Il Garante per la privacy ha ricevuto numerose richieste di chiarimento, provenienti in particolare dai piccoli gestori, concernenti alcuni punti del provvedimento in materia di cookie dell’8 maggio 2014. Il Garante ha quindi fornito delucidazioni nel provvedimento pubblicato il 5 giugno 2015
Ambito di applicazione
Resta fermo che i siti che non consentono l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate, e che quindi non utilizzano cookie, non sono soggetti agli obblighi previsti dalla normativa. Per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee
Utilizzo di cookie analitici di terze parti
I cookie analitici – che servono a monitorare l’uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi).
L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non «arricchirli» o a non «incrociarli» con altre informazioni di cui esse dispongano.
Uso di piattaforme che installano cookie
Spesso è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets. Il Garante ha indicato il termine di 12 mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi.
Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte
Sulla responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini «terze parti», si conferma che tali soggetti rispetto all’installazione di tali cookie svolgono un ruolo di mero intermediario tecnico. Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.
Modalità di acquisizione
del consenso
Come noto, nel Provvedimento è stato stabilito che «la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie»
Soluzioni per l’acquisizione del consenso basate su «scroll», ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.
Applicazione della normativa italiana anche a siti che hanno sede in Paesi extra EU
In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento «strumenti situati sul territorio dello Stato».
In particolare
- I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
- Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
- I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
- Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
- Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
- Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
- È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
- Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.