Home » Blog » Cookies: quando é necessario acquisire il consenso informato.

  • Cookies: quando é necessario acquisire il consenso informato.

    Pubblicato il 22 dicembre 2012 da

    Le indicazioni di Gruppo dei Garanti Europei (Gruppo di Lavoro Articolo 29).cookie

    Nell’attuale stato di incertezza in ordine alla concreta attuazione del novellato art. 122 del D. Lgs 196/03, dovuto principalmente alla carenza di adeguate (ed obbligate) indicazioni da parte dell’Autoritá,un prezioso aiuto ermeneutico giunge dal Gruppo dei Garanti Europei, che, nel luglio del 2012, ha fornito delle linee guida non vincolanti, ma certamente autorevoli. Iniziamo col dire che non è la prima volta che il Gruppo dei Garanti affronta la materia, già analizzata, infatti, sia nel parere n. 2 del 2010, sia nel n. 16 del 2011, nonché nella raccomandazione n. 1/99.

    Innanzi tutto è bene precisare che il Gruppo dei Garanti ritiene preferibile l’adozione di un sistema di opt-in, e in tal senso sembrano deporre anche le modifiche apportate alla direttiva 2002/58/CE nel 2009, che attualmente recita “a condizione che l’abbonato o l’utente in questione abbia espresso il proprio consenso, dopo essere  stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento” mentre è stato eliminato l’inciso successivo che disponeva “e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento”.

    In particolare il gruppo di lavoro si è preoccupato, già nel 2010, di determinare le modalità di acquisizione del consenso per i cookie impiegati nella pubblicità comportamentale, evidenziando la necessità di informare chiaramente l’utente prima di acquisirne il consenso, che deve essere libero specifico ed espresso (anche attraverso le impostazioni del browser).

    I Garanti evidenziavano, nell’occasione, anche la necessità di limitare  la durata dei cookie traccianti, facilitando nel contempo l’utente nell’esercizio dei suoi diritti, come ad esempio ottenere l’accesso ai dati, consentendogli anche di revocare in ogni momento il consenso eventualmente prestato.

    In particolare il Gruppo dei Garanti illustrava come la pubblicità comportamentale implichi il trattamento di “identificatori unici”, mediante l’uso di cookie (ma anche attraverso qualsiasi altro tipo di dispositivo di identificazione). L’uso di tali identificatori unici consente di tracciare gli utenti di un dato computer anche quando gli indirizzi IP vengono cancellati o resi anonimi. In altre parole, questi identificatori unici permettono agli interessati di essere “distinti” ai fini del tracciamento del comportamento utente mentre navigano su vari siti web e sono quindi da considerarsi dati personali. Facendo comunque notare come l’articolo 5, paragrafo 3 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, come modificata nel 2009, sia comunque applicabile a prescindere dal fatto che l’informazione memorizzata o a cui si accede nell’apparecchiatura terminale dell’utente consista o meno in dati personali.

    Il Gruppo dei Garanti tornava sul tema nel 2011 (parere 16/2011) per specificare da un lato come non tutti i cookie fossero sottoposti alla disciplina del consenso informato, dall’altro per chiarire quali modalità fosse possibile impiegare per acquisire il consenso prima di iniziare ad utilizzare i cookie, cosa  che appariva difficoltosa per taluni aspetti tecnici (difficoltà mitigata, tuttavia, dalla specificazione dell’ambito di esenzione di cui si dirà meglio nel prosieguo).

    Laddove necessario, infatti, il consenso informato può essere acquisito con diverse modalità tra cui il Gruppo ha annoverato, a titolo esemplificativo e non esaustivo:

    - un banner informativo statico in cima alla pagina del sito in cui si richiede il consenso dell’utente per installare dei cookie, con un link verso la dichiarazione di riservatezza contenente una spiegazione più dettagliata dei vari responsabili del trattamento e delle relative finalità;

     

    - una schermata di caricamento (“splash screen”) al momento dell’entrata nel sito web che spieghi quali cookie saranno installati e da quali soggetti, se l’utente acconsente.

    - impostazioni predefinite del sito web che impediscano il trasferimento dei dati a soggetti esterni, per cui è necessario che l’utente clicchi per indicare il suo consenso ai fini del tracciamento.

    - impostazioni predefinite nei browser che impediscano la raccolta di dati comportamentali.

    Il Gruppo ha chiarito anche la portata del considerando 66 della direttiva e-privacy, che suggerisce di usare le impostazioni del browser come mezzo per ottenere il consenso, purché ciò sia “tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE”. Questa non è un’eccezione alla regola del consenso informato, ma piuttosto un richiamo al fatto che, in questo ambiente tecnologico, il consenso può essere dato in vari modi, laddove tecnicamente possibile. Tuttavia ciò significa che, per rispettare le condizioni poste dalla direttiva 95/46/CE, affinché i browser o qualunque altra applicazione siano in grado di fornire un consenso valido ed efficace, essi devono obbligare l’interessato ad attivarsi per accettare sia l’installazione di cookie sia la trasmissione continua delle informazioni in essi contenute da parte di determinati siti web. A tal fine si potrebbe immaginare che siano sviluppate, da parte delle reti pubblicitarie, delle specifiche applicazioni software (plug-in o estensioni del browser),che prima di installare lo specifico plug-in “pubblicità”, fornissero agli utenti le informazioni rilevanti sul trattamento dei dati. Si configurerebbe, quindi, anche in questo caso, un meccanismo di opt-in. Destinato a funzionare correttamente solo ove sia garantito che i cookie di terzi non vengano accettati per mero difetto nelle impostazioni del browser.

    E’ chiaro che, nel nostro ordinamento, laddove l’impiego dei cookie sia finalizzato alla profilazione degli utenti, non sarà sufficiente acquisirne il consenso informato ma sarà necessario assolvere anche gli obblighi di notificazione al Garante previsti per questo tipo di attività.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Articoli recenti

Archivi

Consulenza

Attività di consulenza e pareristica in ordine a questioni attinenti la materia della privacy in ambito aziendale.
Contattaci

Codice Privacy

Consulta il Testo Aggiornato del D. lgs. 196 del 2003 (Codice Privacy)
Consulta

Legge Privacy - Policy Privacy - Note Legali - Copyright IQUII Srl