Vietata l'installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti internet senza avere prima informato gli utenti e avere ottenuto il loro consenso. Chi naviga on line potrà decidere in modo libero e consapevole se lasciare usare o meno le informazioni raccolte sui siti visitati per ricevere pubblicità mirata. Lo ha stabilito un provvedimento generale (n. 229 dell'8 maggio 2014) del Garante della privacy, pubblicato sulla Gazzetta ufficiale n. 126 del 3 giugno 2014. Tale provvedimento, adottato al termine di una consultazione pubblica, ha individuato modalità semplificate per presentare agli utenti l'informativa on line sull'uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.
I cookie sono piccole righe di testo che i siti visitati inviano al terminale (computer, tablet, smartphone o notebook) dell'utente, dove vengono memorizzati per essere ritrasmessi agli stessi siti alla visita successiva. Vengono usati per eseguire autenticazioni informatiche, monitorare sessioni di navigazione e memorizzare informazioni sui siti, ma anche per raccogliere dati su gusti, abitudini, scelte personali che permettono la ricostruzione di dettagliati profili dei consumatori.
Più precisamente, il provvedimento in oggetto individua due macro-categorie di cookie:
- Cookie "tecnici", ossia quelli utilizzati al solo fine di trasmettere una comunicazione su una rete di comunicazione elettronica. Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, né è necessaria la notificazione al Garante, ma (ai sensi dell'art. 13 del Codice) resta obbligatorio dare l'informativa, secondo le modalità ritenute più opportune dal gestore del sito, se utilizza soltanto tali dispositivi.
- Cookie "di profilazione", tesi a creare profili relativi all'utente e impiegati per inviare messaggi pubblicitari in linea con le preferenze svelate dallo stesso nell'ambito della navigazione in rete. I cookie di profilazione, avendo caratteristiche di permanenza nel tempo, sono soggetti all'obbligo di notificazione (come previsto dall'art. 37, comma 1, lett. d), del Codice). Inoltre, data la particolare invasività di tali dispositivi sulla sfera privata degli utenti, la normativa europea e italiana prevede che l'utente venga adeguatamente informato sull'uso degli stessi ed esprima il proprio valido consenso.
Per tutelare la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha stabilito che, d'ora in avanti, quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un’inserzione ben visibile, che indichi chiaramente:
- l’utilizzo di cookie di profilazione da parte del sito internet per inviare messaggi pubblicitari mirati;
- la possibilità che il sito invii cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
- un link a una informativa più ampia, con indicazioni: sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione, direttamente o collegandosi ai vari siti se sono previsti cookie di "terze parti";
- l'indicazione che proseguendo nella navigazione (ad esempio accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.
In merito all'obbligo di conservare traccia del consenso dell'utente, al gestore del sito è permesso l’utilizzo di un cookie tecnico, affinché non sia riproposta l'informativa breve alla seconda visita dell'utente. Tuttavia, l'utente ha la possibilità di modificare le proprie scelte sui cookie tramite l'informativa estesa, che deve essere accessibile attraverso collegamenti ipertestuali da ogni pagina del sito.
A titolo esemplificativo, il Garante ha disposto un modello di banner disponibile sul proprio sito www.garanteprivacy.it . E’ previsto un periodo transitorio di un anno a partire dalla pubblicazione della presente decisione in Gazzetta Ufficiale per adeguarsi alle misure del provvedimento in oggetto, tenuto conto dell’impegno economico e di tempo necessario.
Le conseguenze del mancato rispetto della disciplina in materia di cookie sono:
- Per omessa informativa o informativa inidonea, ossia priva degli elementi indicati dal provvedimento in oggetto e dall'art. 13 del Codice: sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
- Per installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi: sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
- Per omessa o incompleta notificazione al Garante (ai sensi di quanto previsto dall'art. 37, comma 1, lett. d del Codice): pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).
04/02/2019 