| Garante per la protezione dei dati personali VEDI ANCHE: Individuazione delle modalitàsemplificate per l'informativa e l'acquisizione del consenso per l'uso deicookie PROVVEDIMENTO DEL 8 MAGGIO 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3giugno 2014) Registro dei provvedimenti n. 229 dell'8 maggio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTAla direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche; VISTAla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e delConsiglio, recante modifica della direttiva 2002/22/CE relativa al serviziouniversale e ai diritti degli utenti in materia di reti e di servizi dicomunicazione elettronica, della direttiva 2002/58/CE relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori; VISTOil decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decretolegislativo 30 giugno 2003, n. 196, recante codice in materia di protezione deidati personali in attuazione delle direttive 2009/136/CE, in materia ditrattamento dei dati personali e tutela della vita privata nel settore dellecomunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi dicomunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazionetra le autorità nazionali responsabili dell'esecuzione della normativa a tuteladei consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012n. 126); VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice") e, in particolare, gli artt. 13, comma 3 e122, comma 1; VISTAla precedente deliberazione del Garante recante TENUTOCONTO delle indicazioni fornite sul tema dal Gruppo di lavoro per la tutela deidati personali ex art. 29, in particolare nel Parere 4/2012 relativo all'esenzione dal consenso per l'uso di cookie, adottato il 7 giugno 2012, e nel Working Document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013; TENUTOCONTO delle risultanze dei contributi pervenuti al Garante dai principalifornitori di servizi di comunicazione elettronica, nonché dalle associazionidei consumatori e delle categorie economiche coinvolte che hanno partecipatoalla suindicata consultazione pubblica; CONSIDERATIgli ulteriori elementi emersi in occasione degli incontri tenutisi a settembre2013 e febbraio 2014 presso l'Autorità, nell'ambito del tavolo di lavoroavviato dalla stessa al fine di sollecitare un nuovo e più diretto confrontocon i suindicati soggetti, nonché con esponenti del mondo accademico e dellaricerca che si occupano delle tematiche di interesse; RITENUTOnecessario adottare, ai sensi del combinato disposto degli artt. 13, comma 3,122, comma 1 e 154, comma 1, lett. c), del Codice, un provvedimento dicarattere generale, con il quale oltre a individuare le modalitàsemplificate per rendere l'informativa online agli utenti sull'archiviazionedei c.d. cookie sui loro terminali da parte dei siti Internet visitati siintende fornire idonee indicazioni sulle modalità con le quali procedereall'acquisizione del consenso degli stessi, laddove richiesto dalla legge; CONSIDERATOche la disciplina relativa all'uso dei c.d. cookie riguarda anche altristrumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), checonsentono l'identificazione dell'utente o del terminale e che quindi devonoessere ricompresi nell'ambito del presente provvedimento; VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSA Icookie sono stringhe di testo di piccole dimensioni che i siti visitatidall'utente inviano al suo terminale (solitamente al browser), dove vengonomemorizzati per essere poi ritrasmessi agli stessi siti alla successiva visitadel medesimo utente. Nel corso della navigazione su un sito, l'utente puòricevere sul suo terminale anche cookie che vengono inviati da siti o da webserver diversi (c.d. "terze parti"), sui quali possono risiederealcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link apagine di altri domini) presenti sul sito che lo stesso sta visitando. Icookie, solitamente presenti nei browser degli utenti in numero molto elevato ea volte anche con caratteristiche di ampia persistenza temporale, sono usatiper differenti finalità: esecuzione di autenticazioni informatiche,monitoraggio di sessioni, memorizzazione di informazioni su specificheconfigurazioni riguardanti gli utenti che accedono al server, ecc. Alfine di giungere a una corretta regolamentazione di tali dispositivi, ènecessario distinguerli posto che non vi sono delle caratteristichetecniche che li differenziano gli uni dagli altri proprio sulla basedelle finalità perseguite da chi li utilizza. In tale direzione si è mosso,peraltro, lo stesso legislatore, che, in attuazione delle disposizionicontenute nella direttiva 2009/136/CE, ha ricondotto l'obbligo di acquisire ilconsenso preventivo e informato degli utenti all'installazione di cookieutilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1,comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l'art.122 del Codice). Alriguardo, e ai fini del presente provvedimento, si individuano pertanto duemacro-categorie: cookie "tecnici" e cookie "diprofilazione". Icookie tecnici sono quelli utilizzati al solo fine di "effettuare latrasmissione di una comunicazione su una rete di comunicazione elettronica, onella misura strettamente necessaria al fornitore di un servizio della societàdell'informazione esplicitamente richiesto dall'abbonato o dall'utente aerogare tale servizio" (cfr. art. 122, comma 1, del Codice). Essinon vengono utilizzati per scopi ulteriori e sono normalmente installatidirettamente dal titolare o gestore del sito web. Possono essere suddivisi incookie di navigazione o di sessione, che garantiscono la normale navigazione efruizione del sito web (permettendo, ad esempio, di realizzare un acquisto oautenticarsi per accedere ad aree riservate); cookie analytics, assimilati aicookie tecnici laddove utilizzati direttamente dal gestore del sito perraccogliere informazioni, in forma aggregata, sul numero degli utenti e su comequesti visitano il sito stesso; cookie di funzionalità, che permettonoall'utente la navigazione in funzione di una serie di criteri selezionati (adesempio, la lingua, i prodotti selezionati per l'acquisto) al fine dimigliorare il servizio reso allo stesso. Per l'installazione di talicookie non è richiesto il preventivo consenso degli utenti, mentre resta fermol'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che ilgestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire conle modalità che ritiene più idonee. Icookie di profilazione sono volti a creare profili relativi all'utente evengono utilizzati al fine di inviare messaggi pubblicitari in linea con lepreferenze manifestate dallo stesso nell'ambito della navigazione in rete. Inragione della particolare invasività che tali dispositivi possono averenell'ambito della sfera privata degli utenti, la normativa europea e italianaprevede che l'utente debba essere adeguatamente informato sull'uso degli stessied esprimere così il proprio valido consenso. Adessi si riferisce l'art. 122 del Codice laddove prevede che "l'archiviazionedelle informazioni nell'apparecchio terminale di un contraente o di un utente ol'accesso a informazioni già archiviate sono consentiti unicamente a condizioneche il contraente o l'utente abbia espresso il proprio consenso dopo esserestato informato con le modalità semplificate di cui all'articolo 13, comma3" (art. 122, comma 1, del Codice). Unulteriore elemento da considerare, ai fini della corretta definizione dellamateria in esame, è quello soggettivo. Occorre, cioè, tenere conto deldifferente soggetto che installa i cookie sul terminale dell'utente, a secondache si tratti dello stesso gestore del sito che l'utente sta visitando (che puòessere sinteticamente indicato come "editore") o di un sito diversoche installa cookie per il tramite del primo (c.d. "terze parti"). Sullabase di quanto emerso dalla consultazione pubblica, si ritiene necessario chetale distinzione tra i due soggetti sopra indicati venga tenuta in debito contoanche al fine di individuare correttamente i rispettivi ruoli e le rispettiveresponsabilità, con riferimento al rilascio dell'informativa e all'acquisizionedel consenso degli utenti online. Visono molteplici motivazioni per le quali non risulta possibile porre in capoall'editore l'obbligo di fornire l'informativa e acquisire il consensoall'installazione dei cookie nell'ambito del proprio sito anche per quelliinstallati dalle "terze parti". In primo luogo, l'editoredovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsicarico degli adempimenti delle terze parti e dovrebbe quindi anche poterverificare di volta in volta la corrispondenza tra quanto dichiarato dalleterze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciòè reso assai arduo dal fatto che l'editore spesso non conosce direttamentetutte le terze parti che installano cookie tramite il proprio sito e, quindi,neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tral'editore e le terze parti si frappongono soggetti che svolgono il ruolo diconcessionari, risultando di fatto molto complesso per l'editore il controllosull'attività di tutti i soggetti coinvolti. Icookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitorie risulterebbe poco funzionale chiedere agli editori di tenere traccia anche diqueste modifiche successive. Occorretenere conto inoltre del fatto che spesso gli editori, che comprendono anchepersone fisiche e piccole imprese, sono la parte più "debole" delrapporto. Laddove invece le terze parti sono solitamente grandi societàcaratterizzate da notevole peso economico, servono normalmente una pluralità dieditori e possono essere, rispetto al singolo editore, anche molto numerose. Siritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non sipossa obbligare l'editore ad inserire sull'home page del proprio sito anche iltesto delle informative relative ai cookie installati per il suo tramite dalleterze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezzadell'informativa rilasciata dall'editore, rendendo nel contempo estremamentefaticosa per l'utente la lettura del documento e quindi la comprensione delleinformazioni in esso contenute, con ciò vanificando anche l'intento disemplificazione previsto dall'art. 122 del Codice. Analogamente,per quanto concerne l'acquisizione del consenso per i cookie di profilazione,dovendo necessariamente -per le ragioni suesposte tenere distinte lerispettive posizioni di editori e terze parti, si ritiene che gli editori, coni quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativosito, assumono necessariamente una duplice veste. Talisoggetti, infatti, da un lato sono titolari del trattamento quanto ai cookieinstallati direttamente dal proprio sito; dall'altro, non potendo ravvisarsiuna contitolarità con le terze parti per i cookie che le stesse installano peril loro tramite, si ritiene corretto considerarli come una sorta diintermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale vesteche, come si vedrà più avanti, sono chiamati ad operare nella presentedeliberazione, con riferimento al rilascio dell'informativa e all'acquisizionedel consenso degli utenti online con riguardo ai cookie delle terze parti. 3. Impatto della disciplina in materia di cookiesulla rete. Icookie svolgono diverse e importanti funzioni nell'ambito della rete. Qualunquedecisione in merito alle modalità di informativa e consenso online, riguardandoin pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impattosu un numero enorme di soggetti, che presentano peraltro, come si è detto,natura e caratteristiche profondamente diverse tra loro. IlGarante, consapevole della portata della presente decisione, ritiene pertantonecessario che le misure prescritte nella stessa -ai sensi di quanto previstodall'art. 122, comma 1, del Codice siano, da un lato, tali da consentireagli utenti di esprimere scelte realmente consapevoli sull'installazione deicookie mediante la manifestazione di un consenso espresso e specifico (comeprevisto dall'art. 23 del Codice) e, dall'altro, presentino il minore impattopossibile in termini di soluzione di continuità della navigazione dei medesimiutenti e della fruizione, da parte loro, dei servizi telematici. Ditali opposte esigenze, emerse chiaramente anche in occasione dellaconsultazione pubblica e degli incontri tenuti dall'Autorità, si tiene conto inprimo luogo nella determinazione delle modalità con le quali renderel'informativa in forma semplificata. Čperaltro convinzione del Garante che i due temi, dell'informativa e delconsenso, vadano necessariamente trattati in maniera congiunta, onde evitareche il ricorso a modalità di espressione del consenso online che richiedanooperazioni eccessivamente complesse da parte degli utenti vanifichino lasemplificazione realizzata nell'informativa. Aifini della semplificazione dell'informativa, si ritiene che una soluzioneefficace, che fa salvi i requisiti previsti dall'art. 13 del Codice (compresala descrizione dei singoli cookie), sia quella di impostare la stessa su duelivelli di approfondimento successivi. Nelmomento in cui l'utente accede a un sito web, deve essergli presentata unaprima informativa "breve", contenuta in un banner a comparsaimmediata sulla home page (o altra pagina tramite la quale l'utente puòaccedere al sito), integrata da un'informativa "estesa", alla qualesi accede attraverso un link cliccabile dall'utente. Affinchéla semplificazione sia effettiva, si ritiene necessario che la richiesta diconsenso all'uso dei cookie sia inserita proprio nel banner contenentel'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliateinformazioni e differenziare le proprie scelte in merito ai diversi cookiearchiviati tramite il sito visitato, possono accedere ad altre pagine del sito,contenenti, oltre al testo dell'informativa estesa, la possibilità di esprimerescelte più specifiche. Piùprecisamente, nel momento in cui si accede alla home page (o ad altra pagina)di un sito web, deve immediatamente comparire in primo piano un banner diidonee dimensioni ossia di dimensioni tali da costituire una percettibilediscontinuità nella fruizione dei contenuti della pagina web che si stavisitando contenente le seguenti indicazioni: Ilsuindicato banner, oltre a dover presentare dimensioni sufficienti a ospitarel'informativa, seppur breve, deve essere parte integrante dell'azione positivanella quale si sostanzia la manifestazione del consenso dell'utente. In altreparole, esso deve determinare una discontinuità, seppur minima, dell'esperienzadi navigazione: il superamento della presenza del banner al video deve esserepossibile solo mediante un intervento attivo dell'utente (appunto attraverso laselezione di un elemento contenuto nella pagina sottostante il banner stesso). Restaferma naturalmente la possibilità per gli editori di ricorrere a modalitàdiverse da quella descritta per l'acquisizione del consenso online all'uso deicookie degli utenti, sempreché tali modalità assicurino il rispetto di quantodisposto dall'art. 23, comma 3, del Codice. Inconformità con i principi generali, è necessario in ogni caso che dell'avvenutaprestazione del consenso dell'utente sia tenuta traccia da parte dell'editore,il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistemache non sembra particolarmente invasivo (in tal senso, si veda anche il considerando25 della direttiva 2002/58/CE). Lapresenza di tale "documentazione" delle scelte dell'utente consentepoi all'editore di non riproporre l'informativa breve alla seconda visita delmedesimo utente sullo stesso sito, ferma restando naturalmente la possibilitàper l'utente di negare il consenso e/o modificare, in ogni momento e in manieraagevole, le proprie opzioni relative all'uso dei cookie da parte del sito, adesempio tramite accesso all'informativa estesa, che deve essere linkabile daogni pagina del sito. L'informativaestesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice,descrivere in maniera specifica e analitica le caratteristiche e le finalitàdei cookie installati dal sito e consentire all'utente diselezionare/deselezionare i singoli cookie. Deve essere raggiungibile medianteun link inserito nell'informativa breve, come pure attraverso un riferimento suogni pagina del sito, collocato in calce alla medesima. All'internodi tale informativa, deve essere inserito anche il link aggiornato alleinformative e ai moduli di consenso delle terze parti con le quali l'editore hastipulato accordi per l'installazione di cookie tramite il proprio sito.Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare isiti dei soggetti che fanno da intermediari tra lui e le stesse terze parti.Non si esclude l'eventualità che tali collegamenti con le terze parti sianoraccolti all'interno di un unico sito web gestito da un soggetto diversodall'editore, come nel caso dei concessionari. Alfine di mantenere distinta la responsabilità degli editori da quella delleterze parti in relazione all'informativa resa e al consenso acquisito per icookie di queste ultime tramite il proprio sito, si ritiene necessario che glieditori stessi acquisiscano, già in fase contrattuale, i suindicati link dalleterze parti (con ciò intendendosi anche gli stessi concessionari). Nelmedesimo spazio dell'informativa estesa deve essere richiamata la possibilitàper l'utente (alla quale fa riferimento anche l'art. 122, comma 2, del Codice)di manifestare le proprie opzioni in merito all'uso dei cookie da parte delsito anche attraverso le impostazioni del browser, indicando almeno laprocedura da eseguire per configurare tali impostazioni. Qualora, poi, letecnologie utilizzate dal sito siano compatibili con la versione del browserutilizzata dall'utente, l'editore potrà predisporre un collegamento diretto conla sezione del browser dedicata alle impostazioni stesse. Siricorda che l'uso dei cookie rientra tra i trattamenti soggetti all'obbligo dinotificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice,laddove lo stesso sia finalizzato a "definire il profilo o la personalitàdell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusionedei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agliutenti". L'usodei cookie è, invece, sottratto all'obbligo di notificazione sulla base diquanto previsto dal provvedimento del Garante del 31 marzo 2004, che hainserito espressamente, tra i trattamenti esonerati dal suindicato obbligo,quelli "relativi all'utilizzo di marcatori elettronici o di dispositivianaloghi installati, oppure memorizzati temporaneamente, e non persistenti,presso l'apparecchiatura terminale di un utente, consistenti nella solatrasmissione di identificativi di sessione in conformità alla disciplinaapplicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di unsito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato inGazzetta Ufficiale del 6 aprile 2004 n. 81). Dalquadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, iquali hanno caratteristiche di permanenza nel tempo, sono soggetti all'obbligodi notificazione, i cookie che invece hanno finalità diverse e che rientranonella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookieanalytics (v. punto 1, lett. a), del presente provvedimento), non debbonoessere notificati al Garante. Comegià evidenziato in precedenza, il Garante è consapevole dell'impatto, ancheeconomico, che la disciplina sui cookie avrà sull'intero settore della societàdei servizi dell'informazione e, quindi, del fatto che la realizzazione dellemisure necessarie a dare attuazione al presente provvedimento richiederà unnotevole impegno, anche in termini di tempo. Inragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio diun anno a decorrere dalla pubblicazione della presente decisione inGazzetta Ufficiale per consentire ai soggetti interessati dalpresente provvedimento di potersi avvalere delle modalità semplificate iviindividuate. Siricorda che per il caso di omessa informativa o di informativa inidonea, ossiache non presenti gli elementi indicati, oltre che nelle previsioni di cuiall'art. 13 del Codice, nel presente provvedimento, è prevista la sanzioneamministrativa del pagamento di una somma da seimila a trentaseimila euro (art.161 del Codice). L'installazione di cookie sui terminali degli utenti inassenza del preventivo consenso degli stessi comporta, invece, la sanzione delpagamento di una somma da diecimila a centoventimila euro (art. 162, comma2-bis, del Codice). L'omessa o incompleta notificazione al Garante,infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), delCodice, è sanzionata con il pagamento di una somma da ventimila acentoventimila euro (art. 163 del Codice). Roma, 8 maggio 2014
|