Informativa e consenso per cookie

STUDIO LEGALE
Dott.ssa Giulia Casacci
Via Vescovado n. 3 – 47521 Cesena (FC)
Tel/Fax: 0547.613226 Cell: 3487436007
Cod. Fis. CSCGLI85R70C573L

INFORMATIVA E CONSENSO PER L'USO DI COOKIE
Provvedimento del Garante per la protezione dei dati personali 08 Maggio 2041, pubblicato in Gazzetta Ufficiale n. 126 del 03 Giugno 2014 e Codice in materia di protezione dei dati personali D. Lgs. n. 196/2003.
Scopo: "..individuare le modalità semplificate per rendere l'informativa online agli utenti sull'archiviazione dei cookie sui loro terminali da parte di siti Internet visitati e fornire idonee indicazioni sulle modalità con le quali procedere all'acquisizione del consenso da parte degli stessi, laddove richiesto dalla legge."
COME PROCEDERE?
Identificare tutte le categorie di cookie installate dal sito web e le finalità:
Il Provvedimento distingue due macro categorie di Cookie
Cookie Tecnici -> Utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica. Non sono utilizzati per scopi ulteriori e possono essere distinti ulteriormente tra
Cookie di Navigazione o di sessione: garantiscono la normale navigazione e la fruizione del sito web, dunque relativi ad attività strettamente necessarie al funzionamento e all'erogazione del servizio (es. realizzare acquisti o autenticarsi per accedere alle aree riservate);
Cookie Analytics: se utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito stesso. I due strumenti di analytics esenti dall'obbligo di consenso riguardano cookie installati direttamente sul server della prima parte o della propria server farm, senza interazioni da parte di terzi (ad es. Piwik) e cookie gestiti da terza parte ma anonimizzati oppure in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP. Si veda il punto successivo per maggiori dettagli.
Cookie di Funzionalità: permettono all'utente la navigazione in funzione di criteri selezionati, relativi ad attività di salvataggio delle preferenze e ottimizzazione al fine di migliorare il servizio reso all'utente (ad. es. cookie flash player se non superano la durata della sessione, salvataggio del carrello o delle preferenze di lingua/valuta).

Non è richiesto il preventivo consenso per la loro installazione, ma resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 Codice Privacy che il gestore del sito potrà fornire con le modalità che ritiene più idonee.

Cookie di Profilazione -> Volti a creare profili relativi all'utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate nell'ambito della navigazione in rete. In particolare:
cookie di profilazione pubblicitaria di prima o terza parte,
cookie di retargeting,
cookie di social network,
cookie di statistica gestiti completamente dalle terze parti.

L'archiviazione delle informazioni nell'apparecchio terminale di un utente e l'accesso alle informazioni già archiviate sono consentiti solo a condizione che l'utente abbia espresso il proprio consenso.


Identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie:
Un ulteriore elemento da considerare riguarda l'individuazione del soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito (editore) ovvero di un sito diverso che installa cookie per il tramite del primo (terze parti).
Editori: assumono una duplice veste, essendo titolari da un lato del trattamento dei cookie installati direttamente dal proprio sito e, dall'altro lato, quali intermediari tecnici per i cookie che le terze parti installano per loro tramite.

Dunque, per i cookie di terze parti -> gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico, è tenuto a inserire nell'informativa estesa i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
Si dovrà identificare i link alle privacy policy e ai moduli di consenso delle terze parti con i quali il titolare del sito ha stipulato accordi per l'invio dei cookie dal medesimo sito.
Qualora il gestore non abbia contatti diretti con le terze parti o nel caso in cui risulti particolarmente arduo individuare tutte le terze parti, si potrà inserire:
Link alle privacy policy degli intermediari ove disponibili;
Link al sito www.youronlinechoises.com/it limitatamente ai servizi censiti da tale piattaforma o quelli di profilazione pubblicitaria.
Il Garante ha precisato che le richieste di consenso presenti nell'informativa estesa o nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali.
In alcuni casi i siti utilizzano cookie analitici per meri fini statistici, realizzati e messi a disposizione da terze parti. In tali casi si ritiene che i succitati siti non siano tenuti agli obblighi e agli adempimenti previsti dalla normativa qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici utilizzati (ad es. attraverso il mascheramento di significative porzioni di IP).
L'impiego di tali cookie deve essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte di utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non arricchirli o incrociarli con altre informazioni a loro disposizione.


Predisporre l'informativa con le modalità semplificate e l'acquisizione del consenso online:
Il Provvedimento del Garante fa riferimento a due livelli di informativa:
Banner a comparsa immediata sulla home page -> sono previsti requisiti particolari, posto che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in piano un banner di idonee dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina, contenente le seguenti indicazioni:
che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze dell'utente nell'ambito della navigazione in rete;
che il sito consente anche l'invio di cookie di terze parti;
il link all'informativa estesa
l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all'uso dei cookie.
N.B. oltre alle dimensioni del banner, sufficienti a contenere l'informativa, esso deve determinare una discontinuità seppur minima, nell'esperienza di navigazione: il superamento della presenza del banner deve essere possibile solo mediante un intervento attivo dell'utente.
E' necessario che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia da parte dell'editore, il quale potrà avvalersi di specifico cookie tecnico.
In tal modo l'editore potrà non riproporre l'informativa breve alla seconda visita del medesimo utente, ferma restando la possibilità per lo stesso di negare il consenso e/o modificare – in ogni momento e in maniera agevole – la proprie opzioni relative all'uso dei cookie da parte del sito, ad esempio tramite accesso all'informativa estesa che deve essere linkabile da ogni pagina del sito.
Modalità di espressione del consenso: la normativa richiede un comportamento attivo dell'utente, che può manifestarsi secondo diverse modalità ciascuna delle quali correlata alle conseguenze sulla predisposizione dell'informativa:
Consenso prestato facendo click sul tasto "Accetto" presente nel banner di informativa breve: è la soluzione preferibile che consente, attraverso il cookie tecnico che tiene traccia dell'avvenuta prestazione del consenso, di non mostrare il banner di informativa breve in caso di secondo accesso del medesimo utente sullo stesso sito.
Consenso prestato mediante azione di scorrimento o click su uno dei link interni della pagina: sarà necessario indicare nell'informativa del banner che il compimento di tali operazioni costituisce avvenuta prestazione del consenso. Tuttavia, qualora l'utente non abbia espresso alcuna preferenza, lo script dovrà mostrare nuovamente il banner di informativa breve al secondo accesso.

Informativa estesa -> deve essere raggiungibile mediante un link inserito nella normativa breve, come pure attraverso un riferimento su ogni pagina del sito, in calce alla medesima. Deve contenere:
tutti gli elementi previsti dall'art. 13 del Codice della privacy,
descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito;
consentire all'utente di selezione / deselezionare i singoli cookie;
contenere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito ovvero linkare i siti dei soggetti che fungono da intermediari tra lui e le stesse parti;
possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito, anche attraverso le impostazioni del browser, indicando la procedura da seguire (l'editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse).

Verificare se sia necessaria la notificazione del trattamento al Garante della Privacy:
L'uso dei cookie rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37 comma 1 lett. d) del Codice della Privacy. In tal senso, i cookie di profilazione che hanno caratteristiche di permanenza nel tempo sono soggetti all'obbligo di notificazione. Quelli che rientrano nella categoria dei cookie tecnici non devono essere notificati al Garante.
Art. 37 Codice della privacy: Il titolare notifica al Garante il trattamento dei dati personali cui intende procedere, se il trattamento riguarda:
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo dei servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi agli utenti."
Art. 38 Codice della privacy sulle modalità della notifica: "La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello .."
E' possibile effettuare una sola notificazione per tutti i diversi siti web che gli editori gestiscono, indicando tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza, mantenendone aggiornato il relativo elenco.
E' tenuto alla notificazione e al pagamento correlato, il soggetto titolare del trattamento dei dati
Ulteriori informazioni sono reperibili al link http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/490188

Conseguenze del mancato rispetto della disciplina: il Provvedimento individua tre diversi comportamenti sanzionabili attraverso irrogazione di sanzione pecuniaria:
Omessa informativa o informativa non idonea: qualora non presenti gli elementi indicati, oltre che le previsioni ex art. 13 Codice della privacy;
Installazione di cookie sui terminali degli utenti in assenza di preventivo consenso;
L'omessa o incompleta notificazione al Garante (sanzione più elevata da E. 20.000 a 120.000)