Categorie approfondimento: Commerciale e industriale
5 Giugno 2014

Provvedimento del Garante sui cookies: nuovi obblighi per i gestori di siti web

Di cosa si tratta

Tutti coloro che utilizzano un sito web, ma principalmente le aziende che operano on line svolgendo attività di commercio elettronico, dovranno prestare particolare attenzione a due date: il 13 giugno 2014 e il 3 giugno 2015.
Infatti il 13 giugno 2014 entreranno in vigore le modifiche al Codice del consumo, D. Lgs. 206/2005, apportate dal Decreto Legislativo n. 21 del 21 febbraio 2014 che ha recepito la direttiva n. 2011/83/UE. Si tratta della normativa a presidio e a protezione dei diritti dei consumatori che comporterà alcuni adeguamenti sia alla conduzione dei rapporti commerciali sia all’impiego dei siti web realizzati.
La seconda data è invece il termine ultimo entro il quale i gestori dovranno adeguare i propri siti web alle prescrizioni contenute nel provvedimento adottato in data 8 maggio 2014 dal Garante per la protezione dei dati personali.
Analizziamo in questo articolo la seconda fattispecie rinviando ad altra sede l’analisi delle novità in tema di codice del consumo.
In data 8 maggio 2014 il Garante per la privacy ha adottato il provvedimento generale n. 29, pubblicato sulla Gazzetta ufficiale n. 126 del 3 giugno 2014 rubricato “individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” e avente lo scopo di specificare modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.
Il provvedimento era atteso in quanto arriva successivamente a una consultazione pubblica avviata dal Garante e nella quale numerosi contributi erano pervenuti all’Autorità da parte dei principali fornitori di servizi di comunicazione elettronica, nonché dalle associazioni dei consumatori e delle categorie economiche.
Sebbene “cookie” sia un termine ormai famigliare alla maggior parte degli utenti del web, è opportuno ricordare che si tratta di files di ridotte dimensioni che i siti web visitati dall’utente annidano nel suo terminale mediante un’interazione con il browser con la funzione di essere consultati dagli stessi siti alla successiva visita del medesimo utente.
Vi sono diverse tipologie di cookie distinguibili sulla base del soggetto che li installa (sito web visitato o soggetto terzo), sulla base del loro contenuto, della loro persistenza temporale e sulla base della loro finalità.
Ai fini del provvedimento in esame vengono individuate due macro-categorie: i cookie “tecnici” e i cookie “di profilazione”.
I primi sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
I secondi sono invece connotati da una maggiore invasività in quanto sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. E’ proprio ai cookie di profilazione che sembra riferirsi l’art. 122, comma 1, del Codice della Privacy laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”.
Veniamo ora a individuare quali accorgimenti dovranno essere adottati dai gestori dei siti web al fine di rendere adeguata informativa agli utenti nonché al fine di raccogliere il loro consenso, e quando questa sia un’attività necessaria.
Sulla base delle premesse poc’anzi esposte, il Garante ha ritenuto di impostare l’informativa, che dovrà essere resa agli utenti del sito, su due livelli di approfondimento. Ebbene, nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.
Per garantire che la semplificazione sia effettiva, è necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve.
Qualora gli utenti desiderassero avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, dovranno poter accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.
Le indicazioni che devono essere contenute nel banner (che pertanto dovrà necessariamente avere dimensioni adeguate) sono:
1) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
2) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
3) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:
– uso dei cookie tecnici e analytics;
– possibilità di scegliere quali specifici cookie autorizzare;
– possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
4) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
5) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
Il Garante ha altresì disposto che, ai fini di mantenere distinta la responsabilità dei gestori di siti web da quella dei soggetti terzi che, avvalendosi di gestori, installano cookie, ha prescritto ai primi di acquisire già in fase contrattuale link alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).
Con tutta evidenza per conformarsi alle prescrizioni del Garante i gestori dovranno provvedere a modificare e integrare in maniera corretta e precisa i propri siti web anche perché, in caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
Si tratta di sanzioni economicamente molto rilevanti che devono spingere i gestori di siti web ad adottare una condotta accorta e, suggeriamo, ad avvalersi delle prestazioni di professionisti per accertare quali siano le implementazioni tecniche necessarie nei casi specifici.
Vi è comunque una nota positiva, è stato previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti di potersi avvalere delle modalità semplificate ivi individuate. Il termine ultimo è quindi il 3 giugno 2015.

(Visited 11 times, 2 visits today)