Pubbl. Lun, 15 Giu 2015
Al via la nuova “Cookie Law”: uno sguardo alle nuove regole in materia di e-privacy tra tutela della riservatezza e efficienza della rete.
Modifica paginaLo scorso 3 giugno è finalmente entrata in vigore la nuova “Cookie Law”, la normativa italiana sull’utilizzazione dei cookies sui siti web, emanata dal Garante della Privacy in recepimento della direttiva 2009/136/CE. Quali sono le novità? Quali i nuovi obblighi per i gestori delle pagine web? E soprattutto, quali gli interessi in gioco?
Perché si chiamino “cookies" – letteralmente “biscotti” – pare non sia dato saperlo. Ciò che è certo, invece, è che i cosiddetti “dolcetti del web” sono oggi protagonisti di un’incisiva opera di adeguamento della normativa interna alla legislazione comunitaria, realizzata dal Garante della Privacy attraverso il Provvedimento 229/2014, dal titolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookies”.
Al fine di cogliere appieno il significato dell’intervento legislativo in esame, è opportuno, in via preliminare, chiarire cosa deve intendersi per cookies e quali sono i profili di criticità legati alla loro utilizzazione.
Si tratta, in estrema sintesi, di piccoli file di testo che, al momento dell’accesso dell’utente ad un sito web, vengono inoltrati dal sito visitato al browser dell’utente, per poi essere nuovamente trasmessi ai medesimi siti alla successiva visita da parte dello stesso utente.
A seconda della funzione in concreto svolta, si suole distinguere tra cookies tecnici e cookies di profilazione, classificazione che – come si vedrà più diffusamente in seguito – assume valenza decisiva ai fini dell’applicazione della nuova normativa.
Difatti, mentre i c.d. cookies tecnici hanno come unica finalità quella di assicurare il normale funzionamento del sito web, - ad esempio evitando che lo user, riaccedendo al medesimo sito già visitato, debba inserire nuovamente le proprie credenziali - quelli di profilazione non si limitano ad assolvere ad una funzione meramente tecnica, ma servono a delineare un profilo dei gusti e delle preferenze commerciali dell’utente .
Più precisamente, l’invio di tali cookies, attraverso la creazione di una sorta di impronta digitale elettronica dei movimenti online del consumatore, consente alle aziende – advertisers – di orientare in modo strategico la propria attività pubblicitaria, proponendo in via sistematica allo user messaggi pubblicitari e banner inerenti ai suoi settori d’interesse.
Ebbene, è agevole comprendere come tale meccanismo di “spionaggio virtuale”, se da un lato avvantaggia le imprese, permettendo una remunerativa customizzazione dell’offerta commerciale, dall’altro pone rilevanti problemi in termini di tutela della riservatezza degli utenti.
E’ evidente, difatti, come la profilazione delle preferenze dei consumatori passi necessariamente per un invasivo monitoraggio delle loro attività online, che vengono in questo modo costantemente tracciate e memorizzate, in una prospettiva di strategico behavioral advertising.
A tale categoria di cookies – si rileva - fa espresso riferimento l’art. 122 del d.lgs 196/2003 –richiamato dal Provvedimento del Garante – a mente del quale “l’archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato (…)”.
Come è agevole intuire, il rischio di vulnerazione della privacy degli utenti è tipicamente connesso ai cookies di profilazione, ed è ad pertanto su di essi che si è prevalentemente focalizzato l’intervento riformatore del legislatore comunitario, prima, e di quello nazionale, dopo.
In particolare, tra i punti cardine della direttiva 2009/136/CE – già parzialmente recepita nel 2012 - vi è il passaggio da un sistema di opt-out ad uno di opt-in.
Se prima, difatti, il meccanismo si basava sulla manifestazione di un dissenso ex post da parte dell’utente all’utilizzo dei cookies –il quale poteva successivamente disabilitarli - , oggi il sistema risulta invertito, in quanto l’archiviazione dei cookies sul computer dello user è subordinata alla preventiva prestazione di consenso da parte di quest’ultimo.
Tale consenso, in forza di quanto oggi precisato dal Provvedimento 229/14 del Garante, per essere valido, deve essere prestato dall’utente dopo essere stato adeguatamente informato ai sensi dell’art. 13 del Codice della Privacy.
A tal fine – onde rendere il più possibile effettiva la consapevolezza dell’utente a fronte del trattamento dei dati - la “Cookie Law” prescrive ai gestori dei siti web uno stringente obbligo di informativa, strutturato su due livelli.
La prima tipologia di informativa – c.d. informativa breve – deve essere visualizzata dall’utente non appena accede alla pagina web - tramite banner o pop- up – e deve segnalare all’utente la presenza di cookies di profilazione , specificandone la natura e le finalità di utilizzo.
Deve altresì informare lo user che nella informativa estesa è offerta la possibilità di negare il consenso all’utilizzo di qualunque cookie - oltre ad includere il relativo link – e precisare che la prosecuzione nella navigazione del sito implica la prestazione di consenso all’impiego dei cookies.
Quanto alla seconda tipologia, questa deve fornire informazioni sulla privacy policy utilizzata, sulla natura e la funzione dei cookies tecnici e sulle modalità per selezionare o deselezionare gli stessi.
Sull’editore che utilizzi cookies di profilazione, incombe altresì l’onere di segnalare all’utente – qualora sia il caso - che il sito consente l’invio dei c.d. third party cookies, ovvero di cookies installati sul sito dell’utente da parte di soggetti diversi dal gestore della pagina visitata, per il tramite di quest’ultimo.
A tal riguardo, è opportuno segnalare come uno dei profili di maggiore criticità individuati dal Garante nel provvedimento 229/14 attenga proprio alla definizione del regime di ripartizione degli obblighi di informativa e acquisizione del consenso tra l’editore e il terzo.
La soluzione finalmente individuata è, difatti, il risultato del difficile contemperamento tra due confliggenti esigenze: da un lato, quella di distinguere la responsabilità dell’editore da quella del terzo; dall’altro, quella di garantire la continuità della navigazione e la qualità e intellegibilità dell’informativa.
In forza di quanto disposto dal Provvedimento, il gestore del sito web, operando come intermediario tecnico tra gli utenti e le terze parti, è obbligato ad acquisire da queste ultime i link alle pagine web e i moduli per il consenso preventivo all’utilizzo dei cookies già in sede di stipulazione del contratto, per poi fornire l’informativa e acquisire il consenso degli users per conto del terzo.
In questo modo, si evita il rallentamento e l’appesantimento della navigazione e, soprattutto, si agevola l’utente nella ricezione e comprensione dell’informativa.
Per quanto concerne l’acquisizione del consenso, è opportuno precisare che lo stesso è richiesto unicamente per l’installazione di cookies di profilazione, e non anche per quelli tecnici, per i quali – attesa la loro scarsa invasività sul piano della privacy - è sufficiente fornire l’informativa di cui all’art. 13 del Codice.
E’ altresì disposto che l’avvenuta prestazione di consenso da parte dello user debba essere registrato e tracciato dall’editore, eventualmente anche avvalendosi di un cookie tecnico ad hoc.
Ultimo obbligo posto in capo al gestore della pagina è quello di provvedere alla notificazione dell’utilizzo dei cookies – esclusivamente se di profilazione – al Garante della Privacy, così come disposto dall’art. 37 del Codice, il quale circoscrive l’obbligo di notifica ai “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica.”
Una normativa rigorosa, dettagliata, e per questo guardata con diffidenza da un elevato numero di imprese, le quali tentano di richiamare l’attenzione sull’inevitabile, negativa ricaduta economica della riforma.
In particolare, si è evidenziato come l’introduzione di così stringenti doveri di informativa preventiva e acquisizione del consenso, ostacolando la profilazione del cliente e la creazione di campagne pubblicitarie mirate, possa avere un effetto fortemente depressivo sulle aziende.
Indubbiamente, non può negarsi che la nuova “Cookie Law” - sebbene concepita in un’ottica di equilibrato contemperamento degli interessi coinvolti – possa in qualche misura determinare una contrazione degli introiti, gran parte dei quali strettamente collegati all’utilizzo dei dati personali degli utenti.
Tuttavia, è altrettanto evidente che l’interesse prevalente, e pertanto maggiormente meritevole di tutela, sia qui rappresentato dalla protezione della riservatezza degli users e, soprattutto, dall’incremento del livello di consapevolezza degli stessi in sede di navigazione.
Come agevolmente desumibile dalla lettera del Provvedimento 229/14, la ratio della norma non è – difatti - quella di inibire l’utilizzo dei cookies, bensì quello di garantire che l’impiego dei dati degli utenti, specialmente se finalizzato a scopi di pubblicità comportamentale, sia consapevolmente percepito dagli stessi, ovvero che i clienti non siano passivamente “saccheggiati” dei propri dati personali, ma acconsentano scientemente alla loro utilizzazione.
D’altronde, il principio del consenso preventivo al trattamento dei dati costituisce il cardine su cui si fonda l’intera disciplina del Codice. E conserva intatta la sua vincolatività sia in ambiente reale che in quello virtuale.