Garante per la protezione
    dei dati personali

FAQ INMATERIA DI COOKIE

Ladisciplina relativa all'uso dei c.d. "cookie" e di altri strumentianaloghi (web beacon/web bug, clear GIF, ecc.) neiterminali (personal computer, notebook, tablet pc, smartphone,ecc.) utilizzati dagli utenti, è stata recentemente modificata a seguitodell'attuazione della direttiva 2009/136 che ha modificato la direttiva "e-Privacy"(2002/58/CE). Il presente documento mira a fornire tramitelo strumento delle FAQ  chiarimenti sulla nuova disciplina italiana eeuropea con particolare riguardo, appunto, ai cookie.

1. Cosa si intende quando si parla di cookie?I cookie sono piccoli file di testo che i sitivisitati dall'utente inviano al suo terminale (solitamente al browser), dovevengono memorizzati per essere poi ritrasmessi agli stessi siti alla successivavisita del medesimo utente. Nel corso della navigazione su un sito, l'utente puòricevere sul suo terminale anche cookie di siti o di web server diversi (c.d.cookie di "terze parti"); ciò accade perché sul sito web visitatopossono essere presenti elementi come, ad esempio, immagini, mappe, suoni,specifici link a pagine web di altri domini  che risiedono su serverdiversi da quello sul quale si trova la pagina richiesta. In altre parole, sonoquei cookie che vengono impostati da un sito web diverso da quello che si staattualmente visitando.

Icookie sono usati per eseguire autenticazioni informatiche, monitoraggio disessioni e memorizzazione di informazioni specifiche riguardanti gli utenti cheaccedono al server e di norma sono presenti nel browser di ciascun utente innumero molto elevato.

Alcuneoperazioni non potrebbero essere compiute senza l'uso dei cookie, che in alcunicasi sono quindi tecnicamente necessari: a titolo esemplificativo, l'accessoall'home banking e le attività che possono essere svolte sul proprio contocorrente online (visualizzazione dell'estratto conto, bonifici, pagamento dibollette, ecc.) sarebbero molto più complesse da svolgere e meno sicure senzala presenza di cookie che consentono di identificare l'utente e mantenernel'identificazione nell'ambito della sessione.

Icookie possono rimanere nel sistema anche per lunghi periodi e possonocontenere anche un codice identificativo unico. Ciò consente ai siti che liutilizzano di tenere traccia della navigazione dell'utente all'interno del sitostesso, per finalità statistiche o pubblicitarie, per creare cioè un profilopersonalizzato dell'utente a partire dalle pagine che lo stesso ha visitato emostrargli quindi pubblicità mirate (c.d. Behavioural Advertising).

2. Cosa prevede adesso la direttiva e-Privacy?La direttiva e-Privacy (2002/58/CE) è stata modificata nel 2009 da un'altra direttiva(2009/136) che ha introdotto il principio dell'"opt-in"in tutti i casi in cui si accede a o si registrano "informazioni"(compresi quindi i cookie) sul terminale dell'utente o dell'abbonato. Pertanto,affinché i cookie possano essere archiviati sul terminale dell'utente nel corsodella sua navigazione in Internet, è necessario che l'utente stesso sempre sulla base di un'informativa chiara e completa in merito alle modalità efinalità del trattamento dei suoi dati  esprima un valido consenso,preliminare al trattamento (cfr. nuovo art. 5, paragrafo 3, delladirettiva 2002/58/CE).

Restacomunque ferma la possibilità di utilizzare liberamente i cookie (o similidispositivi) se questi sono utilizzati "al solo fine di effettuare latrasmissione di una comunicazione su una rete di comunicazione elettronica, onella misura strettamente necessaria al fornitore di un servizio della societàdell'informazione esplicitamente richiesto dall'abbonato o dall'utente aerogare tale servizio". In questo caso, si parla di cookie"tecnici".

3. Come cambia la disciplina in Italia?
Lamodifica della disciplina in materia di cookie in Italia appare meno radicalerispetto al resto d'Europa. Già in precedenza vigeva, infatti, la regola dell'opt-in(consenso preventivo) ma soltanto per i cookie "tecnici", sopracitati.

Ognialtro accesso ed ogni altra registrazione non autorizzati sul terminaledell'utente/abbonato erano vietati. Pertanto, in precedenza i fornitori deiservizi di comunicazione elettronica potevano utilizzare solo i cookie"tecnici" e solo nei confronti degli utenti che avessero espresso ilproprio consenso sulla base di una idonea informativa sulle finalità e ladurata del trattamento. La concreta regolamentazione dell'uso di tali cookieera poi demandata ad un codice di deontologia e di buona condotta.

Ilnuovo art. 122 (comma 1) prevede oggi, viceversa, che i cookie"tecnici" possano essere utilizzati anche in assenza del consenso,ferma restando naturalmente l'informativa. È evidente, quindi, chelimitatamente a tali cookie, l'attività degli operatori online risultasemplificata, in quanto essi non devono ottenere un consenso preventivo intutti quei casi in cui l'utilizzo di cookie o altri dispositivi memorizzati suiterminali degli utenti o dei contraenti serva esclusivamente a scopi tecnicioppure risponda a specifiche richieste dell'utente o del contraente di unservizio Internet. L'assenza del consenso riduce la consapevolezzadell'interessato, che deve essere necessariamente fondata su una informativachiara e di immediata comprensione.

Atitolo esemplificativo –come chiarito anche dal Gruppo "Articolo29" in un recente parere (WP194)– sono cookie per i quali non è necessarioacquisire il consenso preventivo e informato dell'utente:

€ icookie impiantati nel terminale dell'utente/contraente direttamente daltitolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è ilcaso dei cookie di sessione utilizzati per "riempire il carrello"negli acquisti online, di quelli di autenticazione, dei cookie per contenutimultimediali tipo flash player se non superano la durata della sessione,dei cookie di personalizzazione (ad esempio, per la scelta della lingua dinavigazione), ecc.;

€ icookie utilizzati per analizzare statisticamente gli accessi/le visite al sito(cookie cosiddetti "analytics") se perseguono esclusivamentescopi statistici e raccolgono informazioni in forma aggregata; occorre però chel'informativa fornita dal sito web sia chiara e adeguata e si offrano agliutenti modalità semplici per opporsi (opt-out) al loro impianto(compresi eventuali meccanismi di anonimizzazione dei cookie stessi).

Esclusii cookie tecnici, anche nella nuova normativa la regola generale per "L'archiviazionedelle informazioni nell'apparecchio terminale di un contraente o di un utente ol'accesso a informazioni già archiviate" resta quella del consensopreventivo e informato dell'utente (opt-in). Ciò vuol dire che tutti icookie non qualificabili come "tecnici"  che presentano peraltromaggiori criticità dal punto di vista della protezione della sfera privatadegli utenti, come ad esempio, quelli usati per finalità di profilazione emarketing  non possono essere installati sui terminali degli utenti stessise questi non siano stati prima adeguatamente informati e non abbiano prestatoal riguardo un valido consenso.

4. Quali caratteristiche deve avere l'informativaagli utenti?
Come si è detto, l'archiviazione di cookie sui terminalidegli utenti deve essere preliminarmente portata a conoscenza degli stessimediante una chiara informativa, resa con le modalità semplificate di cuiall'art. 13, comma 3 del Codice. Ciò vale a prescindere dalla necessità diottenere il consenso degli utenti o dei contraenti (vedi punto precedente).

Alriguardo, il nuovo art. 122, comma 1, stabilisce che il Garante, ai fini delladeterminazione delle suindicate modalità semplificate, "tiene ancheconto delle proposte formulate dalle associazioni maggiormente rappresentativea livello nazionale dei consumatori e delle categorie economiche coinvolte,anche allo scopo di garantire l'utilizzo di metodologie che assicurinol'effettiva consapevolezza del contraente o dell'utente".

L'Autorità,quindi, oltre a predisporre le presenti FAQ, ha avviato una consultazionepubblica diretta ai consumatori e ai principali operatori del settore, proprioal fine di acquisirne le proposte e individuare idonee modalità per informaregli utenti con messaggi che siano al tempo stesso chiari e snelli. Pur se resacon modalità semplificate, infatti, l'informativa deve indicare chiaramentequali sono le finalità perseguite mediante il ricorso ai cookie.

Atitolo esemplificativo, la finalità consistente nel creare profili degli utential fine di inviare loro messaggi pubblicitari mirati, non potrà essere indicatanell'informativa  con il riferimento alla mera finalità pubblicitariadell'uso dei cookie, ma occorrerà specificare che gli stessi consentiranno algestore del sito di realizzare appunto una profilazione finalizzata allasuccessiva attività di direct marketing.

5. Come si esprime il consenso preventivo all'usodei cookie?Nell'otticadella semplificazione va letta anche la disposizione secondo la quale, ai finidell'espressione del consenso dell'utente all'uso dei cookie, possono essereutilizzate "specifiche configurazioni di programmi informatici o didispositivi che siano di facile e chiara utilizzabilità per il contraente ol'utente".

L'ideaè di ricorrere a tali strumenti per permettere agli operatori di acquisire inmaniera snella dall'utente il consenso all'uso dei cookie, che però, per poteressere valido, deve avere tutte le caratteristiche previste dalla legge. Deve,cioè, risultare in ogni caso specifico, libero ed espresso, come previstodall'art. 23 del Codice. Anche la direttiva 2009/136/CE, del resto, nel prevedere il ricorso a formealternative di manifestazione del consenso dell'utente, specifica che le stessedebbano essere comunque conformi alle pertinenti disposizioni della direttiva 95/46/CE.

Inprimo luogo, dunque, l'uso di qualunque strumento al fine di acquisire ilconsenso dell'utente all'installazione di cookie dovrebbe essere preceduto daun'idonea informativa, in modo tale da permettere all'utente di scegliere qualicookie accettare e per quali finalità.

Glistrumenti ai quali fa riferimento la previsione sopra richiamata sono, allostato, diversi e non è escluso che, anche in poco tempo, la creativitàdell'industria pubblicitaria e degli operatori della rete ne sviluppino dinuovi.

Atitolo esemplificativo, si richiamano:

€ leimpostazioni presenti nei comuni browser, che consentono o meno lamemorizzazione dei cookie nei terminali usati per la navigazione in Internet eche di norma permettono anche di impostare le regole dei cookie in modo che nonvengano accettati quelli di "terze parti". Alcuni consentono anche dibloccare i cookie di alcune terze parti e non di altre, tramite una funzioneche permette di indicare da quali domini consentire l'invio di cookie;

€ glispecifici programmi che possono essere aggiunti al browser (c.d. plug-in),che specializzano le funzioni comunemente rese disponibili dai software per lanavigazione e che possono essere configurati dall'utente per effettuare unaselezione dei cookie sulla base dei domini di provenienza;

€ il c.d."do not track", che consente all'utente di segnalare a ciascunsito visitato la sua volontà di essere o meno tracciato nel corso dellanavigazione. Questa modalità tecnica è ancora oggi in fase di discussioneall'interno degli organismi di standardizzazione internazionali; inizia adessere resa disponibile su alcuni browser di ultima generazione, ma, nonessendo per l'appunto standardizzata, non vi è la certezza che i segnali cheattraverso tale funzionalità l'utente invia ai server siano da questieffettivamente "ascoltati".

6. Chi è tenuto a informare gli utenti e adacquisirne il consenso?
L'obbligo di informare l'utente sull'uso deicookie e di acquisirne il preventivo consenso incombe sul gestore del sito cheli usa, in qualità di titolare del trattamento.

Nelcaso in cui un sito consenta la trasmissione anche di cookie di "terzeparti" (v. punto 1), l'informativa e l'acquisizione del consenso sono dinorma a carico del terzo. È necessario che l'utente venga adeguatamenteinformato, seppur con le modalità semplificate previste dalla legge, nelmomento in cui accede al sito che consente la memorizzazione dei cookie terzeparti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque,prima che i cookie vengano scaricati sul suo terminale.

Nonè escluso che, anche sulla base di accordi con i siti terze parti,l'informativa fornita agli utenti dal sito "prima parte" contengaanche le informazioni sui cookie trasmessi automaticamente dalle terze parti.Anche in tal caso, l'informativa dovrà specificare la finalità dei cookieutilizzati e, quindi, indicare se gli stessi siano finalizzati a creare profilidegli utenti e a inviare loro pubblicità mirate ovvero a effettuare misure ditraffico per la valutazione delle prestazioni del sito.

Analogamente, non si può escludere che anche il consenso vengaacquisito dalle terze parti per il tramite del sito "prima parte".Occorre tenere presente, infatti, che la richiesta del consenso dell'utentedeve essere fatta in stretta relazione all'informativa resa allo stesso, inmodo tale da consentirgli di fare scelte realmente consapevoli. Sarà, poi, curadei diversi gestori coinvolti disciplinare i propri rispettivi ruoli  conparticolare riguardo ai rapporti tra titolare e responsabile del trattamentoconformemente alla normativa in materia di protezione dei dati personali.