Chiudi

Modalità di acquisizione del consenso per l’uso dei cookies “di profilazione”

  • Home
  • Magazine
  • Modalità di acquisizione del consenso per l’uso dei cookies “di profilazione”
Modalità di acquisizione del consenso per l’uso dei cookies “di profilazione”
09/12/2019 | Redazione | privacy-e-sicurezza

I cookies sono stringhe di testo di piccole dimensioni che i siti internet visitati dall’utente inviano al suo terminale (di solito, rappresentato dal browser), dove vengono memorizzati per essere poi trasmessi agli stessi siti web alla successiva visita del medesimo utente.

I cookies sono stringhe di testo di piccole dimensioni che i siti internet visitati dall’utente inviano al suo terminale (di solito, rappresentato dal browser), dove vengono memorizzati per essere poi trasmessi agli stessi siti web alla successiva visita del medesimo utente.

Fatta questa doverosa premessa, ai fini di una corretta regolamentazione di tali dispositivi, risulta doveroso distinguerli giacché gli stessi, non possedendo delle peculiari caratteristiche tecniche, sono tra loro classificabili soltanto sulla base delle finalità perseguite dal soggetto che ha deciso di utilizzarli.

A tal riguardo, sono state, pertanto, individuate due macro categorie di cookies, ossia i cookies “tecnici” ed i cookies “di profilazione”.

Cookies tecnici

I cookies “tecnici” sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122 comma 1 del novellato D. Lgs. n. 196/2003): nel dettaglio, tale tipologia di marcatori può essere, a sua volta, ulteriormente suddivisa nelle seguenti micro categorie: a) cookies di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito internet (es. permettono di realizzare un acquisto ovvero permettono di autenticarsi per accedere ad una area riservata); b) cookies analytics, i quali sono considerati assimilati ai cookies “tecnici” laddove utilizzati direttamente dal gestore del sito internet per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito medesimo; c) cookies di funzionalità, i quali permettono all’utente la navigazione del sito internet, in funzione di una serie di criteri da questi selezionati (es. lingua, prodotti) al fine di migliorare il servizio reso allo stesso.

Cookies di profilazione

All’opposto, i cookies “di profilazione” sono quei dispositivi finalizzati a creare profili relativi all’utente, e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete (cd. behavioural advertising): a tal riguardo, giova precisare che l’attività di profilazione ex art. 22 del GDPR consiste – così come chiarito all’interno de “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679” del 6.2.2018 a firma del Gruppo di Lavoro Art. 29 – nella raccolta di informazioni su una persona (o su un gruppo di persone) e nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o far previsioni, ad esempio, in merito alla capacità di eseguire un compito, ad interessi o, infine, ad un comportamento probabile.

Ciò posto, risulta ora doveroso procedere ad illustrare, nel dettaglio, la sostanziale differenza, in tema di onere di raccolta del consenso dell’utente visitatore del sito internet, che sussiste tra le poc’anzi descritte due macro categorie di cookies.

Raccolta del consenso

Così come ricordato nel Provvedimento n. 229 del 8.5.2014 a firma del Garante della Privacy, i cookies “tecnici” possono essere installati su un sito internet in assenza del consenso dell’utente in ossequio al combinato disposto tra l’art. 122 comma 1 del novellato D. Lgs. n. 196/2003, il Considerando n. 66 della Direttiva n. 2009/136/CE del 25.11.2009 e l’art. 5 paragrafo 3 della Direttiva n. 2002/58/CE del 12.7.2002, fatto salvo, tuttavia, l’onere di fornire l’informativa ex art. 13 del Regolamento UE n. 679/2016, che il gestore del sito web potrà mettere a disposizione con le modalità che ritiene più idonee: dunque, è evidente che limitatamente a tali cookies, l’attività degli operatori risulta semplificata, in quanto essi non devono ottenere un consenso preventivo in tutti quei casi in cui l’utilizzo di cookies o altri dispositivi memorizzati sui terminali degli utenti serva esclusivamente a scopi tecnici oppure risponda a specifiche richieste dell’utente di un servizio internet; l’assenza dell’obbligatorio consenso riduce, infatti, la consapevolezza del soggetto interessato, il quale deve essere necessariamente fondata su un’informativa chiara e di immediata comprensione.

A mero scopo esemplificativo, le seguenti tipologie di cookies – come chiarito nel Parere n. 4/2012 del 7.6.2012 a firma del Gruppo di Lavoro Art. 29 – non necessitano dell’acquisizione, da parte del gestore del sito internet, del consenso preventivo ed informato dell’utente:

Cookies installati nel terminale dell’utente/contraente direttamente dal titolare del singolo sito internet, se non sono utilizzati per scopi ulteriori (es. cookies di sessione utilizzati per il carello degli acquisti online);
Cookies utilizzati per analizzare statisticamente gli accessi e/o le visite al sito internet, nel caso in cui perseguano esclusivamente scopi statistici e raccolgano informazioni in forma aggregata.

Per quanto invece concerne i cookies “di profilazione”, si rileva che, nel rispetto dell’art. 5 paragrafo 3 della Direttiva n. 2002/58/CE del 12.7.2002 (poi modificata dalla Direttiva n. 2009/136/CE del 25.11.2009) (cd. Direttiva e-privacy), vige, a tal riguardo, il principio del cd. opt-in, in base al quale risulta necessario che, affinché i cookies in questione possano essere installati sul terminale dell’utente nel corso della sua navigazione in Internet, l’utente medesimo debba aver espresso un valido, preliminare e libero consenso al trattamento, previsa sottoposizione di un’informativa chiara e completa in merito alle modalità e finalità di trattamento.

Nello specifico, è stato sottolineato che il consenso ex art. 4 n. 11) del GDPR deve essere espresso mediante un atto positivo inequivocabile con il quale il soggetto interessato manifesta l’intenzione libera, specifica ed informata di accettare il trattamento dei dati personali che lo riguardano: di conseguenza, in ossequio al Considerando n. 32 del GDPR viene escluso, in modo assoluto, che non configura il consenso il silenzio, l’inattività del soggetto interessato ovvero la preselezione di caselle, giacché in tal caso non sussisterebbe un “azione positiva inequivocabile”, da intendersi nel senso che il soggetto interessato deve aver intrapreso un’azione deliberata per acconsentire allo specifico trattamento (cfr. sezione 3.4. de “Linee guida sul consenso ai sensi del regolamento (ue) 2016/679” del 10.4.2018 a firma del Gruppo di Lavoro Art. 29).

Tale principio, peraltro, è stato, di recente, ribadito nella sentenza del 1.10.2019 ove la Corte di Giustizia dell’Unione Europea ha affermato, proprio in relazione ai cookies, testualmente che “...il consenso all’archiviazione di informazioni o all’accesso a informazioni, attraverso cookie installati nell’apparecchiatura terminale dell’utente di un sito Internet, non è validamente espresso quando l’autorizzazione risulta da una casella di spunta preselezionata, e ciò indipendentemente dal fatto che le informazioni di cui trattasi costituiscano o meno dati a carattere personale...”.  

Come creare il banner

Tenuto a mente quanto poc’anzi espresso, in relazione all’onere, in capo al gestore del sito internet, di fornire l’informativa sui cookies al soggetto interessato, il Garante della Privacy ha affermato, all’interno del già citato Provvedimento n. 229 del 8.5.2014, che nel momento in cui l’utente accede ad un sito web deve essergli presentata una prima informativa cd. breve, contenuta all’interno di un banner (di idonee dimensioni, ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando) a comparsa immediata sulla home page, integrata poi da un’informativa cd. estesa, alla quale si accede attraverso un link cliccabile dall’utente.

In particolare, è stato precisato che, laddove il sito internet in questione faccia uso dei cookies “di profilazione”, il banner in questione deve inderogabilmente contenere le seguenti indicazioni:

  1. a) che il sito internet utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. b) il link all’informativa cd. estesa;
  3. c) l’indicazione che la prosecuzione della navigazione mediante l’accesso ad un'altra area del sito o la selezione di un elemento dello stesso (es. immagine; link; casella) comporta la prestazione del consenso all’uso dei cookies.

Per concludere, cookies di terze parti

Da ultimo, è doveroso ora occuparsi dei cookies cd. “terze parti”, i quali sono rappresentati da quei dispositivi che vengono installati, su un determinato sito internet, da un soggetto differente dal gestore del sito web in questione (cd. editore): in merito, è stato affermato, a più riprese, che non è possibile porre, in capo all’editore, l’obbligo di fornire l’informativa ed acquisire il consenso all’installazione dei cookies nell’ambito del proprio sito anche per quelli installati dalle "terze parti”.

A proposito di privacy

Conosci Privacy in Cloud?

Privacy in Cloud è il Software in Cloud di TeamSystem, ricco di funzionalità e con un’interfaccia intuitiva, ti consente di aderire al nuovo Regolamento UE 2016/679. Scoprilo!

Richiesta Informazioni