Se ha altri dubbi, ci scriva in privato indicando l’URL del suo sito, vedremo di dargli un’occhiata… senza impegno, però 😉

      "Mi piace"

      Rispondi

  3. Articolo scritto davvero bene, molto comprensibile ed utile! Mi trovate concorde su tutto, specialmente sull’assurda responsabilità del gestore del sito riguardo i cookie di terze parti.
    Una domanda: come vengono considerati i cookie che possono essere creati usando widget o plugin di condivisione social (ad es. se volessi condividere su twitter questo articolo), oppure nel caso di embed video tramite piattaforme quali YouTube o Vimeo? Specialmente nel caso in cui il visitatore fosse già loggato in altra schermata su questi stessi portali. Mica uno può impazzire cercando i link alle informative di decine di servizi terzi! Che ne pensate?

    "Mi piace"

    Rispondi

    • In base ai principi generali, l’informativa sul trattamento dei dati personali la deve dare chi tratta dati personali – può sembrare banale, ma spesso perdiamo di vista questo concetto fondamentale.
      In concreto, quindi, i pulsanti di condivisione presenti ad esempio su questo blog e i relativi trattamenti di dati personali sono al di fuori della portata del titolare del blog stesso e ricadono sicuramente in capo al fornitore del servizio di destinazione (Youtube, Vimeo, ecc.) e – a seconda dei casi – anche nella sfera di competenza del gestore della piattaforma CMS (content management system) o dell’autore del widget/plugin (se l’autore è diverso dal fornitore del servizio e se il suo funzionamento comporta il trattamento di dati da parte dell’autore stesso).
      Quindi, nel caso di questo blog e credo anche nel tuo, non siamo tenuti a dare una informativa per un servizio che viene offerto da un terzo attraverso il nostro sito, salvo – eventualmente – un generico riferimento all’informativa del gestore del CMS.
      Non bisogna dimenticare, infine, che le informative relative ai servizi offerti dai fornitori di piattaforme social (Youtube, Twitter, Vimeo, Facebook, Google+, ecc.) dovrebbero già essere state fornite dai medesimi fornitori all’atto della registrazione a tali servizi e l’eventuale omissione di tale adempimento ricade nell’alveo della loro sfera di responsabilità (come anche l’acquisizione dei consensi necessari per determinati trattamenti).
      Quindi, in conclusione, in base ai principi generali, devi rendere l’informativa per i soli trattamenti che fai tu direttamente, non per quelli che altri fanno attraverso apposite funzioni o aree presenti o ospitate sul tuo sito che siano al di fuori dell’ambito del tuo trattamento.

      "Mi piace"

      Rispondi

  6. Grazie per l’articolo, una spanna su tutti quelli che ho letto finora in Italia (e ne ho letti davvero tanti). Una domanda riguardo alle terze parti (tipicamente: Google, Facebook, Twitter etc). Quindi il tuo consiglio è addirittura quello di non fare un elenco delle terze parti con relativi link alle loro privacy policies agli opt out? Grazie ancora per lo spendido contributo

    Piace a 1 persona

    Rispondi

  7. Ti ringrazio per l’elogio, davvero lusinghiero.
    L’argomento ha suscitato notevole interesse e in questi giorni, dalle richieste che mi sono giunte e girando per il web, ho notato che c’è ancora grande confusione e bisogno di fare chiarezza.
    Per questi motivi sto pensando di pubblicare una “seconda puntata” in cui esaminare le situazioni più ricorrenti e indicare per ognuna quella che credo sia la soluzione più conforme alla legge.

    Tornando alla tua domanda, se il tuo blog ha le stesse caratteristiche del mio, la nostra informativa privacy può essere una buona base di partenza per capire la nostra posizione: https://lamiaprivacy.wordpress.com/benvenuti/
    Per questo tipo di blog, non servono né il banner né il widget laterale e il Garante ha fatto solo un mucchio di confusione.
    Il fatto che tu non gestisca in alcun modo i cookie che vengono usati da wordpress (o da qualsiasi altra piattaforma anaolga) e da altre terze parti è già indicativo della circostanza che tu non debba fare nulla al riguardo.
    Al più nell’informativa presente nel sito puoi aggiungere il link all’informativa di wordpress e alla circostanza che gli eventuali cookie generati dalla piattaforma non sono gestiti da te. La relativa informativa e l’eventuale consenso sono una incombenza che deve curare, se del caso, wordpress e non tu.
    Sfido chiunque a irrogare una sanzione a un gestore di un blog simile al nostro se si comporta in questo modo.
    Infatti sia gli autori dei contenuti del blog sia chi ne fruisce sono tutti utenti della piattaforma gestita da wordpress, alla stregua di una pagina pubblica su facebook, ma con più possibilità di personalizzazione. Qualcuno ha mica visto comparire strani banner sulle pagine pubbliche di facebook?
    Spero di esserti stato d’aiuto.

    "Mi piace"

    Rispondi

  8. Gli adempimenti previsti dalle linee guida hanno destato molte preoccupazioni nei gestori di siti web di vario genere, soprattutto in coloro che, non avendo né una specifica preparazione giuridica, né uno stuolo di giuristi alle spalle che potesse aiutarli all’interpretazione delle disposizioni in materia di protezione dei dati personali, hanno dovuto barcamenarsi in prima persona per mettersi in regola.
    Ieri, 2 giugno, è infatti scaduto il termine fissato dal Garante per adeguarsi ed oggi, senza tornare di nuovo sulle critiche di carattere più strettamente giuridico già evidenziate in linea teorica nell’articolo, riteniamo utile soffermarci sugli effetti pratici che le linee guida in questione hanno in concreto avuto sugli adempimenti in materia di cookie nel nostro Paese, esaminando alcuni casi esemplificativi che potranno aiutarci a comprendere gli errori più comuni e ad individuare le migliori prassi da seguire.

    "Mi piace"

    Rispondi

Lascia un commento