Privacy e Cookie: la guida completa

Avete fatto caso che ogni volta che cercate on-line l’ultimo modello di televisore ultrapiatto subito dopo vi vengono formulate mille offerte relative a quel bene??

Tutto ciò è possibile grazie ai cookies, che non sono dei “biscotti” ma file di testo di dimensione molto piccola che vengono creati e memorizzati sul computer (ma anche sul tablet, smartphone, ecc…) dell’utente nel momento stesso in cui egli, utilizzando un browser, accede ad internet e “visita” dei siti, permettono al dispositivo usato ed al sito in quel momento visitato di “comunicare” e scambiare informazioni.

Nel corso di successivi collegamenti, i cookie memorizzati sui dispositivi elettronici vengono ritrasmessi agli stessi siti. In tal modo è consentito il funzionamento del sito in maniera ottimale e le preferenze indicate dall’utente nel primo accesso vengono ricordate e riproposte dal sito per facilitare la navigazione dell’utente in base a delle sue prerogative e preferenze.

Di per sè i cookie non sono “dannosi” per gli utenti di internet, ma diventano invasivi della nostra sfera privata quando sono utilizzati per tracciare i profili o le personalità degli utenti, indicizzare le preferenze, gusti o memorizzare le navigazioni.

Con il provvedimento “Individuazionedelle modalità semplificate per l'informativa e l'acquisizione del consenso perl'uso dei cookie - 8 maggio 2014” il Garante Privacy ha fornito delle indicazioni per essere a norma relativamente all’ utilizzo e gestione dei cookie.

Esistono vari tipi di cookie e possono essere divisi in varie categorie, prendendone  in considerazione provenienza, tipo di utilizzo, finalità e “ciclo di vita” ed evidenziando due macro-categorie: cookie di prime o terze parti / tecnici o di profilazione:

I cookie tecnici sono quelli necessari per il corretto utilizzo del sito web e senza i quali il funzionamento sarebbe complesso se non addirittura impossibile, garantiscono la corretta e rapida navigazione all’interno del sito, sono indicati come cookie “di navigazione”. Ne sono esempi i cookie che permettono l’autenticazione e l’accesso alle aree riservate dei siti così come quelli che consentono di orientare la navigazione attraverso scelte e criteri preselezionati dall’utente, come nel caso della scelta della lingua, conosciuti come cookie di “funzionalità”. Per l’installazione dei cookie tecnici non è richiesto alcun preventivo consenso degli utenti. Sussiste unicamente l’obbligo di segnalarli nell’informativa ai sensi degli artt. 13 e 122 del Codice della Privacy.

Inoltre il gestore potrà adempiere all’obbligo dell’informativa con le modalità per esso più idonee e quindi senza la menzione della loro presenza in un banner ad hoc visualizzabile al primo accesso al sito.

I cookie analytics hanno uno scopo statistico e servono a raccogliere informazioni - in modo anonimo ed aggregato - sul numero di visitatori del sito web, sui percorsi maggiormente utilizzati,   su quali pagine del sito gli utenti si fermano più di frequente, il tutto per finalità di ottimizzazione del sito stesso. I cookie analytics sono assimilati ai cookie tecnici se realizzati ed utilizzati direttamente dal gestore del sito (c.d. analitici di prime parti) e se la raccolta tramite essi delle informazioni a scopo statistico avvenga adottando tutti i meccanismi necessari a mantenere l’anonimato del profilo e dell’identità del visitatore. Anche per essi l’unico adempimento da effettuare è la loro segnalazione nell’informativa estesa.

È possibile che i cookie analytics siano di provenienza di terze parti. Varranno le stesse previsioni degli analitici di prime parti per il gestore del sito se egli adotta strumenti che riducano il potere identificativo dei cookie (oscuramento di parte dell’indirizzo IP del dispositivo usato dall’utente) e se sussistono vincoli contrattuali tra lo stesso e le terze parti “fornitrici”, in base ai quali le terze parti si obblighino a conservare i dati raccolti in modo anonimo e separato ed a non incrociare le informazioni raccolte con altre di cui già dispone. Anche in questo caso l’unico adempimento imposto al gestore del sito consiste nel segnalare la loro presenza nell’informativa del sito e nell’inserire il link della informativa del sito terzo. È sempre prevista nell’informativa del sito visualizzato la possibilità per l’utente di scegliere quali cookie disattivare.

I cookie analytics di terze parti, se non assistiti dai due precedenti vincoli, rientrano nella categoria dei cookie di “profilazione” che sono quelli che vengono utilizzati per acquisire informazioni sull’utenza, monitorare la navigazione, raccogliere dati su gusti ed abitudini ovvero “tracciare il profilo” dell’utente per scopi pubblicitari e di marketing, ma a volte ancor più invasivi con chiara violazione, in assenza di informativa e consenso, del diritto di privacy dell’ utente - consumatore.

Per questo tipo di cookie è necessario ed obbligatorio non solo farne menzione nella informativa, ma anche ottenere un esplicito consenso da parte dell’utente ed effettuare la notificazione del trattamento al Garante della privacy ai sensi dell’art. 37 comma 1 lettera d del Codice della privacy. Per i cookie analytics di terze parti, attesa la sussistenza dei primi due obblighi, non è prevista la notificazione al Garante poiché è essa a carico del soggetto terza parte che svolge l’attività di profilazione.

Al fine di semplificare l’onere informativo è stato previsto un meccanismo di doppio livello di informativa, nel quale il secondo grado serve ad approfondire il primo:

    Questo è tutto ciò che c'è da sapere relativamente alla gestione dei cookie, ma per avere un sito compliance dal punto di vista privacy cosa serve?? lo vedremo nel nostro prossimo articolo

    1) Il primo è costituito dalla informativa “breve” che compare in un banner al primo collegamento al sito. In questo banner è però presente anche un link di collegamento al secondo livello dell’informativa “estesa” e dettagliata. Nel banner è essenziale non soltanto dare notizia dell’utilizzo di cookie di profilazione e della presenza di cookie di terze parti  ma anche suggerire all’utente di acquisire informazioni più dettagliate e chiarimenti cliccando sul link della informativa estesa, di scegliere quali cookie autorizzare e quali negare.

    È inoltre necessario inserire la richiesta di consenso all’uso dei suddetti cookie ed indicare con estrema chiarezza che la prosecuzione della navigazione  - mediante la selezione di elementi del sito, l’accesso ad altra area o semplicemente lo scroll nella homepage - comporta automaticamente la prestazione del proprio consenso all’uso di cookie.

    2) Nell’informativa estesa, raggiungibile cliccando sul link inserito nel banner e in un’area del sito facilmente accessibile durante la navigazione, devono essere descritti in maniera specifica ed analitica le caratteristiche e le finalità dei cookie installati dal sito, indicando chiaramente non solo quali cookie di prima parte (tecnici – analytics – di profilazione) vengono usati nonché il loro periodo di scadenza ma soprattutto quali siano i cookie di terze parti anche di profilazione memorizzati sul dispositivo usato dall’utente. Deve inoltre essere consentito all’utente di poter selezionare quali cookie bloccare e reperire le cookie policy ed i moduli di consenso dei siti di terze parti con i quali il gestore ha stipulato un accordo per l’installazione e memorizzazione dei cookie, cliccando sull’apposito link aggiornato.

    L’utente deve essere informato anche della possibilità di gestire e scegliere quali cookie bloccare e quali consentire attraverso le impostazioni del proprio browser, prendendo chiara visione della procedura da seguire a seconda del browser scelto. L’utente può impedire la memorizzazione dei cookie navigando mediante la modalità in incognito.È infine necessario indicare nella informativa estesa tutti i diritti a disposizione dell’utente, mediante gli opportuni e specifici richiami agli articoli del codice delle Privacy nonché informare esplicitamente l’interessato della possibilità di poter far valere in ogni momento tali diritti.

    Questa è tutto ciò che c'è da sapere relativamente alla gestione dei cookie, ma per avere un sito compliance dal punto di vista privacy cosa serve? Lo vedremo nel nostro prossimo articolo!