L’applicazione della normativa europea sui cookie in Italia

Attraverso l'entrata in vigore a livello europeo del GDPR a maggio 2018 sono cambiate anche le norme in Italia. Anche se l’attuazione italiana del regolamento generale sulla protezione dei dati aspetta di vedere la luce ad agosto 2018. Ma non è l’unica procedura rimasta in stand-by, anche il nuovo regolamento sulla ePrivacy, il cui progetto è stato presentato ufficialmente dall'UE il 10 gennaio 2017, avrebbe dovuto diventare giuridicamente vincolante fin da subito mentre la realtà è un’altra. Attualmente il progetto si trova infatti ancora sotto esame del Parlamento europeo.

Il regolamento andrebbe a integrare in maniera dettagliata il GDPR, in particolare per quanto riguarda l'utilizzo dei cookie. Tuttavia non si prevede che diventi legge prima del maggio 2019, quando dovrebbe sostituire la direttiva UE sui cookie integrando i nuovi regolamenti. Qual è dunque lo stato attuale delle norme in vigore?

I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web sul computer dell’utente. Salvano i dati dell’utente durante la visita di un sito web e aumentano la sua usabilità, ad esempio memorizzano i vostri dati di login sul browser e le preferenze linguistiche, cosicché non dobbiate re-inserirle ogni volta. Di contro a questo aspetto positivo, c’è la critica che spesso i cookie non sono conciliabili con la protezione dei dati personali, visto che molti vengono inseriti per tracciare precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Soprattutto i cookie di tracciamento (tracking cookies) e quelli di targeting sono una vera spina nel fianco.

Un cookie contiene l’indicazione sulla sua durata di vita e un numero, generato in maniera casuale, attraverso il quale viene riconosciuto il vostro computer. Di regola, la memorizzazione dei dati dei cookie avviene in maniera anonima. I dati personali possono essere raccolti solo se si effettua un login sulla pagina e i dati contenuti in una stringa di testo possono essere interpretati solo dal server web, che ha posizionato il cookie.

Nell’Unione Europea la direttiva 2009/136/EG dovrebbe garantire e rafforzare la tutela dei dati personali dei visitatori di un sito web. Tale direttiva emanata nel 2009 avrebbe dovuto essere attuata al più tardi nel 2011 da tutti gli stati dell’Unione, ma questo non è accaduto.

La direttiva sui cookie prevede in sostanza che i visitatori di un sito web vengano informati sull’uso di cookie in una forma comprensibile e semplice e per la cui memorizzazione è necessario l’esplicito consenso degli utenti. Secondo la direttiva, i cookie possono essere inseriti senza chiedere il consenso, solo se sono necessari per motivi tecnici: quindi ad esempio per implementare un servizio desiderato dall’utente. Tra questi si contano i cookie di sessione per la memorizzazione delle preferenze linguistiche, quelli che salvano i dati di login e del carrello, oltre che i cookie Flash per la riproduzione dei contenuti multimediali.

Ma per l’uso della maggior parte dei cookie il gestore di un sito web ha bisogno del consenso dell’utente. Questo vale per tutti i cookie che non sono tecnicamente necessari per il funzionamento del sito inclusi quelli pubblicitari, che vengono usati per il retargeting, ma anche quelli analitici e di social media. La direttiva europea non stabilisce però chiaramente come questi vincoli siano da applicare. Soprattutto per quanto concerne il consenso del visitatore regna ancora una grande incertezza.

Il nuovo regolamento sulla ePrivacy è inteso a disciplinare questo aspetto una volta per tutte. L'attuale progetto vieta tutti i cookie tecnicamente non necessari a meno che gli utenti acconsentano in anticipo al loro utilizzo. La prima bozza parlava solo di applicazioni web. La versione del 22 marzo 2018 include tutti i tipi di comunicazione automatica, come app, e-mail e la raccolta di metadati per le chiamate VoIP. Questo vale anche per la comunicazione tra due macchine, la cosiddetta comunicazione M2M.

Il regolamento relativo alla privacy elettronica dovrebbe interessare anche i fornitori internazionali di servizi di comunicazione. Il regolamento stabilisce che le norme si applichino non appena un terminale si trova all'interno dei confini dell'UE. È irrilevante indicare il momento in cui il trattamento dei dati di un servizio controllato ha luogo.

Se si guarda oltreoceano, la tutela dei dati è meno rigida. Nel cosiddetto caso Irlanda un tribunale distrettuale statunitense ha voluto costringere Microsoft a rendere accessibili i dati relativi ai suoi clienti cittadini dell'UE presenti negli Stati Uniti. Siccome Microsoft ha la propria sede centrale a Redmond, nello stato di Washington, è soggetta alla legge ivi in vigore.

Tuttavia i dati dei clienti europei sono conservati e protetti in Germania da un’azienda affiliata di Deutsche Telekom, T-Systems. Poiché la legge americana si applica solo sul territorio americano, la sentenza è stata rinviata in primo grado. Ma il processo è ancora in corso. Resta da vedere in che misura la legislazione europea e quella americana continueranno a mettersi i bastoni tra le ruote a vicenda.

Poiché l'ambito di applicazione del regolamento sulla ePrivacy si applica non appena un dispositivo situato in Europa accede ai servizi di comunicazione, le aziende statunitensi dovranno valutare se localizzare all'Europa le proprie offerte relative ai cookie e quindi inserire pubblicità meno mirata o se azzardarsi a proporre ai clienti con un paywall.

Con la direttiva sui cookie l’Unione Europea intende proteggere maggiormente i dati personali degli utenti di Internet. A tal fine l’UE fa una distinzione tra cookie tecnici e cookie di profilazione:

1. Cookie tecnici: la memorizzazione indispensabile di dati avviene con quella tipologia di cookie assolutamente necessari per il funzionamento di un sito web. Si tratta di funzioni quali il salvataggio di dati di login, il carrello degli ordini e la selezione della lingua possibili grazie a cosiddetti cookie di sessione che vengono eliminati una volta chiuso il browser.
2. Cookie di profilazione: i cookie non necessariamente indispensabili sono quelli che non servono esclusivamente a far funzionare un sito web, ma che raccolgono anche altri dati. Tra questi ci sono:

• Cookie di rilevamento
• Cookie di profilazione
• Cookie di analisi
• Cookie di terze parti

Secondo la direttiva sui cookie i cookie necessari possono essere impostati fin dall’inizio, vale a dire anche senza previo consenso dell’utente. D’altro canto, però, i visitatori del sito web devono acconsentire che i cookie salvino dati non necessari. Pertanto la direttiva UE richiede una cosiddetta soluzione di opt-in per i cookie non necessari.

La principale differenza tra opt-out e opt-in è la seguente:

• opt-out: i cookie sono attivi fin dall’inizio e gli utenti hanno la possibilità di rifiutare il salvataggio dei propri dati solo in un secondo momento.
• opt-in: i cookie sono attivi solamente quando e se l’utente acconsente al salvataggio dei propri dati.

La prima bozza del regolamento ePrivacy prevedeva che le impostazioni del browser del produttore fossero generalmente impostate al massimo livello di riservatezza. Ciò significa che il browser non accetta cookie da terze parti. In questo modo verrebbero eliminati i banner di cookie attualmente molto diffusi, in quanto gli utenti dovrebbero decidere attivamente di accettare i cookie ogni volta che installano un software. Tale requisito si basava sul principio della "privacy by design" (tutela della privacy fin dalla progettazione) stabilito anche già nel GDPR. La nuova bozza emessa recentemente allenta invece le regole per le impostazioni del browser, lasciando agli utenti il compito di decidere dominio per dominio se accettare o meno i cookie.

Il divieto di abbinare più consensi stabilisce che la visita di un sito web non può essere subordinata all'accettazione da parte dell'utente dell'utilizzo dei cookie. Tuttavia vi sono anche scopi legittimi che possono richiedere l'uso di cookie. Ad esempio sono spesso necessari quando un utente deve autenticarsi con l'home banking o quando desidera utilizzare il carrello della spesa di un negozio online. Se i gestori del sito web informano gli utenti in modo chiaro e comprensibile circa lo scopo dei cookie, il consenso e l'uso possono essere combinati.

In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie. Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web. Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia ad una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengano utilizzati. Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.

In Italia, la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014, alcuni chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.

Nonostante le direttive restino confuse e non chiarite in via definitiva, la Commissione Europea si dice soddisfatta dalla politica italiana sull’uso dei cookie. Dal 2 giugno 2015 se un sito web italiano non si è adeguato alla EU Cookie Law può incorrere in sanzioni anche molto salate.

La soluzione più comune in Italia: il banner

In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito è l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina. Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero. Il banner deve contenere le seguenti informazioni:

• si informa l’utente che il sito web fa uso di cookie di profilazione, al fine di inviare messaggi pubblicitari personalizzati sulla base delle preferenze dell’utente;
• il link all’informativa estesa;
• si specifica che nell’informativa estesa si può negare il consenso all’uso di cookie;
• l’indicazione che proseguendo la navigazione si dà il consenso automatico all’uso dei cookie;
• si informa l’utente che i cookie vengono inviati anche a terze parti (qualora questo accada).

L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare: 

• gli elementi di cui all’art. 13 d.lgs;
• cosa sono i cookie e come gestirli sui browser;
• come dare o negare il consenso all’uso;
• descrizione dei cookie tecnici suddivisi per finalità;
• descrizione dei cookie di profilazione di terze parti (se ci sono);
• link all’informativa e al modulo di consenso dei siti di terze parti che fanno uso di cookie (se ci sono).

È importante che i cookie tecnici necessari (quelli per cui l’utente non deve dare il consenso) presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti. Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare. Al posto di un banner potete anche usare una finestra pop-up o un lightbox. Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.

In caso di dubbi in materia, vi invitiamo a consultare il sito web del Garante della Privacy o a rivolgervi a dei professionisti, visto che questo articolo ha scopo puramente informativo e non sostituisce in alcun modo una consulenza legale.

I gestori di siti web dovrebbero seguire attentamente gli ulteriori sviluppi sull’applicazione delle direttive europee sui cookie la situazione giuridica cambierà sicuramente con il regolamento ePrivacy, anche se non è ancora chiaro quanto sarà rigoroso. Il regolamento generale dell'UE sulla protezione dei dati contiene ulteriori disposizioni per la sicurezza dei dati personali degli utenti. Finché il regolamento ePrivacy non sarà ancora giuridicamente vincolante, i cookie rientrano nella sfera d'influenza della Cookie Law italiana, nella misura in cui raccolgono dati che consentono di identificare un utente in qualsiasi modo (numero di identificazione, profilo dell'utente, ecc.).

Negli ultimi anni i siti web italiani si sono orientati maggiormente alla direttiva sui cookie, a maggior ragione se, ad esempio, vendevano merci in altri paesi dell'UE tramite un negozio online e in mercati di destinazione che interpretavano le normative europee in modo più restrittivo. In più la politica in materia di cookie nell'Unione Europea ha avuto un impatto anche sul cosiddetto retargeting (retargetizzazione), in cui gli esperti di marketing online cercano di incoraggiare gli acquirenti a effettuare ulteriori transazioni utilizzando cookie di rilevamento.

Ma con l'introduzione del Regolamento generale sulla protezione dei dati si applicheranno norme più severe per il trattamento dei dati personali anche nel nostro paese. A beneficiare dall’attuazione di tali norme saranno gli stessi gestori di siti web, che potranno risparmiare molto lavoro se successivamente la "nuova direttiva sui cookie" diventerà giuridicamente valida sotto forma di regolamento ePrivacy.