E-Business: Cookies e interventi chiarificatori del Garante per la Protezione dei Dati Personali

Il 2 giugno 2015 scadeva il termine per adeguare i siti web (ed in particolare con riferimento alle impostazioni cookies ) alle prescrizioni in materia di trattamento dei dati personali e tutela della vita privata nelle comunicazioni elettroniche introdotte dal Decreto Legislativo 28 maggio 2012 n. 69, norma attuativa della direttiva europea 2009/136/CE.

Nonostante l’informazione a riguardo sia stata fornita da più parti, la prassi mostra come sia necessaria l’attenzione su un tema tanto delicato quanto quello della tutela dei dati personali.

Sempre più spesso, infatti, il Garante viene chiamato ad attivarsi a fronte di violazioni in materia di privacy, anche solo sospette. È bene, dunque, attenersi scrupolosamente alla normativa in materia per evitare di incorrere nelle pesanti sanzioni previste dal Decreto Legislativo 30 giugno 2003, n. 196 (Codice della Privacy).

Gli emendamenti principali apportati al Codice della Privacy riguardano i nuovi obblighi in tema di sicurezza dei dati personali ed il consenso preventivo in relazione ai cookies.

I cookies, ovvero quei file di testo inviati ai terminali degli utenti e provenienti dai siti visitati, vengono memorizzati per essere ritrasmessi agli stessi siti durante gli accessi successivi. Non sorprende che il legislatore anche comunitario abbia sentito l’esigenza di intervenire sul punto, innanzitutto distinguendo i cookies esistenti in varie categorie.

A seconda delle finalità per cui sono predisposti, i cookies vengono suddivisi in: i) tecnici, ii) analitici, iii) di profilazione. Come indicato dall’art. 122, comma 1, D. Lgs. 196/2003, i primi vengono utilizzati per consentire la comunicazione su una rete elettronica o per consentire l’erogazione e la fruizione del servizio medesimo. I secondi servono a monitorare l’uso del sito da parte degli utenti e sono principalmente finalizzati ad apportare migliorie al sito. I cookies di profilazione, infine, servono a creare i profili degli utenti in base alle loro preferenze o scelte di consumo e sono finalizzati ad attività di marketing che si attua tramite l’invio di messaggi pubblicitari specifici basati sul profilo del singolo utilizzatore.

Detto ciò, spesso ci è stato chiesto come applicare correttamente la disciplina sulla privacy per un e-business in linea con le disposizioni normative.

Ebbene, è necessario innanzitutto tenere distinta l’informativa dal consenso.

A norma dell’art. 13 del Codice della Privacy, l’informativa deve essere sempre fornita all’utente.

La necessità del consenso al trattamento dei dati, invece, varia a seconda della tipologia di cookies installati.

Una domanda sorge dunque spontanea: come deve procedere la persona – fisica o giuridica – titolare del sito a fronte di tali obblighi (di informativa e di previo consenso, ove previsto)? Dipende.

Quanto all’informativa all’utente, il Garante ricorda che la stessa deve essere fornita sia in forma semplificata a mezzo banner sia in forma estesa, fatti salvi alcuni casi di esclusione dall’obbligo della prima modalità appena indicata, per i quali quindi si può rendere l’informativa nei modi ritenuti più opportuni (ad es. tramite la privacy policy interna al sito).

Negli altri casi, sia l’informativa semplificata sia l’informativa estesa devono possedere dei requisiti contenutistici ben precisi, in mancanza dei quali sono previste pesanti sanzioni.

Quanto al consenso dell’utente, l’obbligo di ottenerne la previa autorizzazione dipende dalla tipologia del cookie utilizzato, sulla base, dunque, del grado di invasività dello stesso.

Per il titolare del sito vi è un ulteriore onere: la notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice della Privacy circa l’impiego dei cookies. Anche in tale ipotesi, l’obbligo non si estende a tutti i file di testo utilizzati ed è necessario distinguere i casi particolari.

È talvolta possibile che alcuni siti (c.d. “prima parte”) facciano uso di cookies realizzati e messi a disposizione da terzi (c.d. “terze parti”).

Con riferimento a queste fattispecie, si evidenzia che i titolari/gestori dei siti prima parte rivestono il ruolo di intermediari tecnici tra le terze parti e gli utenti; nonostante ciò, pur non essendo formalmente intestatari degli oneri collegati direttamente ai cookies delle terze parti, gli stessi gestori vengono comunque coinvolti nel processo di trattamento dei dati personali e possono addirittura essere soggetti ad alcuni obblighi e adempimenti relativi a detti cookies (quali ad esempio la notificazione al Garante) laddove – solo per esemplificare – questi ultimi non presentino i requisiti previsti dalla legge (si pensi all’obbligo del gestore prima parte di inserire il banner in presenza di cookies analitici terze parti operanti in assenza di strumenti atti a ridurne il potere identificativo).

Tutto quanto sopra indicato risulta applicabile indipendentemente dalla presenza di una sede del titolare di un sito prima parte nel territorio dello Stato, il ché rende applicabile la normativa anche a coloro che abbiano sede in altri Paesi (anche extra europei).

In conclusione, il tema merita particolare e continua attenzione posto che il mancato rispetto delle prescrizioni in materia di tutela dei dati personali degli utenti del proprio sito comporta gravi conseguenze.

Nello specifico, all’omessa informativa o all’informativa inidonea consegue la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 Cod. Privacy). All’installazione di cookies di profilazione in essenza di preventivo consenso degli utenti consegue la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, Cod. Privacy). L’omessa o incompleta notificazione al Garante è punita con la sanzione del pagamento di una somma compresa tra i ventimila ed i centoventimila euro (art. 163 Cod. Privacy).

Alla luce di ciò, risulta utile analizzare attentamente il proprio sito per verificarne la compliance alla legge, nonché eseguire un approfondito controllo delle procedure di informativa e di richiesta del consenso all’utilizzo di cookies per i siti web già esistenti, ovvero porre una particolare attenzione nella predisposizione di quelle relative ai siti in costruzione.

 

Contributo inserito nella Newsletter n.3/2015.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2015

error: Il contenuto è protetto da copyright