La cookie law italiana

Data l’inadeguatezza del quadro giuridico rispetto ad una crescente evoluzione tecnologica, il legislatore europeo è intervenuto per apportare delle modifiche alla Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, mediante la Direttiva 2009/136/CE,

102

Nella commutazione di pacchetto, cioè quella tecnica ad accesso multiplo che consente il trasporto di dati suddividendo le informazioni da traferire in pacchetti, l’header è intesa come quella parte del pacchetto che detiene informazioni di controllo utili al funzionamento della rete.

103 _{In tal senso Reed T. V., Digitized lives: culture, power, and social change in the Internet era,}

66 recepita in Italia con il D.lgs. 28 maggio 2012, n. 69, con l’intento di arginare la diffusione dei cosiddetti cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.

Occorre precisare che il D.lgs. 69/2012 ha apportato delle modifiche all’art. 130 del Codice, che nella sua forma originaria poneva le regole per l’effettuazione delle comunicazioni promozionali inoltrate con sistemi automatizzati di chiamata oppure per il tramite di strumenti di posta elettronica, telefax, sms o mms e le riferiva esplicitamente “all’interessato”, dunque alla sola persona fisica, escludendo persona giuridica, ente od associazione che potevano essere liberamente contattabili per finalità promozionali. “Il medesimo art. 130, ai commi 3-bis, 3-ter e 3-quater relativi all’istituzione e al funzionamento del Registro pubblico delle opposizioni104

, era invece, anche prima dell’entrata in vigore del d.lgs. n. 69/2012, già pienamente applicabile alle persone giuridiche, in virtù del richiamo in esso contenuto all’art. 129 che disciplina l’inserimento e l’utilizzo negli elenchi telefonici dei dati degli abbonati (ora “contraenti”)”105

. Quindi, la norma prima della riforma, da un lato consentiva liberamente i contatti promozionali verso persone giuridiche effettuati con mezzi particolarmente invasivi (quelli di cui ai commi 1 e 2 dell’art.130); dall'altro subordinava, le telefonate commerciali con operatore al preventivo, oneroso riscontro con il Registro delle opposizioni. Così, dinnanzi a tale incongruenza il legislatore ha ovviato con un intervento di armonizzazione, eliminando dall’art.130 del Codice, il termine “interessato”, sostituendolo con quello di “contraente o utente”; pertanto tali previsioni potranno applicarsi anche alle persone giuridiche.

La norma principale di riferimento in materia di cookie è l’art. 122 del Codice, che nella sua originaria formulazione, impediva l’accesso alle informazioni contenute nel dispositivo dell’utente, salvo il caso fosse finalizzato a perseguire scopi legittimi e

104

Il Registro Pubblico delle Opposizioni è stato istituito con DPR 178/2010, è un nuovo servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato e, in pari tempo, è uno strumento per rendere più competitivo, dinamico e trasparente il mercato tra gli operatori di marketing telefonico. L’utente può accedere al servizio tramite cinque modalità: modulo elettronico sul sito web, posta elettronica, telefonata, lettera raccomandata, e fax. Mentre, l’operatore che intende avviare mediante il telefono attività a scopo commerciale, promozionale o ricerche di mercato, dovrà registrarsi al sistema e a comunicare la lista dei numeri che intende contattare, pena incorrere nelle sanzioni previste dal Codice della Privacy. In www.registrodelleopposizioni.it.

105 _{Garante per la protezione dei dati personali, Provvedimento in ordine all'applicabilità alle persone}

giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 - 20 settembre 2012, G.U. n. 268 del 16 novembre 2012, doc-web 2094932, in

67 connessi ad esigenze tecniche, e comunque era sempre necessario rendere all’utente un’idonea informativa ed acquisire il consenso.

L’art. 122, ad esclusione degli usi legittimi, impediva ogni forma di tracciabilità tramite i cookie e dispositivi similari. Solamente attraverso la riformulazione dell’art.122 è stato concesso l’utilizzo di cookie per le finalità c.d. tecniche, dopo aver rilasciato un’adeguata informativa (art.13 del Codice). Il primo comma di tale articolo sancisce che per i cd. cookie tecnici non è necessario acquisire il consenso dell’utente. In tal senso, il Gruppo dei Garanti mediante Parere 4/2012, ha previsto che i cookie che presentano uno dei seguenti criteri possono essere esonerati dal requisito del previo consenso:

 il cookie viene utilizzato solamente per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica;

 il cookie è strettamente necessario al fornitore di un servizio della società dell’informazione al fine di erogare un servizio espressamente richiesto dall’utente.

Nel caso in cui si parli di cookie non definibili come tecnici, per esempio quelli utilizzati per l’attività di profilazione e/o di marketing, la modifica apportata ha concesso il loro impiego a condizione che l’utente abbia manifestato previamente un consenso informato, in virtù del fatto che gli venga rilasciata un’adeguata informativa, chiara e completa. Pertanto, il legislatore nella Direttiva 2009/136/CE, ha contenuto l’ampiezza del divieto precedente, sancendo piuttosto una generale autorizzazione all’utilizzo dei cookie, qualunque sia la loro finalità, a condizione che vi sia un previo consenso informato dell’utente.

“Un’altra rilevante differenza rispetto al passato sta nelle modalità dell’informativa da presentare al cliente, anteriormente alla richiesta di consenso. La Direttiva 2009/136/CE, infatti, ha espunto dal testo dell’art. 5 paragrafo 3 un periodo, che, alternativamente al consenso espresso, riteneva sufficiente offrire al consumatore la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Tale modifica è stata interpretata come chiara espressione della preferenza del legislatore comunitario per l’adozione di un sistema di richiesta del consenso basato sull’opt-in, piuttosto che sull’opt-out, ovvero su una manifestazione espressa del consenso,

68 piuttosto che su un right to refuse”106. Tale orientamento è confermato dalla Direttiva 2002/58/CE, nella quale il Considerando 25 sancisce che i cookie che sono destinati a scopi legittimi, dovrebbero essere acconsentiti a condizione che agli utenti vengano rilasciate informazioni chiare e precise, a norma della direttiva 95/46/CE. Questo per garantire che gli utenti abbiano appreso con chiarezza quali sono le informazioni registrate sul dispositivo che stanno usando. Dunque, il consenso dovrebbe essere rilasciato in modo esplicito in qualsiasi modo adeguato che consenta all’interessato di esprimere una volontà che sia libera, specifica ed informata, attraverso una dichiarazione o mediante un’azione inconfondibile da cui si può dedurre che l’utente acconsente al trattamento dei suoi dati; perciò, non dovrebbe rappresentare consenso il consenso tacito o passivo.

Occorre anche esaminare la rilevanza del trascorrere del tempo sulla manifestazione di volontà dell’utente in merito alla profilazione tramite i cookie. In riferimento a ciò, il considerando 25 della Direttiva 2002/58/CE afferma che “l’offerta di informazioni e del diritto di opporsi può essere fornita una sola volta per l’uso dei vari dispositivi da installare sull’attrezzatura terminale dell’utente durante la stessa connessione e applicarsi anche a tutti gli usi successivi, che possono essere fatti, di tali dispositivi durante successive connessioni”; “tuttavia considerata la sensibilità dell’utente medio per questi temi, pare condivisibile sul punto l’interpretazione restrittiva data dall’Article 29 Data Protection Working Party, secondo cui occorre comunque delimitare la validità temporale del consenso prestato, fornire adeguate informazioni all’utente e renderlo edotto circa la possibilità di revocare in qualsiasi momento il consenso prestato”107

.

Con il Parere n. 02/2013108 i Garanti hanno sancito come ottenere il consenso relativamente all’utilizzo dei cookie. Pertanto gli elementi che caratterizzano un valido consenso sono:

 informativa specifica, occorre fornire informazioni adeguate, poiché non si ritiene valido un consenso acquisito senza aver fatto riferimento al preciso scopo del trattamento.

106 _{Tavella M., Adempimenti privacy in materia di cookie e responsabilità per i cookie di terze parti}

ospitati sul proprio portale web, in Il Diritto industriale, 2014, pag. 93.

107 _{Mantelero A., Si rafforza la tutela dei dati personali: data breach notification e limiti alla profilazione}

mediante i cookies, in Il diritto dell’informazione e dell’informatica, 2012, pag. 16.

108 _{Article 29 Data Protection Working Party, Working Document 02/2013 providing guidance on}

69

 tempistica, il consenso deve essere ottenuto prima che il trattamento abbia inizio.

 il consenso deve essere inequivoco, quindi le operazioni di richiesta e di acquisizione del consenso non devono lasciare alcuna perplessità in merito all’intenzione dell’interessato. Affinché il consenso possa essere ritenuto valido, vi deve essere una manifestazione attiva della volontà dell’utente.

 il consenso si può ritenere valido solamente se l’interessato è capace di manifestare un’effettiva scelta e non vi è alcun pericolo di raggiro, minaccia, costrizione o di conseguenze negative se egli non acconsente.

Così, sulla base di quanto dettato dai Garanti Europei, il Garante è intervenuto con provvedimento generale 8 maggio 2014, che ha per oggetto l’individuazione di modalità semplificate per il rilascio dell’informativa e per l’acquisizione del consenso per l’utilizzo dei cookie. Tale provvedimento “è stato emesso ad esito di una consultazione che ha coinvolto attivamente tutte le categorie interessate (consumatori, aziende, operatori del web, editori), e costituisce - grazie anche alla presenza di un’ampia premessa ricognitiva - un sicuro punto di riferimento in una materia fino a questo momento priva di una disciplina specifica”109.

“Il principio ispiratore del provvedimento, vista l’invasività dei cookie di profilazione nella sfera privata dell’utente, è quello di far sì che l’interessato sia adeguatamente informato sull’uso dei cookie in genere e manifesti un espresso e libero consenso all’inserimento dei cookie di profilazione”110

.

Pertanto il titolare dovrà fornire un’informativa su due livelli di approfondimento, così nel momento in cui l’utente accede ad una pagina gli deve essere mostrata la cd. informativa breve, inserita in un banner111 a comparsa immediata sulla home page e di adeguate dimensioni tali da creare una forte discontinuità nella fruizione dei contenuti, integrata da un’informativa estesa a cui si accede mediante un link su cui l’utente può cliccare e rinvenire tutte le informazioni dettagliate circa le caratteristiche e le finalità

109 _{Testa P., Ancora su cookies e privacy, in Il Diritto industriale, 2014, pag. 499.} 110

Soffientini M., Nuova disciplina sull’utilizzo dei cookie, in Diritto e Pratica del Lavoro, 2015, pag. 925.

111 _{Il banner è l’inserzione su Internet, spesso appare sotto forma di rettangolo colorato, con animazioni,}

nelle parti iniziali o finali di pagine web di alcuni siti. Hanno il compito di invogliare l’utente a cliccarvi sopra per raggiungere un nuovo sito. Ferrandina A., Web marketing, Fag Editori, Milano, 2007, pag.98.

70 dei cookie trasmessi dal sito, i diritti dell’interessato, gli estremi identificativi del titolare del trattamento.

Inoltre, il banner deve indicare se il sito utilizza cookie di profilazione con lo scopo di inviare messaggi pubblicitari conformi alle preferenze manifestate dall’utente durante la navigazione, precisare se il sito permette pure l’invio di cookie di terze parti, deve contenere un link all’informativa estesa, indicare che alla pagina dell’informativa estesa l’utente può negare il consenso all’installazione di qualsiasi cookie e chiarire che proseguendo con la navigazione o selezionando un elemento sottostante si acconsente all’uso dei cookie.

Detto banner può scomparire solamente dopo che l’utente abbia espressamente manifestato il proprio consenso all’uso dei cookie (per esempio mediante un pulsante di conferma o selezionando elementi della pagina sottostanti al banner). L’editore dovrà tenere traccia del consenso ottenuto, che può essere registrato all’interno di un cookie tecnico ed in tal modo non sarà necessario mostrare una seconda volta l’informativa all’utente che ha già rilasciato il proprio consenso all’uso dei cookie. Preme ricordare che l’utente può comunque revocare il consenso rilasciato in precedenza o modificare le opzioni relative all’uso dei cookie in qualsiasi momento, accedendo all’informativa estesa.

Merita attenzione l’art. 122 comma 2 del Codice, il quale è conforme a quanto sancito dal Considerando 66 della Direttiva 2009/136/CE, in quanto in merito all’acquisizione del consenso possono essere impiegate “specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”. La volontà dell’Autorità è di ricorrere a detti strumenti per consentire ai gestori di acquisire, in maniera snella e semplificata, il consenso dell’utente all’utilizzo dei cookie, e tale consenso per essere valido deve essere in ogni caso specifico, libero ed espresso, come previsto dall’art. 23 del Codice. Il Garante ha pertanto presentato i seguenti esempi112:

• le impostazioni presenti nei comuni browser, che consentono o meno la memorizzazione dei cookie nei terminali usati per la navigazione in Internet e che di norma permettono anche di impostare le regole dei cookie in modo che non vengano

112 _{Garante per la protezione dei dati personali, Faq in materia di cookie, doc-web 2142939, in}

71 accettati quelli di "terze parti". Alcuni consentono anche di bloccare i cookie di alcune terze parti e non di altre, tramite una funzione che permette di indicare da quali domini consentire l’invio di cookie;

• gli specifici programmi che possono essere aggiunti al browser (c.d. plug-in), che specializzano le funzioni comunemente rese disponibili dai software per la navigazione e che possono essere configurati dall’utente per effettuare una selezione dei cookie sulla base dei domini di provenienza;

• il c.d. “do not track”, che consente all’utente di segnalare a ciascun sito visitato la sua volontà di essere o meno tracciato nel corso della navigazione. Questa modalità tecnica è ancora oggi in fase di discussione all'interno degli organismi di standardizzazione internazionali113; inizia ad essere resa disponibile su alcuni browser di ultima generazione, ma, non essendo per l’appunto standardizzata, non vi è la certezza che i segnali che attraverso tale funzionalità l’utente invia ai server siano da questi effettivamente “ascoltati”.

“Si segnala, tuttavia, che le impostazioni dei browser, così come la funzione do not

track, sono rispondenti ad un sistema di opt-out, contrario al principio del consenso

esplicito richiesto dalla Direttiva (c.d. opt-in) e dunque non sembrano, allo stato attuale, sufficienti a garantire l’acquisizione di un consenso che sia effettivamente informato e consapevole da parte dell’utente. Si ritiene invece che una configurazione di default dei

browser che escluda l’accettazione dei cookie per i quali la normativa richiede

l’espressione del consenso, unita alla presenza di banner contenenti l’informativa e la richiesta del consenso alla ricezione dei cookie, al momento del primo accesso alla pagina web di un sito, potrebbe costituire una soluzione conforme alle indicazioni comunitarie. Una volta accettato o rifiutato un determinato cookie, l’informazione potrà essere memorizzata dalla macchina, escludendo reiterate richieste di consenso

113 _{A tal proposito occorre precisare che, nel caso in cui la funzione anti tracciamento sia attivabile solo}

volontariamente dall’utente, di default l’utilizzo del browser consentirà il tracciamento, viceversa operando in maniera opposta l’utente non sarà profilato, salvo che non lo scelga consapevolmente. È evidente che le due soluzioni non sono affatto indifferenti per i pubblicitari, essendo noto che una percentuale assai significativa di utenti non si cura di modificare il setting di default del browser, da qui l’interesse per gli operatori del marketing per una funzione do not track di default disattivata. In tal senso Mantelero A., Si rafforza la tutela dei dati personali: data breach notification e limiti alla profilazione

72 all’apertura di ogni nuova pagina, che renderebbero la navigazione lenta e costantemente frammentata”114

.

Per quanto concerne gli obblighi in capo al gestore del sito, questo dovrà informare l’utente circa l’eventuale utilizzo dei cookie e dovrà acquisirne un preventivo consenso (non nel caso di cookie tecnici), in veste di titolare del trattamento. Qualora un sito consenta di trasmettere i cookie di terze parti, il soggetto terzo dovrà fornire l’informativa e acquisire il consenso. Tuttavia il Garante, nelle faq di chiarimento, non esclude che il gestore del sito prima parte integri l’informativa con informazioni relative ai cookie trasmessi in maniera automatica dalle terze parti, o perfino che l’acquisizione del consenso sia ad opera delle terze parti per il tramite del sito prima parte. Successivamente, saranno i gestori dei siti coinvolti a determinare i propri rispettivi ruoli circa l’assegnazione delle responsabilità del trattamento, nel rispetto della normativa.

Tuttavia detta disposizione ha fatto sorgere diversi dubbi, in quanto è difficile da concepire come possa instaurarsi un rapporto tra i siti, nominando uno dei due gestori responsabile esterno del trattamento di dati eseguito dall’altro soggetto. Dunque, non sembra corretto che il gestore debba rispondere dell’uso di cookie di terze parti. Accade spesso che il gestore non abbia notizia completa di tutti i cookie che sono rilasciati da terze parti mediante il proprio sito, solitamente tali terze parti sono numerose e cambiano di continuo. Inoltre, può accadere che tra il gestore e le terze parti si interpongano degli intermediari, rilasciando anch’essi dei cookie. Ancor di più potrebbero esservi delle modifiche dei cookie di terze parti e di conseguenza l’informativa rilasciata dal sito prima parte potrebbe non essere più adeguata. D’altronde non sarebbe neanche possibile ogni volta controllare che vi sia un’esatta corrispondenza tra quanto affermato dalle terze parti e le finalità che effettivamente queste perseguono. Quindi, per disciplinare tale aspetto il Regolamento Europeo 679/2016 all’art. 26 introduce la figura del joint controller (titolari congiunti), pertanto nell’ipotesi in cui per lo stesso trattamento di dati personali vi sono due titolari, questi

114 _{Tavella M., Adempimenti privacy in materia di cookie e responsabilità per i cookie di terze parti}

73 dovranno ripartirsi ruoli e finalità in modo chiaro e inequivocabile mediante un accordo interno115.

Dunque, per i cookie tecnici ed analitici prima parte/terza parte che usano strumenti capaci di ridurre il potere identificativo occorre fornire solamente l’informativa all’utente, mentre per i cookie di profilazione prima parte e analitici terza parte che non adottano strumenti idonei a diminuire il potere identificativo è necessario fornire l’informativa, inserire un banner in modo tale che si possa richiedere il consenso all’utente e notificare il trattamento al Garante; invece per quanto riguarda i cookie di profilazione terza parte è doveroso rilasciare l’informativa, utilizzare il banner ed ottenere il consenso dell’utente, tuttavia in tal caso la notificazione sarà in capo al soggetto terza parte che svolge l’attività di profilazione.

Riprendendo l’art.37, comma 1, par. d) del Codice in materia di notificazione, il titolare del trattamento deve rilasciare al Garante la notificazione nel caso in cui il trattamento riguardi “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”. Sulla base di tale articolo, sembrerebbe che la notificazione vada effettuata in relazione a qualsiasi tipo di cookie, ma la norma deve essere coordinata con il provvedimento generale del Garante del 31 marzo 2004116 che ha sottratto all’ obbligo di notificazione quelli “relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet”. Pertanto, dalla norma si evince che per i cookie di profilazione, che persistono nel tempo, è necessario eseguire notificazione al Garante, mentre i cookie con differenti finalità e che sono appartenenti alla categoria dei cookie

115

Gorla S., Ferrara F., Fornasiero F., Montini G., Quadrelli M., Quaderno del data protection officer:

una guida nel difficile labirinto della privacy, Maggioli Editore, Santarcangelo di Romagna, 2013, pag.

23.

116 _{Garante per la protezione dei dati personali, Provvedimento relativo ai casi da sottrarre all'obbligo di}

74 tecnici, non sono oggetto di notificazione. Ai cookie tecnici sono assimilati ai cookie

analytics, quindi anche per quest’ultimi non è richiesta la notificazione117.

Il Garante nel dettare tale provvedimento ha stabilito che il termine di scadenza per