GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere04/2012 - WP 194 relativo all'esenzione dalconsenso per l'uso di cookie adottato il 7 giugno 2012 IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, HA ADOTTATO IL SEGUENTE PARERE: 1 Introduzione L'articolo 5, paragrafo 3, della direttiva 2002/58/CE, comemodificato dalla direttiva 2009/136/CE, ha rafforzato la tutela degli utenti direti e servizi di comunicazione elettronica introducendo l'obbligo del consensoinformato prima dell'archiviazione di informazioni o dell'accesso ainformazioni già archiviate nell'apparecchiatura terminale dell'utente (odell'abbonato). Tale obbligo si applica a tutte le tipologie di informazionisottoposte ad archiviazione o ad accesso nell'apparecchiatura terminaledell'utente, sebbene il dibattito si sia incentrato principalmente sull'impiegodei cookie come definiti in RFC62651 L'articolo 5, paragrafo 3, prevede l'esenzione dei cookiedall'obbligo del consenso informato se soddisfano uno dei criteri seguenti: CRITERIO A: il cookie è utilizzato "al solo fine di effettuare latrasmissione di una comunicazione su una rete di comunicazione elettronica CRITERIO B: il cookie è "strettamente necessari[o] alfornitore di un servizio della società dell'informazione esplicitamenterichiesto dall'abbonato o dall'utente a erogare tale servizio Dal momento che gli obblighi in materia di consenso informato sonogià stati esaminati nel dettaglio in due precedenti pareri del Gruppo di lavoro La presente analisi lascia impregiudicato il diritto di essereinformati e l'eventuale diritto di opposizione fissati dalla direttiva95/46/CE, che si applica al trattamento dei dati personali a prescinderedall'impiego di cookie. 2 Analisi 2.1 Criterio A La presenza dell'espressione "al solo fine" nel CRITERIO Acircoscrive nello specifico le tipologie di trattamento che possono essereintraprese utilizzando cookie e non lascia ampio margine di interpretazione.Non basta semplicemente utilizzare un cookie per agevolare, accelerare oregolamentare la trasmissione di una comunicazione tramite una rete dicomunicazione elettronica. Deve risultare impossibile effettuare dettatrasmissione senza il ricorso al cookie. Si può osservare che nella versioneoriginale della direttiva 2002/58/CE, l'articolo 5, paragrafo 3, contemplavagià questa esenzione per i cookie impiegati "al solo fine di effettuare ofacilitare la trasmissione di una comunicazione su una rete di comunicazioneelettronica". La stessa dicitura è stata adottata nella direttivamodificata, salvo che sono state rimosse le parole "o facilitare",circostanza che potrebbe essere interpretata come un'ulteriore indicazione delfatto che il legislatore europeo intendeva limitare l'ambito dell'esenzione aisensi dell'articolo 5, paragrafo 3, in conformità del CRITERIO A. Almeno tre elementi possono essere considerati strettamentenecessari perché la comunicazione tra due soggetti abbia luogo su una rete: 1) la capacità di instradare l'informazione nella rete, inparticolare mediante l'individuazione dei punti estremi della comunicazione; 2) la capacità di scambiare i dati nell'ordine voluto, inparticolare mediante la numerazione dei pacchetti di dati; 3) la capacità di individuare glierrori di trasmissione o la perdita di dati. S'intende che l'espressione "la trasmissione di unacomunicazione su una rete di comunicazione elettronica" nel CRITERIO A (ein particolare la preposizione "su") faccia riferimento a qualsiasi tipodi scambio di dati che avvenga mediante il ricorso a una rete di comunicazioneelettronica (secondo la definizione di cui alla direttiva 2002/21/CE), tra cuipotenzialmente i dati a "livello di applicazione" che presentano almeno unadelle proprietà elencate in precedenza, senza limitazione allo scambio di datitecnici necessari per stabilire la rete stessa di comunicazione elettronica. Di conseguenza, nel CRITERIO A rientrano i cookie che soddisfanoalmeno uno dei requisiti sopraelencati per le comunicazioni Internet. 2.2 Criterio B Analogamente, dalla formulazione del CRITERIO B si evince che,nelle intenzioni del legislatore europeo, il parametro di ammissione a una taleesenzione dovesse rimanere elevato. Sulla base di un'analisi diretta delladirettiva, per soddisfare il CRITERIO B un cookie deve risponderesimultaneamente ai due requisiti seguenti: 1) il servizio della società dell'informazione deve essereesplicitamente richiesto dall'utente: l'utente (o abbonato) ha compiutoun'azione positiva per chiedere un servizio entro confini chiaramente definiti; 2) il cookie deve essere strettamente necessario per consentire ilservizio della società dell'informazione: se i cookie sono disabilitati, ilservizio non funzionerà. Inoltre, il considerando 66 della direttiva 2009/136/CE sottolineache le "[e]ccezioni all'obbligo di comunicazione delle informazioni e diofferta del diritto al rifiuto dovrebbero essere limitate a quei casi in cuil'archiviazione tecnica o l'accesso siano strettamente necessari al finelegittimo di consentire l'uso di un servizio specifico esplicitamente richiestodall'abbonato o dall'utente." In altri termini, perché si applichil'esenzione deve sussistere un chiaro nesso tra la stretta necessità di uncookie e la prestazione del servizio esplicitamente richiesto dall'utente. Nonostante tale lettura della direttiva, rimane da definire ilcampo di applicazione di un "servizio della società dell'informazioneesplicitamente richiesto dall'abbonato o dall'utente". Un servizio dellasocietà dell'informazione può essere costituito da molte componenti, alcunedelle quali non sono utilizzate da tutti gli utenti o sono fornite percomodità. Ad esempio, un quotidiano online può essere liberamente accessibile atutti, ma può offrire funzionalità aggiuntive agli utenti che hanno effettuatoil "login", come la possibilità di commentare gli articoli. A loro volta,queste funzionalità aggiuntive possono operare con propri cookie. In questoparticolare contesto, il Gruppo di lavoro ritiene che un servizio della societàdell'informazione debba essere considerato come la somma di varie funzionalitàe che la portata precisa di tale servizio possa quindi variare a seconda dellefunzionalità richieste dall'utente (o abbonato). Di conseguenza, il CRITERIO B può essere riformulato in termini di"funzionalità" offerte dal servizio della società dell'informazione. Inquest'ottica, per soddisfare il CRITERIO B un cookie deve rispondere aiseguenti requisiti: 1) un cookie deve offrire una funzionalità specifica all'utente (oabbonato): se i cookie sono disabilitati, la funzionalità non sarà disponibile; 2) tale funzionalità è stata richiesta esplicitamente dall'utente(o abbonato) nell'ambito di un servizio della società dell'informazione. 2.3 Caratteristichedi un cookie I cookie sono spesso classificati in base alle lorocaratteristiche: 1) "cookie disessione" o "cookie persistenti"; 2) "cookiedi terzi". Un "cookie di sessione" è un cookie che viene cancellatoautomaticamente alla chiusura del browser, mentre un "cookie persistente" è uncookie che rimane archiviato nell'apparecchiatura terminale dell'utente finoalla scadenza prestabilita (che può corrispondere a minuti, giorni o più anninel futuro). L'espressione "cookie di terzi" può essere fuorviante: € nel contesto della protezione dei dati in Europa, la direttiva95/46/CE definisce "terzi" come "la persona fisica o giuridica, l'autoritàpubblica, il servizio o qualsiasi altro organismo che non sia la personainteressata, il responsabile del trattamento, l'incaricato del trattamento e lepersone autorizzate all'elaborazione dei dati sotto la loro autorità diretta".Un "cookie di terzi" farebbe quindi riferimento a un cookie predisposto da unresponsabile del trattamento dei dati distinto dal gestore del sito webvisitato dall'utente (definito dall'URL corrente riportato nella barra degliindirizzi del browser); € tuttavia, in un'ottica di browser, la nozione di "terzi" èdefinita unicamente dall'analisi della struttura dell'URL riportata nella barradegli indirizzi del browser. In questo caso i "cookie di terzi" sono cookiepredisposti dai siti web che appartengono a un dominio distinto da quello delsito web visitato dall'utente che appare nella barra degli indirizzi delbrowser, a prescindere in ogni caso dal fatto che il soggetto sia distinto omeno dal responsabile del trattamento dei dati. Benché spesso coincidano, questi due approcci non sono sempreequivalenti. Ai fini del presente parere, si seguirà il primo approccio el'espressione "cookie di terzi" sarà utilizzata per designare i cookiepredisposti da responsabili del trattamento dei dati che non gestiscono il sitoweb attualmente visitato dall'utente. Per contro, sarà utilizzata la locuzione"cookie di prima parte" per fare riferimento a un cookie predisposto dal responsabiledel trattamento dei dati (o da uno degli incaricati del trattamento) chegestisce il sito web visitato dall'utente, come definito dall'URL solitamenteriportato nella barra degli indirizzi del browser. Saranno prese in considerazione talune caratteristiche pervalutare se un cookie sia "strettamente necessari[o]" per un servizio, "esplicitamenterichiesto dall'utente" oppure limitato a un "solo fine" comeprevisto dal CRITERIO A o B. Un cookie esente dal consenso dovrebbe avere una durata che sia inrelazione diretta con la finalità per cui è utilizzato e deve essere progettatoper decadere quando non è più necessario, considerando le ragionevoliaspettative dell'utente o dell'abbonato medio. Ciò suggerisce che i cookie chesoddisfano i CRITERI A e B saranno probabilmente cookie programmati perdecadere al termine della sessione di navigazione o addirittura prima. Non èperò sempre questo il caso. Ad esempio, nello scenario del carrello della spesapresentato nella sezione seguente, un commerciante potrebbe predisporre uncookie che permanga dopo la fine della sessione di navigazione oppure per unpaio di ore successive nell'eventualità che l'utente chiuda inavvertitamente ilbrowser e abbia la ragionevole aspettativa di recuperare i contenuti del propriocarrello se ritorna sul sito web del commerciante nei minuti seguenti. In altricasi, l'utente potrebbe chiedere esplicitamente che il servizio ricordi alcuneinformazioni da una sessione all'altra, condizione che, per essere soddisfatta,presuppone l'impiego di cookie persistenti. Inoltre, in base alle definizioni precedenti, i cookie di "terzi"solitamente non sono "strettamente necessar[i]" all'utente che visita ilsito web poiché sono in genere connessi a un servizio distinto da quello "esplicitamenterichiesto" dall'utente. Di conseguenza, è molto più probabile che siano i cookie disessione di "prima parte" a essere esenti dal consenso piuttosto che i cookiedi "terzi" persistenti3. Tuttavia, sebbene questecaratteristiche possano fungere da indicatore iniziale per mettere in ordine dipriorità le azioni intese a verificare la conformità, esse non sono sufficientida sole a stabilire se un cookie soddisfa il CRITERIO A o B. Si può immaginareche un cookie sia utilizzato per autenticare gli utenti che intendono accederea un sito web in modalità sicura. Questo cookie serve a far sì che l'utenteacceda unicamente ai contenuti per i quali è autorizzato. Un cookie analogo puòessere impiegato per individuare e monitorare gli utenti all'interno di undominio, nonché presentare contenuti o avvisi pubblicitari mirati in base alprofilo del gestore del sito. Entrambi i cookie possono essere simili per tipo(ossia di sessione o persistenti), avere una data di scadenza analoga oppureessere di fatto controllati da terzi. Il rischio per la protezione dei datidiscende dalla o dalle finalità del trattamento anziché dalle informazionicontenute nel cookie. In ultima analisi, quindi, per stabilire se un cookie può essereesente dal consenso in virtù del CRITERIO A o B occorre valutare la finalità el'attuazione o il trattamento specifici. 2.4 Cookie multiscopo Sebbene sia possibile impiegare un cookie per varie finalità, uncookie di questo genere può essere esente dal consenso solo qualora tutte ledistinte finalità dell'impiego, prese singolarmente, siano esenti dal consenso. Ad esempio, è possibile creare un cookie con un nome o valoreunico che possa essere impiegato sia per memorizzare le preferenze dell'utentesia a fini di monitoraggio. Benché si possa ritenere che la memorizzazionedelle preferenze dell'utente ricada in alcune circostanze nell'ambito diun'esenzione (come illustrato nella sezione 3.6), è molto improbabile che laseconda funzionalità soddisfi il CRITERIO A o B. Pertanto, il sito web dovràsempre chiedere il consenso dell'utente a tal fine. Nella pratica, ciò dovrebbeincentivare i proprietari di siti web a utilizzare un cookie diverso perciascuna finalità distinta. Come già evidenziato dal Gruppo di lavoro nel parere 16/2011, seun sito web utilizza più cookie oppure cookie con più finalità, ciò nonsignifica che debba presentare un "banner" distinto o una richiesta di consensoper ciascun cookie o scopo. Nella maggior parte dei casi è sufficiente un unicoriquadro informativo e consenso, presentato in modo chiaro ed esaustivo. 3 Scenari relativi all'impiego dicookie Nella presente sezione i criteri di esenzione dal consensoanalizzati in precedenza sono applicati a scenari riguardanti l'uso comune deicookie. 3.1 Cookie con dati compilati dall'utente L'espressione "cookie con dati compilati dall'utente" (o cookiecon "user input") può essere impiegata a titolo generico per descrivere icookie di sessione utilizzati per tenere traccia dei dati compilati dall'utentein una serie di messaggi scambiati con un prestatore di servizi in manieracoerente. Questi dovrebbero essere cookie di prima parte generalmente basati suun codice identificativo di sessione (numero unico temporaneo casuale) chedecadono al più tardi al termine della sessione. I cookie di sessione di prima parte con dati compilati dall'utentesono generalmente impiegati per tenere traccia dei dati forniti dall'utentenella compilazione di moduli online di alcune pagine, oppure come nel caso delcarrello della spesa, per ricordare degli articoli che l'utente ha selezionatocliccando su un pulsante (ad esempio "aggiungi al carrello"). Questi cookie sono chiaramente necessari per fornire un serviziodi informazione esplicitamente richiesto dall'utente. Inoltre, sono connessiall'azione dell'utente (come cliccare su un pulsante o compilare un modulo).Tali cookie, pertanto, sono esenti ai sensi del CRITERIO B. 3.2 Cookie perl'autenticazione I cookie per l'autenticazione sono utilizzati per identificarel'utente dopo il login (ad esempio: su un sito web che offre servizi bancarionline). Questi cookie sono necessari per consentire agli utenti diautenticarsi alle visite successive al sito web e accedere al contenutoautorizzato, come la consultazione del saldo contabile, delle disposizioni, ecc.I cookie per l'autenticazione sono solitamente cookie di sessione. È possibileanche l'uso di cookie persistenti ma, come si precisa di seguito, non devonoessere considerati alla stessa stregua. Quando un utente effettua il login, chiede esplicitamente l'accessoal contenuto o alla funzionalità cui è autorizzato. Senza l'impiego di unsistema per l'autenticazione archiviato in un cookie l'utente dovrebbe fornireil nome utente e la password per ciascuna pagina aperta. Pertanto, questafunzionalità di autenticazione è una parte essenziale del servizio dellasocietà dell'informazione che ha esplicitamente richiesto. Tali cookie pertantosono esenti ai sensi del CRITERIO B. È importante osservare, tuttavia, che l'utente ha solamenterichiesto l'accesso al sito e alla funzionalità specifica per svolgere ilcompito necessario. L'atto di autenticazione non deve costituire un'opportunitàper utilizzare il cookie ad altri fini secondari, quali il monitoraggiocomportamentale o la pubblicità senza consenso. I cookie persistenti relativi al login che archiviano la chiave diautenticazione da una sessione del browser all'altra non sono esenti ai sensidel CRITERIO B. È questa una distinzione importante perché l'utente potrebbenon essere immediatamente consapevole del fatto che la chiusura del browser noncancellerà le impostazioni di autenticazione. Potrebbe ritornare al sito webnella convinzione di essere anonimo mentre di fatto il login al servizio èancora attivo. Il metodo diffuso che consiste nel riportare una casella dabarrare e una semplice nota informativa come "ricordati di me (utilizzacookie)" in prossimità del modulo di presentazione sarebbe uno strumentoadeguato per ottenere il consenso, ovviando così alla necessità di applicareun'esenzione in questo caso. 3.3 Cookie disicurezza incentrati sugli utenti L'esenzione che si applica ai cookie per l'autenticazione ai sensidel CRITERIO B (descritta in precedenza) può essere estesa ad altri cookiepredisposti allo scopo specifico di accrescere la sicurezza del servizioesplicitamente richiesto dall'utente. È questo il caso ad esempio dei cookieutilizzati per individuare ripetuti tentativi falliti di login a un sito web,oppure di altri meccanismi analoghi studiati per proteggere il sistema di logindagli abusi (sebbene questa possa rivelarsi una tutela debole nella pratica).Tale esenzione non riguarderebbe però l'impiego di cookie relativi allasicurezza di siti web o di servizi di terzi che non sono stati richiestiesplicitamente dall'utente. Mentre i cookie di login sono generalmente predisposti perdecadere alla fine di una sessione, è prevedibile che i cookie per la sicurezzadell'utente abbiano una durata più prolungata per adempiere alla loro funzionedi sicurezza. 3.4 Cookie disessione per lettori multimediali I cookie di sessione per lettori multimediali sono utilizzati perarchiviare dati tecnici necessari alla riproduzione di contenuti video o audio,come la qualità dell'immagine, la velocità del collegamento in rete e iparametri di bufferizzazione. Questi cookie di sessione multimediali sonocomunemente noti come "cookie flash" e devono tale appellativo al fatto che latecnologia video oggi di più ampio impiego in internet è Adobe Flash. Poichénon vi è alcuna esigenza di lungo periodo riguardo a queste informazioni, icookie dovrebbero decadere al termine della sessione. Quando l'utente visita un sito web che contempla testi e contenutivideo correlati, entrambe queste tipologie di contenuti fanno ugualmente partedi un servizio esplicitamente richiesto dall'utente. La funzionalità dellavisualizzazione del video soddisfa pertanto il CRITERIO B. Come già osservato nella sezione 3.2, per poter usufruiredell'esenzione, i gestori del sito web devono evitare l'inclusione diinformazioni aggiuntive nei cookie "flash" o di altro tipo che non sianostrettamente necessarie alla riproduzione del contenuto mediale. 3.5 Cookie disessione per il bilanciamento del carico Il bilanciamento del carico (load balancing) è una tecnicache consente di distribuire il trattamento delle richieste su un server web travari apparecchi anziché in uno solo. Una delle tecniche utilizzate a tale scoposi basa su un meccanismo detto "load balancer": le richieste provenientidagli utenti nel web sono indirizzate a un portale di bilanciamento che inoltrala richiesta a uno dei server disponibili nel gruppo di apparecchi. In alcunicasi, questo reindirizzamento deve essere persistente durante una sessione:tutte le richieste derivanti da un utente specifico devono essere sempre inoltrateal medesimo server del gruppo per mantenere la coerenza del trattamento. Tra levarie tecniche, si può utilizzare un cookie per individuare il server delgruppo in modo che il "load balancer" reindirizzi correttamente lerichieste. Si tratta di cookie di sessione. Le informazioni nel cookie hanno l'unica finalità di individuareuno dei nodi terminali della comunicazione (uno dei server del gruppo) e sonoquindi necessarie per consentire la comunicazione nella rete. Tali cookiepertanto sono esenti ai sensi del CRITERIO A. 3.6 Cookie per lapersonalizzazione dell'interfaccia utente I cookie per la personalizzazione dell'interfaccia utente sonoutilizzati per archiviare una preferenza in merito a un servizio nelle variepagine web e non sono connessi ad altri codici identificativi persistenti comeil nome utente. Sono predisposti unicamente se l'utente ha chiestoesplicitamente che il servizio ricordi alcune informazioni, ad esempiocliccando su un pulsante o barrando una casella. Possono essere cookie di sessioneoppure avere una durata calcolata in settimane o mesi, a seconda dellafinalità. Esempi tipici di cookie per la personalizzazione sono: € i cookie relativi alla preferenza linguistica, utilizzati perricordare la lingua prescelta dall'utente in un sito plurilingue (cliccando adesempio su una "bandierina"); € i cookie relativi alle preferenze sui risultati da visualizzare,utilizzati per ricordare le preferenze dell'utente riguardo alle ricercheonline (ad esempio selezionando il numero di risultati per pagina). Queste funzionalità di personalizzazione sono quindiesplicitamente abilitate dall'utente di un servizio della societàdell'informazione (ad esempio cliccando su un pulsante o barrando una casella)sebbene, in assenza di informazioni aggiuntive, l'intenzione dell'utente nonpossa essere interpretata come una decisione affinché tale scelta sia ricordatapiù a lungo di una sessione del browser (oppure non più di qualche orasuccessiva). Pertanto, solo i cookie di sessione (o a breve termine) necessariad archiviare tali informazioni sono esenti ai sensi del CRITERIO B. L'aggiuntadi altre informazioni in una collocazione di rilievo (ad esempio la dicitura"utilizza cookie" riportata a fianco della bandierina) costituirebbeun'informazione sufficiente per un consenso valido a ricordare la preferenzadell'utente per una durata più lunga, ovviando all'esigenza di applicareun'esenzione in questo caso. 3.7 Cookie per lacondivisione dei contenuti mediante plug-in sociali Molte reti sociali propongono "moduli di plug-in sociali" che igestori dei siti web possono integrare nella propria piattaforma per consentirein particolare agli utenti delle reti sociali di condividere contenuti a lorograditi con i loro "amici" (e proporre altre funzionalità connesse come lapubblicazione di commenti). Questi plug-in archiviano e accedono ai cookienell'apparecchiatura terminale dell'utente al fine di consentire alla retesociale di individuare i membri quando interagiscono con detti plug-in. Nel trattare questo caso di impiego, è importante distinguere gliutenti che hanno effettuato il login attraverso il browser per un particolareaccount di una rete sociale da quelli che non lo hanno effettuato, chesemplicemente non sono membri di una rete sociale specifica oppure che si sonodisconnessi dall'account della rete. Poiché per definizione i plug-in sociali sono destinati a membridi una particolare rete sociale, non sono di alcuna utilità per coloro che nonvi appartengono e, pertanto, in quest'ultimo caso il CRITERIO B non èsoddisfatto. Ciò può essere esteso ai membri effettivi di una rete sociale chehanno esplicitamente effettuato il "logout" dalla piattaforma e che pertantosono convinti di non essere più "connessi" alla rete sociale. Il consensopreliminare dei non membri e dei membri che hanno effettuato il "logout" èquindi necessario perché i plug-in sociali possano impiegare cookie di terzi. D'altro canto, molti utenti che hanno effettuato il login siattendono di poter utilizzare e accedere ai plug-in sociali sui siti web diterzi. In questo caso particolare, il cookie è strettamente necessario per unafunzionalità esplicitamente richiesta dall'utente e si applica il CRITERIOB.Tali cookie sono di sessione4 4 Cookie non esenti La presente sezione richiama o chiarisce scenari di impiego deicookie che non ricadono nell'esenzione prevista dal CRITERIO A o B. 4.1 Cookie di monitoraggio medianteplug-in sociali Come descritto in precedenza, molte reti sociali propongono"moduli di plug-in sociali" che i proprietari di siti web possono integrarenella propria piattaforma, per fornire taluni servizi che possono essereconsiderati "esplicitamente richiesti" dai membri. Questi moduli, tuttavia,possono anche essere utilizzati per monitorare gli individui, membri o meno,con cookie di terzi per finalità aggiuntive come, ad esempio, la pubblicità,l'analitica e le indagini di mercato a carattere comportamentale. Nell'ambito di tali finalità, questi cookie non possono essereconsiderati "strettamente necessari" per offrire una funzionalitàesplicitamente richiesta dall'utente. Pertanto, i cookie di monitoraggio nonpossono essere esenti dal consenso ai sensi del CRITERIO B. In assenza diconsenso, sembra improbabile che sussista una base giuridica perché le retisociali raccolgano dati attraverso plug-in sociali su soggetti che non sonomembri della loro rete. Come opzione predefinita, i plug-in sociali dovrebberoquindi non contemplare cookie di terzi nelle pagine accessibili ai non membri.Dall'altro lato, come già osservato, le reti sociali dispongono di ampieopportunità per raccogliere il consenso dai propri membri direttamente sullapropria piattaforma se desiderano condurre tali attività di monitoraggio,fornendo ai propri utenti informazioni chiare ed esaurienti su questa attività. 4.2 Pubblicità diterzi I cookie di terzi utilizzati per la pubblicità comportamentale nonsono esenti dal consenso, come già rilevato dal Gruppo di lavoro nei pareri2/2010 e 16/2011. Questo obbligo di consenso si estende naturalmente a tutti iconnessi cookie operativi di terzi che vengono utilizzati a fini pubblicitari,compresi quelli impiegati allo scopo di limitare la frequenza, rilevare datiper scopi finanziari, ottenere affiliazioni pubblicitarie, individuare frodi diclick, condurre indagini e analisi di mercato, migliorare i prodotti erisolvere problemi informatici, poiché nessuna di queste finalità può essereconsiderata connessa a un servizio o alla funzionalità di un servizio dellasocietà dell'informazione esplicitamente richiesto dall'utente, comeimpone il CRITERIO B. A tale riguardo, dal 22 dicembre 2011 il Gruppo di lavoropartecipa attivamente ai lavori del Consorzio mondiale del web (W3C) perstandardizzare la tecnologia e il significato del meccanismo teso a impedire ilmonitoraggio (Do Not Track). In considerazione del fatto che i cookie spessocontengono codici identificativi unici, i quali consentono di monitorare ilcomportamento dell'utente nel tempo e nei vari siti web, e della possibilecombinazione di questi codici con altri dati identificativi o identificabili,il Gruppo di lavoro teme la possibile esclusione dal meccanismo Do Not Track ditaluni cookie definiti necessari a scopi operativi. Tali finalità sono: limitedi frequenza, rilevazione di dati per scopi finanziari, revisione di terzi,sicurezza, contenuto contestuale, indagini e analitica del mercato,miglioramento dei prodotti e risoluzione dei problemi informatici 4.3 Analitica diprima parte L'analitica consiste in rilevazioni statistiche sulle visite aisiti web effettuate mediante strumenti che spesso si fondano su cookie. Talistrumenti sono utilizzati soprattutto dai proprietari di siti web per stimareil numero di visitatori unici, al fine di individuare le principali parolechiave per i motori di ricerca che portano a una pagina web oppure perindividuare le problematiche di navigazione di un sito web. Gli strumentianalitici disponibili oggi utilizzano svariati modelli di raccolta e analisidei dati, ciascuno dei quali presenta rischi differenti per la protezione deidati. Un sistema analitico di prima parte basato su cookie "di prima parte"presenta chiaramente rischi diversi rispetto al sistema analitico di terzi basatosu cookie "di terzi". Vi sono anche strumenti che impiegano cookie "di primaparte" mentre l'analisi è condotta da una parte diversa. Quest'ultima saràconsiderata alla stregua di un responsabile congiunto o di un incaricato deltrattamento a seconda che utilizzi i dati per finalità proprie oppure che glisia vietato di farlo in virtù di accordi tecnici o contrattuali. Benché spesso considerati come uno strumento "strettamentenecessario" per i gestori dei siti web, essi non sono strettamente necessari peroffrire la funzionalità esplicitamente richiesta dall'utente (o abbonato). Inrealtà, l'utente può accedere a tutte le funzionalità offerte dal sito web setali cookie sono disabilitati. Di conseguenza, tali cookie non ricadononell'esenzione definita nel CRITERIO A o B. Il Gruppo di lavoro non ritiene probabile tuttavia che i cookieanalitici di prima parte generino un rischio per la privacy quando sonostrettamente limitati alle finalità statistiche aggregate di prima parte e sesono utilizzati da siti web che già forniscono chiare informazioni circa questicookie nella propria politica in materia di riservatezza nonché tutele adeguateal riguardo. Fra tali tutele dovrebbero rientrare un meccanismo di facileutilizzo per scegliere di essere esclusi da qualsiasi raccolta di dati nonchémeccanismi di completa anonimizzazione applicati alla raccolta di altreinformazioni identificabili, come gli indirizzi IP. A tale riguardo, qualora l'articolo 5, paragrafo 3, delladirettiva 2002/58/CE fosse rivisitato in futuro, il legislatore europeopotrebbe aggiungere a ragion veduta un terzo criterio di esenzione dal consensoper i cookie strettamente limitati a finalità statistiche aggregate e anonimedi prima parte. L'analitica di prima parte dovrebbe essere nettamente distinta daquella di terzi, che utilizza un cookie di terzi comune per raccogliereinformazioni sulla navigazione connesse agli utenti su siti web distinti e chepongono un rischio decisamente superiore per la riservatezza. 5 Sintesi e orientamenti La presente analisi ha dimostrato che i cookie seguenti possonoessere esenti dal consenso informato a determinate condizioni, purché non sianoutilizzati per finalità aggiuntive: 1) cookie con dati compilati dall'utente (identificativo disessione), della durata di una sessione o cookie persistenti limitatamente adalcune ore in taluni casi; 2) cookie per l'autenticazione, utilizzati ai fini dei serviziautenticati, della durata di una sessione; 3) cookie di sicurezza incentrati sugli utenti, utilizzati perindividuare abusi di autenticazione, per una durata persistente limitata; 4) cookie di sessione per lettori multimediali, come i cookie perlettori "flash", della durata di una sessione; 5) cookie di sessione per il bilanciamento del carico, delladurata di una sessione; 6) cookie persistenti per la personalizzazione dell'interfacciautente, della durata di una sessione (o poco più); 7) cookie per la condivisione dei contenuti mediante plug-insociali di terzi, per membri di una rete sociale che hanno effettuato il login. Quanto alle reti sociali, il Gruppo di lavoro osserva, tuttavia,che l'impiego di cookie di plug- in sociali di terzi per finalità diversedall'offerta di una funzionalità esplicitamente richiesta dai membri stessi èsoggetta a consenso, soprattutto se tali finalità coinvolgono gli utenti insiti web diversi. Il Gruppo di lavoro ricorda che i cookie di terzi con finipubblicitari non possono essere esenti dal consenso e chiarisce, inoltre, cheesso è necessario anche per finalità operative connesse alla pubblicità diterzi quali il limite di frequenza, la rilevazione di dati per scopifinanziari, l'affiliazione pubblicitaria, l'individuazione di frodi di click,la conduzione di indagini e analisi di mercato, il miglioramento dei prodotti ela risoluzione di problemi informatici. Sebbene alcune finalità operativepossano senza dubbio essere diverse da un utente dall'altro, in linea diprincipio queste finalità non giustificano il ricorso a codici identificativiunici. Questo punto riveste particolare rilevanza nel contesto del dibattito incorso sull'attuazione della norma Do Not Track in Europa. La presente analisi mostra altresì che i cookie analitici di primaparte, pur non essendo esenti dal consenso, pongono rischi limitati per lariservatezza a condizione che siano poste in essere tutele ragionevoli, tra cuiinformazioni adeguate, la facile capacità di recesso e meccanismi di completaanonimizzazione. Dall'analisi e dagli scenari di impiego dei cookie presentati inquesto parere si possono ricavare alcuni orientamenti principali: 1) quando si applica il CRITERIO B, è importante valutare cosa siastrettamente necessario nell'ottica dell'utente, non del prestatore delservizio; 2) se un cookie è utilizzato per più finalità, può usufruire di un'esenzionedal consenso informato solo se ciascuna distinta finalità gode singolarmente ditale esenzione; 3) è molto più probabile che siano i cookie di sessione di "primaparte" a essere esenti dal consenso piuttosto che i cookie di "terzi"persistenti. Tuttavia, la base per valutare se è corretto applicare l'esenzionesarà sempre costituita dalla finalità del cookie anziché da una suacaratteristica tecnica. In ultima analisi, per decidere se un cookie è esente dalprincipio del consenso informato è importante verificare accuratamente sesoddisfa uno dei due criteri di esenzione definiti all'articolo 5, paragrafo 3,come modificato dalla direttiva 2009/136/CE. Dopo un attento esame, sepermangono dubbi sostanziali sull'applicazione di un criterio di esenzione, igestori dei siti web dovrebbero stabilire diligentemente se non sussista nellapratica un'opportunità di acquisire il consenso degli utenti in manierasemplice e discreta, evitando così qualsiasi incertezza giuridica. Fatto a Bruxelles, il 7 giugno 2012 Per il Gruppo di lavoro Il presidente Jacob KOHNSTAMM 1 2 Parere 2/2010 "sulla pubblicitàcomportamentale online" e parere 16/2011 relativo "alla raccomandazionedell'EASA/IAB sulle buone prassi in materia di pubblicità comportamentaleonline". 3 4 5 |