Ancora dubbi sui cookie? Arrivano i chiarimenti del Garante - I PARTE
A seguito del sopraggiungere della data del 2 giugno scorso, termine finale per adeguarsi al provvedimento del Garante sui cookie dell’8 maggio 2014, a seguito delle polemiche e dei dubbi sollevati da numerose associazioni di categoria, dai commenti contrari sui social e dalla nascita di petizioni online avverso la cosiddetta cookie law, il Garante è intervenuto nei giorni scorsi con un nuovo provvedimento chiarificatore, sottolineando che gli obblighi in materia di cookie derivano da una normativa europea del 2009, recepita dall’Italia con decreto nel 2012.
Ma cosa sono i tanto famigerati cookie?
Si tratta di piccole stringhe di file di testo che i siti visitati dall’utente inviano al suo terminale o dispositivo, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti, quando l’utente visita nuovamente quella pagina del sito. L’utente, navigando su un sito web, può incontrare anche cookie che appartengono a soggetti terzi rispetto al sito visitato, su cui si trovano ad esempio immagini, suoni, link ad altri siti e di altri siti web.
In base alla durata della loro presenza sul dispositivo dell’utente i cookie si suddividono in:
- COOKIE TEMPORANEI: si cancellano quando l’utente esce dal browser;
- COOKIE PERMANENTI: si cancellano quando scade il termine fissato o anche quando l’utente cancella la cronologia.
I cookie si dividono in diverse categorie, anche in base alle loro differenti funzionalità e proprio in relazione agli scopi per cui sono utilizzati, il legislatore prima e il Garante poi, nell’adeguamento dell’Italia alla normativa europea (direttiva 2009/136/CE), hanno previsto la necessità di informare l’utente in merito ai cookie e la necessità di chiedere il consenso espresso all’utente medesimo per l’installazione sul suo terminale di alcune categorie di cookie. Questi obblighi informativi e di richiesta di consenso incombono sui gestori dei siti web e sono stati precisati nel provvedimento del Garante dell'8 maggio 2014, cui i gestori avrebbero dovuto adeguarsi entro il 2 giugno, pena pesanti sanzioni.
Il Garante è comunque intervenuto nuovamente, in merito alla cosiddetta cookie law, per fornire ulteriori chiarimenti. Vediamo allora come comportarsi con i cookie.
Cookie tecnici
Si tratta di cookie che migliorano, facilitano l’esperienza di navigazione dell’utente e garantiscono sicurezza nelle operazioni. Precisamente si parla di cookie tecnici riferendosi a quelli necessari ad “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice Privacy - D. Lgs. n. 196/2003). Ad esempio, possono rientrare tra i cookie tecnici quelli usati nei siti in cui si accede ad aree private come quelli di e-commerce o di home banking, per mantenere l’identificazione dell’utente durante una stessa sessione, per memorizzare i prodotti nel carrello, per facilitare le operazioni di pagamento, ecc.
Se un sito web utilizza solo questa tipologia di cookie, la sola cosa che si rende necessaria è specificarlo nell’informativa, nei modi che il gestore ritiene più opportuni (ad esempio, in un apposito paragrafo all’interno della pagina relativa alla Privacy Policy), non è necessario l’inserimento del banner, né la richiesta di consenso.
Cookie analytics creati e installati direttamente dal gestore del sito
Si tratta di cookie che servono al gestore per verificare le modalità d’utilizzo del sito da parte degli utenti, ricevere dati statistici sul tipo di pagina visitata, sul tempo di permanenze, ecc, al fine di migliorarne le prestazioni. Questo tipo di cookie possono essere assimilati ai cookie tecnici quando sono realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l'intervento di soggetti terzi).
Cookie analytics utilizzati dal gestore, ma creati da terze parti
In molti casi, però il gestore utilizza cookie analytics messi a disposizione di terze parti. In queste circostanze, se tali cookie sono usati per meri fini statistici, i siti che li usano non sono soggetti agli obblighi e agli adempimenti previsti dalla normativa (come nemmeno alla notificazione al Garante in primis), a condizione che vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP). Peraltro, se il gestore del sito intende utilizzarli deve avere la garanzia da parte della terza parte che li installa di impegnarsi ad utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “incrociarli” con altre informazioni di cui esse dispongano.
Se il gestore del sito rispetta queste condizioni, non è necessario un banner, ma è necessario specificare che il sito usa tali tipologie di cookie analytics nella pagina appositamente creata e dedicata alla Cookie Policy o anche all’interno della stessa pagina relativa alla Privacy Policy in un paragrafo apposito, dove viene anche indicato all’utente come fare per eliminare tali cookie.
Il Garante spiega che se il web master utilizza piattaforme (anche opensource) preimpostate (per intenderci wordpress, magento, opencart o simili) che contengono al loro interno dei cookie, può utilizzare la tecnologia privacy-by-design esistente sulle medesime piattaforme, per controllare l’uso dei cookie. Ad ogni modo, insiste perchè gli utenti abbiano il più ampio margine di decisione su quali cookie usare, mettendoli nelle condizioni di poter negare il consenso all’installazione dei cookie non necessari.