L’applicazione della normativa europea sui cookie in Italia

Quante volte aprendo una pagina web vi è capitato di imbattervi in avvisi come “Questo sito utilizza cookie”? Con banner di questo tipo i gestori di siti web adempiono ai loro obblighi legali, informando gli utenti del fatto che vengono memorizzati dati importanti dell’utente. Secondo la direttiva europea ePrivacy (detta anche Cookie Law), salvare queste informazioni è consentito solo se l’utente dà il proprio consenso. Una procedura cosiddetta di opt-in è ora obbligatoria almeno per i tracking cookie: così ha infatti stabilito la Corte di giustizia dell’Unione europea in una nuova sentenza. Gli utenti devono acconsentire attivamente e dare il proprio permesso all’utilizzo di cookie.

Con l'entrata in vigore a livello europeo del regolamento generale sulla protezione dei dati (GDPR) a maggio 2018, sono cambiate le norme in materia di archiviazione dei dati utenti sensibili anche all’interno dell’Unione Europea. In realtà il nuovo regolamento sulla ePrivacy, la cui bozza è stata presentata ufficialmente dall'UE il 10 gennaio 2017, dovrebbe divenire vincolante a partire dal 2020 sostituendo la Direttiva UE sui cookie e integrando le nuove normative. Ma qual è lo stato attuale della giurisprudenza?

Sentenza della Corte di giustizia dell’Unione europea: opt-in obbligatorio!

In Germania, un consumatore aveva intentato una causa contro un sito web di giochi d’azzardo in cui veniva posta la domanda relativa all’impostazione dei cookie, ma la casella corrispondente era già spuntata. Per opporsi alla memorizzazione dei cookie gli utenti erano costretti a revocare il consenso con un opt-out. La Corte di giustizia europea, che si è pronunciata su questo tema, si è schierata a favore della protezione dei dati. La procedura deve essere quella dell’opt-in, per cui sono gli stessi utenti a selezionare la casella. Inoltre, il tribunale ha ribadito che gli utenti devono essere informati dei cookies utilizzati. Gli operatori del sito web dovrebbero pertanto fornire informazioni sulla durata di validità dei file e sullo scopo per cui vengono memorizzati.

Tuttavia non c’è ancora chiarezza riguardo alla gestione dei cookie: esistono cookie senza i quali un sito web non può funzionare senza errori. I carrelli degli shop online, ad esempio, funzionano grazie a questi file di piccole dimensioni. In realtà la Corte di giustizia dell’Unione europea nella sentenza afferma che non soltanto i cookie che si riferiscono alla persona devono essere approvati dall’utente. Tuttavia sulla lettura di questa sentenza i pareri differiscono; gli esperti concordano unicamente sul fatto che soltanto un regolamento globale sulla e-privacy sarà in grado di dissipare definitivamente i dubbi.

Che cosa sono i cookie e quali dati raccolgono?

I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web sul computer dell’utente. Salvano i dati dell’utente durante la visita di un sito web e aumentano la sua usabilità, ad esempio memorizzano i vostri dati di login sul browser e le preferenze linguistiche, cosicché non dobbiate re-inserirle ogni volta. Di contro a questo aspetto positivo, c’è la critica che spesso i cookie non sono conciliabili con la protezione dei dati personali, visto che molti vengono inseriti per tracciare precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Soprattutto i cookie di tracciamento (tracking cookies) e quelli di targeting sono una vera spina nel fianco.

Un cookie contiene l’indicazione sulla sua durata di vita e un numero, generato in maniera casuale, attraverso il quale viene riconosciuto il vostro computer. Di regola la memorizzazione dei dati dei cookie avviene in maniera anonima.

Fatto

I dati personali possono essere raccolti solo se si effettua un login sulla pagina e i dati contenuti in una stringa di testo possono essere interpretati solo dal server web che ha posizionato il cookie.

Cosa dice la legge europea sui cookie?

Nell’Unione Europea la direttiva 2009/136/EG dovrebbe garantire e rafforzare la tutela dei dati personali dei visitatori di un sito web. Tale direttiva emanata nel 2009 avrebbe dovuto essere attuata al più tardi nel 2011 da tutti gli stati dell’Unione, ma questo non è accaduto.

La direttiva sui cookie prevede in sostanza che i visitatori di un sito web vengano informati sull’uso di cookie in una forma comprensibile e semplice e per la cui memorizzazione è necessario l’esplicito consenso degli utenti. Secondo la direttiva, i cookie possono essere inseriti senza chiedere il consenso, solo se sono necessari per motivi tecnici: quindi ad esempio per implementare un servizio desiderato dall’utente. Tra questi si contano i cookie di sessione per la memorizzazione delle preferenze linguistiche, quelli che salvano i dati di login e del carrello, oltre che i cookie Flash per la riproduzione dei contenuti multimediali.

Ma per l’uso della maggior parte dei cookie il gestore di un sito web ha bisogno del consenso dell’utente. Questo vale per tutti i cookie che non sono tecnicamente necessari per il funzionamento del sito inclusi quelli pubblicitari, che vengono usati per il retargeting, ma anche quelli analitici e di social media. La direttiva europea non stabilisce però chiaramente come questi vincoli siano da applicare. Soprattutto per quanto concerne il consenso del visitatore regna ancora una grande incertezza.

Cosa cambierà con il regolamento ePrivacy?

Il nuovo regolamento sulla ePrivacy è inteso a disciplinare questo aspetto una volta per tutte. L'attuale progetto vieta tutti i cookie tecnicamente non necessari a meno che gli utenti acconsentano in anticipo al loro utilizzo. La prima bozza parlava solo di applicazioni web. La versione del 22 marzo 2018 include tutti i tipi di comunicazione automatica, come app, e-mail e la raccolta di metadati per le chiamate VoIP. Questo vale anche per la comunicazione tra due macchine, la cosiddetta comunicazione M2M.

Il regolamento relativo alla privacy elettronica dovrebbe interessare anche i fornitori internazionali di servizi di comunicazione. Il regolamento stabilisce che le norme si applichino non appena un terminale si trova all'interno dei confini dell'UE. È irrilevante indicare il momento in cui il trattamento dei dati di un servizio controllato ha luogo.

Se si guarda oltreoceano, la tutela dei dati è meno rigida. Nel cosiddetto caso Irlanda un tribunale distrettuale statunitense ha voluto costringere Microsoft a rendere accessibili i dati relativi ai suoi clienti cittadini dell'UE presenti negli Stati Uniti. Siccome Microsoft ha la propria sede centrale a Redmond, nello stato di Washington, è soggetta alla legge ivi in vigore.

Tuttavia i dati dei clienti europei sono conservati e protetti in Germania da un’azienda affiliata di Deutsche Telekom, T-Systems. Poiché la legge americana si applica solo sul territorio americano, la sentenza è stata rinviata in primo grado. Ma il processo è ancora in corso. Resta da vedere in che misura la legislazione europea e quella americana continueranno a mettersi i bastoni tra le ruote a vicenda.

Poiché l'ambito di applicazione del regolamento sulla ePrivacy si applica non appena un dispositivo situato in Europa accede ai servizi di comunicazione, le aziende statunitensi dovranno valutare se localizzare all'Europa le proprie offerte relative ai cookie e quindi inserire pubblicità meno mirata o se azzardarsi a proporre ai clienti con un paywall.

Cosa contengono le attuali linee guida UE sui cookie?

Con la direttiva sui cookie l’Unione Europea intende proteggere maggiormente i dati personali degli utenti di Internet. A tal fine l’UE fa una distinzione tra cookie tecnici e cookie di profilazione:

  1. Cookie tecnici: la memorizzazione indispensabile di dati avviene con quella tipologia di cookie assolutamente necessari per il funzionamento di un sito web. Si tratta di funzioni quali il salvataggio di dati di login, il carrello degli ordini e la selezione della lingua possibili grazie a cosiddetti cookie di sessione che vengono eliminati una volta chiuso il browser.
  2. Cookie di profilazione: i cookie non necessariamente indispensabili sono quelli che non servono esclusivamente a far funzionare un sito web, ma che raccolgono anche altri dati. Tra questi ci sono:
  • Cookie di rilevamento (tracking cookies)
  • Cookie di profilazione
  • Cookie di analisi
  • Cookie di terze parti

Secondo la direttiva sui cookie i cookie necessari possono essere impostati fin dall’inizio, vale a dire anche senza previo consenso dell’utente. D’altro canto, però, i visitatori del sito web devono acconsentire che i cookie salvino dati non necessari. Pertanto la direttiva UE richiede una cosiddetta soluzione di opt-in per i cookie non necessari.

La principale differenza tra opt-out e opt-in è la seguente:

  • opt-out: i cookie sono attivi fin dall’inizio e gli utenti hanno la possibilità di rifiutare il salvataggio dei propri dati solo in un secondo momento.
  • opt-in: i cookie sono attivi solamente quando e se l’utente acconsente al salvataggio dei propri dati.
N.B.

La nuova sentenza della Corte di giustizia europea ha però scosso questa distinzione: infatti l’obbligo di opt-in si applica anche ai cookie non personali. È ancora in discussione se debbano essere approvati anche i cookie tecnicamente rilevanti.

Lo stato attuale del regolamento ePrivacy

La prima bozza del regolamento ePrivacy prevedeva che le impostazioni del browser del produttore fossero generalmente impostate al massimo livello di riservatezza. Ciò significa che il browser non accetta cookie da terze parti. In questo modo verrebbero eliminati i banner di cookie attualmente molto diffusi, in quanto gli utenti dovrebbero decidere attivamente di accettare i cookie ogni volta che installano un software. Tale requisito si basava sul principio della "privacy by design" (tutela della privacy fin dalla progettazione) stabilito anche già nel GDPR. La nuova bozza emessa recentemente allenta invece le regole per le impostazioni del browser, lasciando agli utenti il compito di decidere dominio per dominio se accettare o meno i cookie.

Il divieto di abbinare più consensi stabilisce che la visita di un sito web non può essere subordinata all'accettazione da parte dell'utente dell'utilizzo dei cookie. Tuttavia vi sono anche scopi legittimi che possono richiedere l'uso di cookie. Ad esempio sono spesso necessari quando un utente deve autenticarsi con l'home banking o quando desidera utilizzare il carrello della spesa di un negozio online. Se i gestori del sito web informano gli utenti in modo chiaro e comprensibile circa lo scopo dei cookie, il consenso e l'uso possono essere combinati.

Opt-in o opt-out?

Nella direttiva europea sui cookie rimane aperta la questione se gli utenti debbano acconsentire all’uso dei cookie prima che queste stringhe di testo registrino i dati dell’utente (opt-in) o se il gestore del sito web possa usarli fin dall’inizio e l’utente può opporsi solo in seguito (opt-out). Nell’opt-in è necessario in via preliminare il consenso dell’utente per la memorizzazione dei dati, l’opt-out offre la possibilità al visitatore del sito web di non dare il consenso solo a posteriori.

Poiché la politica sui cookie non definisce esattamente se l’archiviazione dei dati possa essere autorizzata dall’inizio, è stata implementata diversamente in Europa fino all’introduzione del GDPR. La maggior parte dei paesi dell’Unione Europea ha incorporato i requisiti nelle rispettive legislazioni nazionali, anche se in alcuni paesi è stato prescritto l’opt-in e in altri l’opt out. Altri hanno persino lasciato le loro disposizioni completamente aperte. Nel complesso, l’attuazione della politica sui cookie nell’Unione Europea è stata tutt’altro che uniforme.

Come si applica la direttiva europea sui cookie in Italia

In Italia la legge è stata interpretata in modo tale da presupporre che l’utente sia tecnicamente competente per effettuare il blocco dei cookie negli strumenti che utilizza, quindi gli si lascia la possibilità di scegliere se accettare o meno l’uso dei cookie. Per implementare la disposizione e per avvisare gli utenti dell’uso di queste stringhe di testo, i siti web italiani fanno apparire pop-up, barre di stato o lightbox non appena si apre una pagina di un sito web. Indipendentemente dal tipo di avviso utilizzato, deve sempre essere integrato un link che rinvia ad una pagina di approfondimento del sito, dove si spiega chiaramente che cosa sono i cookie e quali vengano utilizzati. Tale pagina di approfondimento contiene l’informativa estesa che, oltre a spiegare quanto appena citato, permette all’utente di negare il consenso all’uso dei cookie.

In Italia la legge che obbliga i gestori di un sito web a fare uso di cookie è già in vigore dal 1 giugno 2012 con decreto legislativo 69/2012 e 70/2012. Il Garante della Privacy ha pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, che si può leggere online nella scheda Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie - 8 maggio 2014, chiarimenti sull’applicazione della direttiva che offrono alcune linee guida concrete su come adeguarsi alla legge europea in Italia.

Nonostante le direttive restino confuse e non chiarite in via definitiva, la Commissione Europea si dice soddisfatta dalla politica italiana sull’uso dei cookie. Dal 2 giugno 2015 se un sito web italiano non si è adeguato alla EU Cookie Law può incorrere in sanzioni anche molto salate.

Inoltre dal 25 maggio 2018 il codice in materia di protezione dei dati personali viene applicato conformemente al regolamento GDPR dell'UE. Sebbene il codice nazionale non entri ancora nei dettagli per quanto riguarda i cookie come fa invece il regolamento ePrivacy, la giurisdizione italiana stabilisce che la memorizzazione dei dati personali è consentita solo con il consenso (vale a dire l'opt-in) della persona fisica interessata. La raccolta e l'elaborazione dei dati possono servire solo allo scopo per il quale l’utente ha acconsentito. Infine i siti web hanno l'obbligo di ricordare ciclicamente ai propri visitatori che essi possono avvalersi in ogni momento del diritto di ottenere la cancellazione dei propri dati.

La soluzione più comune in Italia: il banner

In Italia l’unico modello consentito per l’uso di cookie che non sono necessari per il funzionamento tecnico del sito è l’opt-in, che si concretizza nella maggior parte dei siti web inserendo un banner che appare in alto o in basso appena si apre una pagina. Questo deve essere chiaramente visibile e agli utenti deve essere data la possibilità di negare l’uso di cookie, qualora lo desiderassero. Il banner deve contenere le seguenti informazioni:

  • si informa l’utente che il sito web fa uso di cookie di profilazione, al fine di inviare messaggi pubblicitari personalizzati sulla base delle preferenze dell’utente;
  • il link all’informativa estesa;
  • si specifica che nell’informativa estesa si può negare il consenso all’uso di cookie;
  • l’indicazione che proseguendo la navigazione si dà il consenso automatico all’uso dei cookie;
  • si informa l’utente che i cookie vengono inviati anche a terze parti (qualora questo accada).

L’informativa estesa, di regola posta in una pagina di approfondimento apposita del sito web, deve indicare: 

  • gli elementi di cui all’art. 13 d.lgs;
  • cosa sono i cookie e come gestirli sui browser;
  • come dare o negare il consenso all’uso;
  • descrizione dei cookie tecnici suddivisi per finalità;
  • descrizione dei cookie di profilazione di terze parti (se ci sono);
  • link all’informativa e al modulo di consenso dei siti di terze parti che fanno uso di cookie (se ci sono).

È importante che i cookie tecnici necessari (quelli per cui l’utente non deve dare il consenso) presenti sul vostro sito non trasmettano informazioni sulla privacy dei vostri utenti. Fate attenzione che le informazioni siano formulate in maniera chiara e semplice, oltre al fatto che siano sempre disponibili e facili da trovare. Al posto di un banner potete anche usare una finestra pop-up o un lightbox. Ma un pop-up può essere bloccato da molti browser grazie ad apposite applicazioni e un lightbox talvolta risulta scomodo, disagi che potrebbero portare all’abbandono del sito web da parte del visitatore.

In caso di dubbi in materia, vi invitiamo a consultare il sito web del Garante della Privacy o a rivolgervi a dei professionisti, visto che questo articolo ha scopo puramente informativo e non sostituisce in alcun modo una consulenza legale.

Cookie e privacy: cosa porterà il futuro?

I gestori di siti web dovrebbero seguire attentamente gli ulteriori sviluppi sull’applicazione delle direttive europee sui cookie la situazione giuridica cambierà sicuramente con il regolamento ePrivacy, anche se non è ancora chiaro quanto sarà rigoroso. Il regolamento generale dell'UE sulla protezione dei dati contiene ulteriori disposizioni per la sicurezza dei dati personali degli utenti. Finché il regolamento ePrivacy non sarà ancora giuridicamente vincolante, i cookie rientrano nella sfera d'influenza della Cookie Law italiana, nella misura in cui raccolgono dati che consentono di identificare un utente in qualsiasi modo (numero di identificazione, profilo dell'utente, ecc.).

Negli ultimi anni i siti web italiani si sono orientati maggiormente alla direttiva sui cookie, a maggior ragione se, ad esempio, vendevano merci in altri paesi dell'UE tramite un negozio online e in mercati di destinazione che interpretavano le normative europee in modo più restrittivo. In più la politica in materia di cookie nell'Unione Europea ha avuto un impatto anche sul cosiddetto retargeting (retargetizzazione), in cui gli esperti di marketing online cercano di incoraggiare gli acquirenti a effettuare ulteriori transazioni utilizzando cookie di rilevamento.

Ma con l'introduzione del Regolamento generale sulla protezione dei dati si applicheranno norme più severe per il trattamento dei dati personali anche nel nostro paese. A beneficiare dall’attuazione di tali norme saranno gli stessi gestori di siti web, che potranno risparmiare molto lavoro se successivamente la "nuova direttiva sui cookie" diventerà giuridicamente valida sotto forma di regolamento ePrivacy.

Vi preghiamo di osservare la nota legale relativa a questo articolo.


Un momento! Prima di lasciarci scopri
la nostra offerta per il rientro dalle ferie:
dominio .it a 1 € per il primo anno!

Primo anno a 1 € IVA escl.,
poi 10 €/anno IVA escl.

Inserisci il dominio desiderato nella barra di ricerca per verificarne la disponibilità.