L’applicazione della normativa europea sui cookie in Italia

In Germania, un consumatore aveva intentato una causa contro un sito web di giochi d’azzardo in cui veniva posta la domanda relativa all’impostazione dei cookie, ma la casella corrispondente era già spuntata. Per opporsi alla memorizzazione dei cookie gli utenti erano costretti a revocare il consenso con un opt-out. La Corte di giustizia europea, che si è pronunciata su questo tema, si è schierata a favore della protezione dei dati. La procedura deve essere quella dell’opt-in, per cui sono gli stessi utenti a selezionare la casella. Inoltre, il tribunale ha ribadito che gli utenti devono essere informati dei cookie utilizzati. Gli amministratori del sito web dovrebbero pertanto fornire informazioni sulla durata di validità dei file e sullo scopo per cui vengono memorizzati.

Nel frattempo la questione è stata riproposta altre volte e una sentenza del tribunale tedesco ha stabilito che il consenso degli utenti deve avvenire in modo attivo, volontario ed essere dato previa informazione. Ciò significa prima di tutto che un visitatore deve inserire la spunta di consenso autonomamente (in modo attivo), ma qualora non venisse dato questo assenso, ciò non deve andare a discapito della navigazione sul sito (volontario). Infine al visitatore deve essere chiaro quali informazioni sta accettando, in maniera esplicita e senza nascondere nulla in lunghi testi giuridici (previa informazione). Così facendo, si perseguono ora per vie legali anche i cosiddetti dark pattern, nei quali viene utilizzato prevalentemente un web design poco chiaro per costringere gli utenti a compiere una determinata azione (ad esempio dare il proprio consenso a cookie pubblicitari).

I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web sul computer dell’utente. Salvano i dati dell’utente durante la visita di un sito web e aumentano la sua usabilità, ad esempio memorizzano i vostri dati di login sul browser e le preferenze linguistiche, cosicché non dobbiate re-inserirle ogni volta. Di contro a questo aspetto positivo, c’è la critica che spesso i cookie non sono conciliabili con la protezione dei dati personali, visto che molti vengono inseriti per tracciare precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Soprattutto i cookie di tracciamento (tracking cookies) e quelli di targeting sono una vera spina nel fianco.

Un cookie contiene l’indicazione sulla sua durata di vita e un numero, generato in maniera casuale, attraverso il quale viene riconosciuto il vostro computer. Di regola la memorizzazione dei dati dei cookie avviene in maniera anonima.

Nell’Unione Europea la direttiva 2009/136/CE dovrebbe garantire e rafforzare la tutela dei dati personali dei visitatori dei siti web. Tale direttiva emanata nel 2009 avrebbe dovuto essere attuata al più tardi nel 2011 da tutti gli stati dell’Unione, ma questo non è accaduto.

La direttiva sui cookie prevede in sostanza che i visitatori di un sito web vengano informati sull’uso di cookie in una forma comprensibile e semplice e per la cui memorizzazione è necessario l’esplicito consenso degli utenti. Secondo la direttiva, i cookie possono essere inseriti senza chiedere il consenso, solo se sono necessari per motivi tecnici: quindi ad esempio per implementare un servizio desiderato dall’utente. Tra questi si contano i cookie di sessione per la memorizzazione delle preferenze linguistiche, quelli che salvano i dati di login e del carrello, oltre che i cookie Flash per la riproduzione dei contenuti multimediali.

Ma per l’uso della maggior parte dei cookie il gestore di un sito web ha bisogno del consenso dell’utente. Questo vale per tutti i cookie che non sono tecnicamente necessari per il funzionamento del sito inclusi quelli pubblicitari, che vengono usati per il retargeting, ma anche quelli analitici e di social media. La direttiva europea non stabilisce però chiaramente come questi obblighi siano da applicare. Soprattutto per quanto concerne il consenso del visitatore regna ancora una grande incertezza.

Con la direttiva sui cookie l’Unione Europea intende proteggere maggiormente i dati personali degli utenti di Internet. A tal fine l’UE fa una distinzione tra cookie tecnici e cookie di profilazione:

1. Cookie tecnici: la memorizzazione indispensabile di dati avviene con quella tipologia di cookie assolutamente necessari per il funzionamento di un sito web. Si tratta di funzioni quali il salvataggio di dati di login, il carrello degli ordini e la selezione della lingua possibili grazie a cosiddetti cookie di sessione che vengono eliminati una volta chiuso il browser.
2. Cookie di profilazione: i cookie non necessariamente indispensabili sono quelli che non servono esclusivamente a far funzionare un sito web, ma che raccolgono anche altri dati. Tra questi ci sono:

• Cookie di rilevamento (tracking cookies)
• Cookie di profilazione
• Cookie di analisi
• Cookie di terze parti

Secondo la direttiva sui cookie i cookie necessari possono essere impostati fin dall’inizio, vale a dire anche senza previo consenso dell’utente. D’altro canto, però, i visitatori del sito web devono acconsentire che i cookie salvino dati non necessari. Pertanto la direttiva UE richiede una cosiddetta soluzione di opt-in per i cookie non necessari.

La principale differenza tra opt-out e opt-in è la seguente:

• opt-out: i cookie sono attivi fin dall’inizio e gli utenti hanno la possibilità di rifiutare il salvataggio dei propri dati solo in un secondo momento.
• opt-in: i cookie sono attivi solamente quando e se l’utente acconsente al salvataggio dei propri dati.

In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie. Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web. Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia a una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengano utilizzati. Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.

In Italia la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014, chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.

Nonostante le direttive restino confuse e non chiarite in via definitiva, la Commissione Europea si dice soddisfatta dalla politica italiana sull’uso dei cookie. Dal 2 giugno 2015 se un sito web italiano non si è adeguato alla EU Cookie Law può incorrere in sanzioni anche molto salate.

In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito è l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina. Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero. Il banner deve contenere le seguenti informazioni:

• si informa l’utente che il sito web fa uso di cookie di profilazione, al fine di inviare messaggi pubblicitari personalizzati sulla base delle preferenze dell’utente;
• il link all’informativa estesa;
• si specifica che nell’informativa estesa si può negare il consenso all’uso di cookie;
• l’indicazione che proseguendo la navigazione si dà il consenso automatico all’uso dei cookie;
• si informa l’utente che i cookie vengono inviati anche a terze parti (qualora questo accada).

L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare:

• gli elementi di cui all’art. 13 d.lgs;
• cosa sono i cookie e come gestirli sui browser;
• come dare o negare il consenso all’uso;
• descrizione dei cookie tecnici suddivisi per finalità; 
• descrizione dei cookie di profilazione di terze parti (se presenti);
• link all’informativa e al modulo di consenso dei siti di terze parti che fanno uso di cookie (se presenti).

È importante che i cookie tecnici necessari presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti. Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare. Al posto di un banner potete anche usare una finestra pop-up o un lightbox. Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.

In caso di dubbi in materia vi invitiamo a consultare il sito web del Garante della Privacy o a rivolgervi a dei professionisti, visto che questo articolo ha scopo puramente informativo e non sostituisce in alcun modo una consulenza legale.

Il nuovo regolamento sulla ePrivacy è inteso a disciplinare questo aspetto una volta per tutte. L’attuale progetto vieta tutti i cookie tecnicamente non necessari a meno che gli utenti acconsentano in anticipo al loro utilizzo. La prima bozza parlava solo di applicazioni web. La versione del 22 marzo 2018 include tutti i tipi di comunicazione automatica, come app, e-mail e la raccolta di metadati per le chiamate VoIP. Questo vale anche per la comunicazione tra due macchine, la cosiddetta comunicazione M2M.

Il regolamento ePrivacy dovrebbe interessare anche i fornitori internazionali di servizi di comunicazione. Il regolamento stabilisce che le norme si applichino non appena un terminale si trova all’interno dei confini dell’UE. È irrilevante indicare il momento in cui il trattamento dei dati di un servizio controllato ha luogo.

Se si guarda agli Stati Uniti, la tutela dei dati è meno rigida. Poiché l’ambito di applicazione del regolamento sulla ePrivacy si applica non appena un dispositivo situato in Europa accede ai servizi di comunicazione, le aziende statunitensi dovranno valutare se localizzare all’Europa le proprie offerte relative ai cookie e quindi inserire pubblicità meno mirata o se azzardarsi a proporre ai clienti un paywall.

La prima bozza del regolamento ePrivacy prevedeva che le impostazioni del browser del produttore fossero generalmente impostate al massimo livello di riservatezza. Ciò significa che il browser non accetta cookie da terze parti. In questo modo verrebbero eliminati i banner attualmente molto diffusi, in quanto gli utenti dovrebbero decidere attivamente di accettare i cookie ogni volta che installano un software. Tale requisito si basava sul principio della "privacy by design" (tutela della privacy fin dalla progettazione) stabilito anche già nel GDPR. La nuova bozza emessa recentemente allenta invece le regole per le impostazioni del browser, lasciando agli utenti il compito di decidere dominio per dominio se accettare o meno i cookie.

Il divieto di abbinare più consensi stabilisce che la visita di un sito web non può essere subordinata all’accettazione da parte dell’utente dell’utilizzo dei cookie. Tuttavia vi sono anche scopi legittimi che possono richiedere l’uso di cookie. Ad esempio sono spesso necessari quando un utente deve autenticarsi con l’home banking o quando desidera utilizzare il carrello di un negozio online. Se i gestori del sito web informano gli utenti in modo chiaro e comprensibile circa lo scopo dei cookie, il consenso e l’uso possono essere combinati.

I gestori di siti web dovrebbero seguire attentamente gli ulteriori sviluppi sull’applicazione delle direttive europee sui cookie perché la situazione giuridica cambierà sicuramente con il regolamento ePrivacy, anche se non è ancora chiaro quanto sarà rigoroso. Il regolamento generale dell’UE sulla protezione dei dati contiene ulteriori disposizioni per la sicurezza dei dati personali degli utenti. Finché il regolamento ePrivacy non sarà ancora giuridicamente vincolante, i cookie rientrano nella sfera d’influenza della Cookie Law italiana, nella misura in cui raccolgono dati che consentono di identificare un utente in qualsiasi modo (numero di identificazione, profilo dell’utente, ecc.).

Negli ultimi anni i siti web italiani si sono orientati maggiormente alla direttiva sui cookie, a maggior ragione se, ad esempio, vendevano merci in altri paesi dell’UE tramite un negozio online e in mercati di destinazione che interpretavano le normative europee in modo più restrittivo. In più la politica in materia di cookie nell’Unione Europea ha avuto un impatto anche sul cosiddetto retargeting (retargetizzazione), in cui gli esperti di marketing online cercano di incoraggiare gli acquirenti a effettuare ulteriori transazioni utilizzando cookie di rilevamento.

Ma con l’introduzione del Regolamento generale sulla protezione dei dati si applicheranno norme più severe per il trattamento dei dati personali anche nel nostro paese. A beneficiare dall’attuazione di tali norme saranno gli stessi gestori di siti web, che potranno risparmiarsi molto lavoro se successivamente la "nuova direttiva sui cookie" diventerà giuridicamente valida sotto forma di regolamento ePrivacy.