Cookie tra Legalità e Illegalità: Quando Notificare al Garante?

notifica-garante-privacy

Notificare un sito web al garante della privacy

<n.d.r.> Considerando il mare magnum delle informazioni pubblicate nelle scorse settimane, abbiamo pensato di chiedere un consulto all’Avvocato Francesco Mazzocca, un civilista “ferrato” sul diritto nel web. Oltre a raccontarci gli aspetti più cavillosi della normativa che entrerà in vigore il prossimo 2 giugno, Mazzocca ci lascia alcuni chiarimenti su come comportarsi circa la lettera di notifica al garante relativa ai siti web che profilano gli utenti. </n.d.r.>

Come districarci tra le maglie ingarbugliate della legge e contemporaneamente promuovere il nostro business? Cerchiamo di schiarire un po’ le idee. Prima di tutto, in virtù delle recenti modifiche apportate dal Codice del Consumo, è opportuno sottolineare che il consenso informato e preventivo da parte degli utenti è necessario soltanto per l’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche: è questo il caso dei cookie di profilazione, quelli cioè <<utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete>> (vd. artt. i 122, co.1 e 13, co. 3 Codice del Consumo). Tale consenso non sarà richiesto invece per quelli tecnici (di navigazione, di sessione e analytics)  A titolo esemplificativo, ma non esaustivo, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web e quindi ad esempio: AdSense, Google+, Facebook, Twitter, Youtube, etc.). 

A tale tema è connesso quello relativo all’individuazione delle responsabilità che si differenzia a seconda che all’installazione dei cookie provveda l’editore (gestore del sito) oppure di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”). Se ogni volta l’obbligo di fornire l’informativa e acquisire il consenso ricadesse sull’editore, questi dovrebbe in linea teorica conoscere la logica sottesa tra la dichiarazione delle terzi parti e le finalità da esse realmente perseguite. Come spesso accade egli è però un semplice intermediario (si pensi a persone fisiche o piccola società) mentre le terze parti sono grandi società caratterizzate da notevole peso economico. Ecco perché tali soggetti, pur essendo da un lato titolari del trattamento per i cookie installati direttamente dal proprio sito, sono dall’altro, considerabili come intermediari tecnici tra le terze parti e gli utenti.

E allora come salvaguardarsi?

Una soluzione efficace sembra essere quella di installare una doppia informativa. Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni che permetta di individuare le seguenti indicazioni:

a) Che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) Che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) Il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) L’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) L’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Sarà perciò l’utente a selezionare il banner attraverso un suo autonomo intervento attivo – richiesta di consenso detta informativa breve– attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso. 

Quelli che poi vorranno approfondire le proprie scelte ed avere maggiori e più dettagliate informazioni circa i cookie archiviati, potranno accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche. La cosiddetta informativa estesa che dovrà descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito che consenta allo stesso tempo all’utente di selezionare/deselezionare i singoli cookie, nonché le proprie opzioni in merito all’uso del browser; tale informativa dovrà almeno indicare anche la procedura da eseguire per configurare tali impostazioni.

Un utente realmente consapevole e che manifesti un consenso espresso e specifico, è ritenuto quindi l’obiettivo da raggiungere per il Garante della privacy. Allo stesso tempo, al fine di evitare che i gestori dei siti e le parti terze incorrano in sanzioni amministrative, si prevede un obbligo preventivo di notificazione del trattamento allo stesso Garante della Privacy, ma questo solo per i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo mentre per i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, tale obbligo non è previsto.

La notifica deve esser fatta online, dal titolare del cookie e prevede il pagamento di 150 euro come spese di segreteria. La procedura per la compilazione della notificazione al garante della privacy è semplice e può essere eseguita online al link segnalato, così come il pagamento dei costi di segreteria.

Ripetiamolo per chiarezza: tale comunicazione, con relativo pagamento, va eseguita solo se il sito web trattiene informazioni come preferenze degli utenti a scopo di profilazione interna.

Sarà quindi buona prassi da parti degli editori stessi acquisire i suindicati link dalle terze parti già in fase contrattuale (con ciò intendendosi anche gli stessi concessionari).

Sanzioni amministrative

Le conseguenze previste in caso di mancato rispetto delle normative sui cookie saranno più che altro sanzioni amministrative. Gli importi di tali sanzioni saranno ovviamente variabili a seconda che si tratti di Omissione o inidoneità dell’informativa, ossia che non presenti gli elementi indicati. In tal caso è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice);

Assenza preventiva consenso: L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi, comporta invece la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice);

L’omessa o incompleta notificazione al Garante, infine, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

Link di approfondimento

Blog Webranking

Garante Privacy adeguamento Google

Garante Privacy Informativa Cookies

11 Commenti

  1. alexgrafx 26/05/2015
    • Francesco Mazzocca 28/05/2015
      • Nico 29/05/2015
  2. Mattia 27/05/2015
    • Francesco Mazzocca 28/05/2015
  3. Ezio 08/06/2015
    • Francesco Mazzocca 23/06/2015
  4. Maryhellen 21/06/2015
    • Francesco Mazzocca 22/06/2015
  5. Max 23/06/2015

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload the CAPTCHA.