L’attuazione della direttiva cookies: l’introduzione dell’obbligo di acquisire il consenso informato degli utenti.

Pubblicato il 10 luglio 2012 da Avv. Cristina Vicarelli

Il decreto legislativo 69/2012, pubblicato in Gazzetta Ufficiale il 31 maggio scorso, ha apportato significative modifiche in tema di privacy, tra le quali, in attuazione della direttiva 2009/136 CE, una diversa formulazione dell’art. 122 D. Lgs 196/2003.

La nuova versione dell’articolo, che si inserisce nell’ambito del titolo X del Codice della Privacy, che disciplina le comunicazioni elettroniche, ora recita: “122. Informazioni raccolte nei riguardi dell’abbonato o dell’utente.

1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.”

Per comprendere la portata della modifica, astrattamente idonea ad incidere, anche profondamente, sia sul web marketing che sulle nostre abitudini di navigazione, occorre ricordare che buona parte di quest’ultima avviene utilizzando delle piccole stringhe di testo, che consentono al nostro terminale di comunicare con i siti che visitiamo. Si tratta dei “cookies”, i “biscottini”, o, piuttosto, le briciole che tracciano il sentiero delle nostre peregrinazioni on line, attraverso cui è possibile seguire i nostri percorsi, ricordare le nostre impostazioni preferenziali, le pagine visitate, i prodotti acquistati o inseriti nei nostri carrelli virtuali. Attraverso queste piccole stringhe di testo che vengono inviate da un server ad un web client e poi rimandate indietro dal client al server, è possibile memorizzare molteplici informazioni riferite all’utente; esse hanno, pertanto, una notevole importanza nelle attività economiche che si svolgono sul web. Attraverso i cookies, infatti, è anche possibile profilare i navigatori, in modo da potergli inviare messaggi promozionali tarati sulle proprie caratteristiche e rispondenti alle loro esigenze e preferenze. Si tratta di una modalità di profilazione per certi versi estremamente invasiva, dal momento che la stringa di testo risiede nel terminale dell’utente, e questi  può conservarla anche una volta che ha lasciato il sito che gliel’ha inoculata. Tuttavia è anche un sistema che consente enormi agevolazioni nella navigazione, la facilita (si pensi al login automatico) e ne riduce i tempi. I cookies, per certi versi, sono la memoria individuale della rete,  ed hanno enorme importanza strategica nel web marketing: spesso, proprio per la precisione con cui consentono di analizzare le nostre preferenze ci permettono (indirettamente) di poter usufruire gratuitamente di servizi che si finanziano attraverso la vendita di pubblicità mirata e che, diversamente, avrebbero ben altri costi.

Certo, non tutti i cookies sono uguali e non tutti sono così invasivi. E non tutti sono finalizzati alla profilazione degli utenti: spesso ne memorizzano le preferenze solo per rendere più agevole al navigatore usufruire del servizio on line prescelto.

Una importante distinzione da fare è quella tra cookies temporanei e cookies permanenti. I primi detti anche “di sessione” vengono rimossi dal computer dopo la chiusura del browser. Sono usati per archiviare informazioni temporanee, ad esempio gli articoli presenti nel carrelli virtuali.

I cookies permanenti, invece, restano archiviati nel terminale anche dopo la chiusura del browser. Sono usati per salvare informazioni come nome utente e password, per evitare che l’utente debba inserirli ogni volta che effettua il login in un determinato sito. Possono persistere per giorni, mesi, od anni.

Inoltre occorre ricordare che non tutti i cookies dipendono direttamente dal sito visualizzato. Esistono anche i cookies di terze parti, che derivano da annunci di altri siti, ad esempio popup o banner, presenti nel sito stesso. Questi in genere sono utilizzati a scopo di marketing.

Tanto premesso, occorre anche ricordare che prima che intervenisse la richiamata modifica il sistema era improntato a meccanismi di opt out. L’utente, cioè, doveva essere informato dell’utilizzo dei cookies da parte del sito, ma era libero di non accettarli, anche disabilitando le relative impostazioni del browser. Il sito era obbligato, pertanto, a fornire idonea informativa e a consentire l’opt out. Ora invece, si prevede un sistema con acquisizione preventiva del consenso informato (opt in). Pertanto i cookies potranno essere utilizzati solo previa acquisizione del consenso del navigatore. L’informativa che precede il consenso potrà essere resa con modalità semplificate, che dovranno essere individuate dall’Autorità Garante. L’espressione del consenso (che la regola generale vuole sia documentato per iscritto) può essere semplificata ed avvenire anche attraverso la configurazione di programmi, come a esempio, apposite configurazioni del browser. Lo scopo però, e qui occorre fare attenzione, è facilitare l’utente, non consentire forme di consenso implicito.

Occorrerà pertanto approntare accorgimenti tecnici che permettano l’espressione del consenso informato (che dovrà essere validamente manifestato e non desunto da un comportamento concludente) e la sua registrazione ai fini probatori.

Inoltre occorre notare che la norma parla inequivocabilmente di “archiviazione di informazioni”. Essa pertanto non si applicherà ai cookies temporanei o “di sessione”, che non vengono archiviati sul terminale dell’utente. Agli stessi, verosimilmente, continuerà ad applicarsi il previgente sistema di opt out.

Per quanto riguarda i cookies permanenti, si ricorda che essi, comunque, non potranno, in virtù del consenso, persistere sine die sul terminale dell’utente: dovranno essere cancellati una volta che sia spirato il periodo di tempo  “necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati“ (cfr art 11 D. lgs 196/2003).

Inoltre è prevista un’eccezione: senza consenso è possibile accedere alle sole informazioni già archiviate per necessità tecniche finalizzate unicamente ad effettuare la trasmissione o ad erogare un servizio richiesto dal contraente o dall’utente. Il che significa, ad esempio, che i siti di e-commerce potranno continuare ad utilizzare i cookies senza consenso per gestire i carrelli virtuali.

Il sistema delineato dal legislatore, appare, prima facie, al lettore disattento, sprovvisto di idonee sanzioni, dato che l’articolo non le include. Il fatto che la norma non preveda sanzioni specifiche, tuttavia, non significa che il sistema punitivo già delineato dal codice non sia applicabile. Se infatti non si acquisisce il consenso dell’utente si attua un trattamento senza consenso, previsto e punito dall’articolo 167 (norma penale) del Codice Privacy (oltre la sanzione amministrativa di cui all’art. 162), così come è già prevista una sanzione per l’omessa e inidonea informativa (art 161 D. Lgs 196/2003).

E’ intuitivo che il meccanismo si presta a criticità, rallentando la navigazione e rischiando di compromettere sia le abitudini degli utenti, sia lo sviluppo de mercato. Occorrerà, come sempre, trovare un ragionevole e congruo punto d’incontro tra le contrapposte esigenze: riservatezza dell’utente da una parte e attività economiche dall’altra. Salvaguardando, questa volta, anche la peculiarità del mezzo e le abitudini di navigazione ormai acquisite, che impongono collegamenti sempre più rapidi.

Internet, infatti, con la sua immediatezza sconvolge il senso del tempo degli utenti, e un minuto scandisce l’intervallo di un’eternità.

Se da una parte, pertanto, si impone la necessità di impedire che le pagine siano caricate se il consenso non è prestato, dall’altra, frustrare le aspettative dell’utente e costringerlo a leggere verbose e complesse informative farà sì che l’utente stesso viva la salvaguardia della propria riservatezza come un’immane seccatura, e si appresti a consentire distrattamente anche la più invasiva delle profilazioni, pur di raggiungere tempestivamente il contenuto che gli interessa.

Sono fondamentali, quindi, gli accorgimenti tecnici che verranno individuati. Solo un utente efficacemente informato, infatti, sarà consapevole delle ingerenze nella propria sfera di riservatezza connesse ala navigazione in determinati siti e potrà efficacemente opporsi a trattamenti che non ritiene confacenti, o revocare il consenso prestato.

Senza eccessivamente penalizzare, nelle modalità di acquisizione del consenso, soprattutto le attività legate al web marketing, non solo per tutelare i rientri economici degli operatori del settore, ma anche per consentire, come già accennato, che la pubblicità continui a finanziare molti dei servizi gratuiti, ormai indispensabili, di cui gli utenti normalmente usufruiscono (si pensi ai motori di ricerca).