Con il provvedimento dell’Autorità Garante per la protezione dei dati personali dell’8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, entrato in vigore a partire dal 2 giugno 2015, sono state individuate le modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie nei siti web.
All’indomani dell’entrata in vigore del provvedimento, nella quasi totalità dei siti web che popolano la rete, in primo piano e all’apertura dell’homepage, sono apparsi dei banner contenenti le più svariate indicazioni e informative sui cookies. Il tutto, spesso, senza prestare la giusta attenzione a quelle che erano le indicazioni del provvedimento e le utili informazioni reperibili dal sito del Garante.
Infatti, non sempre è necessario inserire il banner all’apertura del sito web. Ma cosa è e quando è necessario inserirlo?
Il banner è la soluzione che il Garante ha individuato per fornire l’informativa cosiddetta “semplificata” in adempimento a quanto disposto dall’art. 122 del Codice Privacy, in base al quale “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3”.
I cookies rappresentano delle stringhe di testo di piccole dimensioni che i siti web inviano al terminale dell’utente, in cui sono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Il Garante ha individuato due diverse tipologie di cookie: quelli tecnici, ovvero quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”; di questa categoria fanno parte anche i cookie di navigazione o di sessione, i cookie di funzionalità e, infine, in quanto soggetti alla medesima disciplina, i cookie analytics, utilizzati per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso. L’altra tipologia è rappresentata dai cookie di profilazione, volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
Dinnanzi al forte impatto normativo del provvedimento, che di fatto coinvolge chiunque abbia un sito internet, e alla necessità di consentire agli utenti di esprimere scelte consapevoli sull’installazione dei cookie senza pregiudicare la fruibilità e la navigazione degli stessi siti web, il Garante ha ritenuto di impostare l’informativa su due livelli di approfondimento. Il primo è rappresentato dall’informativa “breve” contenuta nel banner, integrata da un’ulteriore informativa “estesa” raggiungibile attraverso un link.
Il banner deve contenere le indicazioni minime previste dal provvedimento (cfr. p. 4.1) e deve essere di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando. In altre parole, all’accesso nell’homepage o in qualunque altra pagina del sito web, l’utente deve potersi accorgere della presenza del banner, per posizione, dimensione o colori utilizzati.
L’inevitabile quanto necessaria invasività dell’informativa, impone un’attenta valutazione da parte dei titolari di siti web in merito alla necessità o meno di fornire l’informativa con tali modalità. Un utilizzo improprio del banner, infatti, potrebbe determinare una scarsa fruibilità e un difficile accesso al sito web, con potenziali conseguenze anche sul piano economico, laddove il sito web sia anche una vetrina per le inserzioni pubblicitarie contenute.
Proprio per limitare queste conseguenze, il Garante Privacy ha esteso l’obbligo del banner ai soli siti web che effettuano attività di profilazione sia attraverso il proprio sito che attraverso l’uso di cookies di terze parti. Restano perciò esclusi dall’ambito di applicazione dell’obbligo dell’informativa breve (contenuta nel banner) tutti i siti web che utilizzano solamente cookie tecnici o analitici (anche quando appartengono a terze parti, se sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone).
Tuttavia, tutti i siti web che utilizzano i cookie sono tenuti a fornire l’informativa “estesa”, che deve contenere tutti gli elementi previsti dall’art. 13 del Codice e deve essere raggiungibile da qualunque pagina del sito web mediante un link posto in calce alla stessa.
- La protezione dei dati personali nelle attività di marketing: brevi riflessioni sul provvedimento del Garante nei confronti della società Tim S.p.A. - 10 Febbraio 2020
- Il decreto di recepimento della Direttiva UE in materia di trattamento dei dati personali da parte delle autorità competenti in ambito penale - 4 Giugno 2018
- La valutazione di impatto sulla protezione dei dati - 12 Maggio 2018