Cookie e privacy, risponde l’Avvocato

Il tema è ormai all’ordine del giorno: dal 2 giugno 2015 i gestori di blog e siti web dovranno attenersi alle disposizioni del Garante della privacy in materia di cookie e privacy.

Dopo aver provato in prima battuta ad approfondire la questione, torniamo sull’argomento e lo facciamo grazie al prezioso contributo dell’Avvocato Raffaele Romano, iscritto all’Albo degli Avvocati di Milano dopo aver conseguito la Laurea Magistrale in Giurisprudenza presso l’Università LUISS Guido Carli di Roma (profilo LinkedIn).
Attualmente, l’Avvocato Romano collabora con lo Studio legale Maschietto Maggiore Besseghini occupandosi prevalentemente di attività di consulenza ed assistenza nella gestione di contenziosi connessi, in particolare, al diritto antitrust e della concorrenza, diritto fallimentare e diritti della personalità e privacy.

Nel prossimo mese di giugno diventerà operativo il provvedimento del Garante della privacy in materia di cookie, ma la prima domanda, che molti si stanno ponendo, sorge spontanea: perché il Garante italiano ha deciso di introdurre una normativa in materia di cookie creando allarmismi, soprattutto tra i titolari di piccoli siti web?

Mi fa molto piacere iniziare con questa domanda perché, in effetti, nelle ultime settimane ho letto e sentito tante opinioni contrastanti sul tema e, spesso, non del tutto esatte.
Deve essere infatti respinta quella falsa leggenda secondo cui soltanto in Italia è stato adottata una normativa in materia di cookie, mentre negli altri paesi no. Assolutamente non è così, anzi tutt’altro.
La normativa in materia trova piena applicazione in tutta l’UE e non solo in Italia il che implica, conseguentemente, una necessaria conformità agli obblighi imposti dalla normativa da parte di tutti i cittadini europei.
Il legislatore italiano si è limitato a dare attuazione alla normativa europea, mentre il Garante ha previsto, con il provvedimento dello scorso 8 maggio 2014, delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

Cerchiamo di fare un po’ di chiarezza. Come si fa a distinguere un cookie tecnico da un cookie di profilazione?

Seppur la distinzione tra cookie tecnici e di profilazione sia indispensabile al fine di individuare i precisi obblighi applicabili al caso specifico, da un punto di vista pratico non sempre risulta agevole distinguerli dato che non vi sono delle caratteristiche tecniche che consentono una loro puntuale distinzione.
Per poter dunque stabilire se un determinato cookie debba considerarsi tecnico oppure di profilazione è necessario basarsi sulle finalità perseguite dal cookie nonché sulla definizione di cookie fornita dalla legge e riportate nel provvedimento del Garante privacy dello scorso 8 maggio 2014.
Il Garante, infatti, ha distinto i cookies in due macro-categorie: i cookie tecnici ed i cookie di profilazione. I cookie tecnici, in sostanza, sono quelli finalizzati al corretto e regolare funzionamento del sito web e/o a fornire un servizio richiesto dall’utente e, normalmente, sono installati direttamente dal titolare o gestore del sito web.
Come precisato dallo stesso Garante, essi non possono avere scopi ulteriori e diversi rispetto a quelli poc’anzi detti, il che implica, di conseguenza, che tutti i cookie – o dispositivi analoghi – che non hanno le predette finalità devono considerarsi cookie non tecnici ed in relazione ai quali è dunque necessario ottenere il consenso da parte dell’utente per il loto utilizzo.

Tra i cookie tecnici vi rientrano anche i cookie analytics, ossia quei cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito web ma, attenzione, soltanto laddove siano utilizzati per “ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. provvedimento 8 maggio 2014 Garante). Soltanto quindi se perseguono scopi statistici e raccolgono le informazioni in forma aggregata i cookie analytics possono considerarsi cookie tecnici.

I cookie di profilazione, come ormai noto, sono invece quelli utilizzati per tracciare la navigazione dell’utente in rete e creare un profilo dello stesso in base alle proprie preferenze.
In ragione della particolare invasività che i cookie di profilazione possono avere nella sfera privata dell’utente, la normativa in materia di protezione dei dati personali prevede che l’utente/visitatore del sito web debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio preventivo consenso.
Aspetto rilevante è che tale consenso debba essere dunque “preventivo” e, quindi, i cookie di profilazione, a differenza di quelli tecnici, possono essere installati soltanto dopo che il titolare del sito web abbia fornito adeguata informativa circa il loro uso ed abbia altresì acquisito il consenso da parte dell’utente.

Entriamo nel merito: se si utilizzano servizi come Google AdSense si fa uso di cookie tecnici o di profilazione?

Sulla base di quanto stabilito dal Garante, tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni devono necessariamente essere autorizzati dall’utente/visitatore del sito web e, quindi, ad esempio: AdSense, Google+, Facebook, Twitter, Youtube e così via.
Questi servizi non possono dunque considerarsi cookie tecnici, in quanto non sono strettamente necessari al corretto funzionamento del sito web visitato né tanto meno rappresentano un servizio richiesto dall’utente/visitatore, bensì sono da considerarsi, in base alle loro finalità, cookie di profilazione per campagne di advertising con conseguente operatività degli obblighi inerenti a questi particolari cookie (obbligo di informativa e di consenso).

Il Garante ha stabilito che bisognerà acquisire il consenso preventivo da parte
dell’utente. Per farlo è sufficiente esporre un banner che informi l’utente in merito alla cookie policy?

Fermo restando che il consenso preventivo per l’uso dei cookie è richiesto soltanto per i cookie di profilazione, in realtà il Garante non impone ma suggerisce di utilizzare un banner per fornire l’informativa ed acquisire il consenso per l’uso dei cookie.
Più precisamente, il Garante stabilisce quali sono gli obblighi che devono essere osservati lasciando tuttavia alla libera discrezionalità dei titolari o gestori del sito web la scelta circa le modalità con cui adempiere a tali obblighi.
Sicuramente l’uso di un banner risulta la soluzione più idonea, e per certi versi semplice, per non incorrere in eventuali inadempimenti. Tengo infine a precisare che il banner deve apparire su tutte le pagine del sito web.
Circa poi il contenuto dell’informativa breve contenuta nel banner e l’informativa estesa sarà sufficiente far riferimento a quanto dettagliatamente specificato dal Garante nel provvedimento dello scorso maggio 2014.

Il dibattito, come può immaginare, è molto acceso: in tanti obiettano che la valenza del banner è puramente estetica, dato che l’utente può continuare a navigare all’interno del sito pur non avendo letto e compreso l’informativa linkata nel banner stesso. Cosa può dirci al riguardo?

La principale finalità della normativa in esame è chiaramente quella di regolamentare l’attività di profilazione molto diffusa e sicuramente, sotto certi aspetti, utile ma, al contempo, anche molto invasiva della sfera privata del singolo.
Compito del legislatore è (o meglio, dovrebbe essere) quello di prevedere ed attuare gli strumenti necessari alla tutela dei diritti ed interessi del singolo, poi è ovvio che non si può obbligare il singolo ad informarsi su come i propri dati personali possano essere utilizzati, né tanto meno il visitatore può essere obbligato a leggere l’informativa.
Ciò che deve essere fatto è mettere il visitatore nella condizione tale di essere adeguatamente informato, di poter liberamente scegliere se essere “tracciato” o meno e di scegliere quali cookie autorizzare e quali no.

Al riguardo, occorre considerare che se è vero che la normativa non impone un click da parte dell’utente per esprimere il proprio consenso all’uso dei cookie essendo sufficiente la mera prosecuzione della navigazione, è pur vero che, ai fini dell’acquisizione del consenso, è comunque necessario che il visitatore superi il banner informativo attraverso un “intervento attivo” come, ad esempio, il click ad elementi sottostanti il banner stesso (qualora esso sia posizionato al centro della pagina web) o comunque presenti nel sito.
In questo modo vi è una chiara azione volontaria e libera del visitatore a proseguire nella navigazione nonostante l’uso dei cookie.

In che modo può essere documentato il consenso?

È lo stesso Garante che lo suggerisce: attraverso un cookie tecnico che, in quanto tale, non necessita dunque di un consenso da parte del visitatore per il suo utilizzo, ma soltanto l’informativa.

Ma se un sito utilizza soltanto cookie di profilazione di terze parti, il titolare del sito è comunque tenuto a dare l’informativa ed acquisire il relativo consenso?

Nel caso in cui il sito consenta la trasmissione anche di cookie di “terze parti”, ossia quei cookie installati da un sito web diverso da quello che il visitatore sta visitando, l’informativa ed il consenso sono, di norma, a carico del terzo.
Tuttavia è comunque necessario che il visitatore del sito sia adeguatamente informato che quel sito utilizza cookie di terze parti e ciò deve avvenire nel momento in cui il visitatore accede al sito web che consente la memorizzazione dei cookie di terze parti o quando accede ai contenuti forniti dalle terze parti ed, in ogni caso, prima che i cookie vengano scaricati sul terminale del visitatore.
Fermo restando quanto detto, al fine di mantenere distinta la responsabilità dei titolari o gestori del sito web da quella delle terze parti, è necessario che il titolare del sito web inserisca nell’informativa cookie estesa i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti.

Tra le indicazioni formulate dal Garante, vi è l’obbligo di notificare al Garante l’uso di cookie di profilazione. Come avviene questa segnalazione? La notifica può essere a carico delle terze parti?

Esattamente, l’uso dei cookie di profilazione impone al titolare del trattamento dei dati personali la notifica al Garante. Ne consegue pertanto che qualora un sito web non facesse uso di cookie di profilazione non sarà tenuto ad alcuna notificazione al Garante privacy.
La notificazione deve essere effettuata prima che inizi il trattamento dei dati personali e deve essere trasmessa telematicamente con pagamento delle relative spese di segreteria che ammontano a circa 150,00€.
Giova ricordare che la normativa in materia di protezione dei dati personali prevede sanzioni amministrative in caso di mancata notificazione consistente nel pagamento di una somma da 20.000€ a 120.000€.

Molti titolari di siti stanno procedendo in piena autonomia alla predisposizione delle relative informative e notificazioni al Garante, secondo lei è invece necessaria la consulenza o almeno un mero consulto con un avvocato?

Dipende dai singoli casi. Se parliamo di un piccolo sito che utilizza soltanto cookie tecnici e non di profilazione, oppure pochi cookie di profilazione (ad esempio, AdSense), credo che, con un attento studio della normativa, possa direttamente il titolare del sito predisporre il testo dell’informativa breve ed estesa.
Tuttavia, ritengo che sia comunque indispensabile un feedback da parte di un avvocato dei relativi testi informativi onde evitare eventuali omissioni e/o errori che potrebbero poi determinare l’irrogazione di sanzioni.
Il motivo lo rilevo soprattutto dal fatto che, talvolta, molti titolari dei siti web tendono a fare un mero copia/incolla di diverse privacy policy e cookie policy dei siti delle grosse multinazionali senza tuttavia considerare che le finalità di trattamento dei dati ed i cookie possono essere assolutamente differenti.
Il rischio dunque è quello di prevedere nella propria informativa l’utilizzo di cookie (profilazione, terze parti) anche laddove invero non ne viene fatto oppure per finalità del tutto diverse.
Considerato le elevatissime sanzioni previste in caso di controlli da parte del Garante, credo che valga decisamente la pena farsi una chiacchiera con un avvocato competente in materia di privacy.