Cookie Law parte prima – La legge
Il 3 Giugno 2015 entra in vigore il provvedimento normativo “Individuazione delle modalità semplificate per l’informativa e l’acquisiszione del consenso per l’uso dei cookie”, brevemente, Cookie Law, il cui testo integrale si può consultare a questo indirizzo: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
Questo provvedimento è stato pubblicato in Gazzetta Ufficiale il 3 Giugno 2014, quindi c’è stato un anno di tempo per metterlo in pratica, ma solo nell’ultimo mese si è iniziato seriamente a discuterne perchè fin da subito si sono presentati dubbi sull’interpretazione della norma e si pensava che ci sarebbero stati chiarimenti con l’approssimarsi dell’entrata in vigore.
Tuttavia più che chiarimenti con l’approssimarsi della data di entrata in vigore, sono aumentate le interpretazioni e i dubbi.
Prima di vedere nel dettaglio le funzionalità del plugin che abbiamo sviluppato per gestire gli obblighi della norma, farò un breve sunto di quali siano questi obblighi, con la doverosa premessa che quanto segue è la mia opinione e non può, ne deve essere intesa come parere legale sull’interpretazione della norma.
La norma, come detto, disciplina la materia relativa all’uso dei cookie.
Ma cosa sono i cookie?
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
Vengono poi identificate due tipologie di cookie:
Cookie Tecnici
I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
Cookie di profilazione
I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.
Ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).
Vediamo in queste definizioni alcuni concetti fondamentali:
Il punto fondamentale, se vogliamo possiamo chiamarlo lo spirito della legge, verte sul concetto di cookie di profilazione. E’ questo tipo di cookie che la norma vuole impedire siano utilizzati senza il consenso dell’utente. Questo significa che devono essere bloccati fino a quando non si abbia il consenso e deve essere possibile per l’utente, autonomamente, attribuire o rimuovere il consenso.
Quest’ultima affermazione ha conseguenze non indifferenti, che però non sono affrontabili in questa sede e soprattutto è uno dei punti più discussi nelle diverse interpretazioni date alla norma.
Prima di affrontare questo punto focale, introduciamo un ulteriore elemento definito nelle premesse della norma: i soggetti coinvolti: editori e terze parti.
Per semplificare, gli editori sono i proprietari dei siti web e le terze parti, in questo contesto sono i fornitori di servizi web che mediante gli script da loro forniti, installano cookies (tecnici e/o di profilazione) nei browser degli utenti, tramite i siti degli editori.
La norma a questo proposito, così recita:
Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.
In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.
I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.
Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente faticosa per l’utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l’intento di semplificazione previsto dall’art. 122 del Codice.
Quanto sopra riportato in merito alle terze parti e agli obblighi sui cookies di profilazione, come dicevo sopra è uno dei punti più discussi nelle varie interpretazioni.
La mia opinione, repetita juvant: non è un parere legale, è che i servizi / cookies di terze parti che effettuano profilazione debbano essere bloccati in attesa del consenso, MA A CARICO DI CHI EFFETTUA LA PROFILAZIONE, ovvero la terza parte, proprio in considerazione delle premesse sull’individuazione della parte debole e della parte forte.
Associazioni di categoria e società che dicono aver discusso per un anno (dalla pubblicazione in GU ad oggi) con il Garante per individuare le modalità migliori di applicazione, sostengono che tale obbligo spetti agli editori (i proprietari dei siti).
Visto che la situazione non è stata chiarita e che le sanzioni per il mancato / errato rispetto della norma sono ingenti, in fase di progettazione del plugin non potevo certo dare per assodata la mia interpretazione e quindi ho scritto il codice in modo che sia lasciata ai gestori dei siti la possibilità di scegliere se operare la richiesta del consenso e il conseguente blocco funzionale per ogni singolo cookie / servizio per il quale si ritiene necessario. In modo che ad esempio inizialmente in via conservativa si blocchino tutti i cookie / servizi “a rischio sanzione” e poi qualora dovesse verificarsi che tale obbligo non compete ai titolari dei siti (o solo per alcuni servizi specifici), possano in completa autonomia modificare le impostazioni.
Proseguendo nell’analisi della norma, veniamo al punto in cui si definiscono le modalità con cui impostare l’informativa semplificata, suddivisa in informativa breve e informativa estesa e l’acquisizione del consenso.
Riassumendo (solito disclaimer: non è un parere legale):
- se il sito fa uso di soli cookie tecnici non è necessaria l’informativa breve
- l’informativa breve è rappresentata da un banner che contiene anche la richiesta di consenso
- Il banner deve comparire in qualsiasi pagina del sito, deve essere discontinuo rispetto al sito (ossia non può mimetizzarsi) deve contenere indicazioni in merito all’uso di cookie di profilazione, deve contenere indicazioni in merito all’uso di cookie di terze parti qualora se ne faccia uso, deve contenere l’indicazione che nella pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie, deve contenere l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (es: immagine o link) comporta la prestazione del consenso all’uso dei cookie.
In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico
La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere linkabile da ogni pagina del sito.
Il passo successivo riguarda l’informativa estesa: essa deve deve descrivere in maniera specifica e analitica le caratteristiche e finalità dei cookie installati dal sito e consentire all’utente di selezionare / deselezionare i singoli cookie.
Deve essere raggiungibile da un link posto nell’informativa breve e da un link presente su ciascuna pagina del sito (in genere a fondo pagina).
Deve inoltre essere presente un link alle informative e moduli di consenso delle terze parti (che devono essere acquisiti in sede di stipula del contratto).
Infine deve essere presente una sezione in cui si spiega all’utente che è possibile intervenire sulle preferenze relativi ai cookies anche tramite il proprio browser fornendo una spiegazione sulla procedura da eseguire.
Con questo si conclude la panoramica sulla parte di legge che ci interessa in relazione al plugin. La legge contiene poi indicazioni sugli obblighi riguardanti la notificazione del trattamento, i tempi di adeguamento e le sanzioni in caso di inadempienza, tutti elementi che non influiscono sul plugin.
Nel prossimo post vedremo come il plugin sia stato realizzato in modo da rispettare i dettami della norma, sempre ricordando a tutti i fruitori che il plugin è rilasciato con licenza GNU GPL 2, quindi con il classico disclaimer da questa definito.
Tag: cookie, cookie-law, normativa, plugin
L'autore: Paolo De Dionigi
Ingegnere ambientale, finita l'università fonda con altri due soci una società che si occupa di realizzazione di siti internet e nel contempo effettua consulenze in ambito sicurezza sul lavoro e ambiente. Dopo alcuni anni si dedica completamente al web… Dal 2006 è responsabile tecnico di Zen Cart Italia.
Pingback: Cookie Law parte seconda – Il Plugin