Italy on english version Italia in italiano Italia en español
Welcome to 1° Italian Business Area Italy regions landscape world links sviluppo siti web Music, Cinema, arts, appointments, culture

1° Area Aziende Italiane

Bookmark and Share

Europa / Italia / / /

Legge / Internet / Webmaster

Normativa Cookies , errata corege, tra le interpretazioni del garante ed il decreto legge

La legge che sta facendo impazzire i webmaster

Normativa Cookies , errata corege, tra le interpretazioni del garante ed il decreto legge

Chi ha seguito il tema ha certamente fatto il percorso della maggior parte di noi andando sul sito del garante a leggere l'informativa al riguardo l'obbligo scattato il 2 Giugno 2015 in tema di Cookies rilasciati da i siti web.


Partiamo un po' più indietro:

Decreto legislativo 30 giugno 2003, n. 196
CODICE INMATERIA DI PROTEZIONE DEI DATI PERSONALI
(Pubblicato sulla GU n.174 del 29-7-2003 - Suppl. Ordinarion.123)
Art. 122. Informazioniraccolte nei riguardi del contraente†o dell'utente*

1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
http://www.privacy.it/codiceprivacy.html#art122

Qui non si parla di cookies ma si parla di archiviazione di dati nell'apparecchio dell'utente, dove si potrebbe intendere anche i cookies.

Ma cosa ci ha detto il garante ? ( recupero degli stralci dalle comunicazioni ufficiali)


Informativa e consenso per l'uso dei cookie
6. È necessario il consenso dell'utente per l'installazione dei cookie sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione".
Per l'installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell'utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
7. In che modo il titolare del sito deve fornire l'informativa semplificata e richiedere il consenso all'uso dei cookie di profilazione?
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l'informativa va impostata su due livelli.
Nel momento in cui l'utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa "breve", la richiesta di consenso all'uso dei cookie e un link per accedere ad un'informativa più "estesa". In questa pagina, l'utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
9. Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell'utente.
Deve contenere il link all'informativa estesa e l'indicazione che, tramite quel link, è possibile negare il consenso all'installazione di qualunque cookie.
Deve precisare che se l'utente sceglie di proseguire "saltando" il banner, acconsente all'uso dei cookie.
10. In che modo può essere documentata l'acquisizione del consenso effettuata tramite l'uso del banner?
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale "documentazione", non è necessario che l'informativa breve sia riproposta alla seconda visita dell'utente sul sito, ferma restando la possibilità per quest'ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all'informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.
13. Cosa deve indicare l'informativa "estesa"?
Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l'installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?
Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077


Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)


4.1. Il banner contenente informativa breve e richiesta di consenso.
Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:
a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
c) il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie.
Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parte integrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).
Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l'acquisizione del consenso online all'uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall'art. 23, comma 3, del Codice.
In conformità con i principi generali, è necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia da parte dell'editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).
La presenza di tale "documentazione" delle scelte dell'utente consente poi all'editore di non riproporre l'informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito, ad esempio tramite accesso all'informativa estesa, che deve essere linkabile da ogni pagina del sito.
1. ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice -ai fini dell'individuazione delle modalità semplificate per l'informativa che i gestori di siti web, come meglio specificati in premessa, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito  stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

TUTTO CIO' PREMESSO IL GARANTE
a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;
b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada);
c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:
•  uso dei cookie tecnici e analytics;
•  possibilità di scegliere quali specifici cookie autorizzare;
• possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie;
e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie;

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Ultima FAQ del 5/06/15


Esclusi i cookie tecnici, anche nella nuova normativa la regola generale per "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate" resta quella del consenso preventivo e informato dell'utente (opt-in). Ciò vuol dire che tutti i cookie non qualificabili come "tecnici"  che presentano peraltro maggiori criticità dal punto di vista della protezione della sfera privata degli utenti, come ad esempio, quelli usati per finalità di profilazione e marketing  non possono essere installati sui terminali degli utenti stessi se questi non siano stati prima adeguatamente informati e non abbiano prestato al riguardo un valido consenso.

In primo luogo, dunque, l'uso di qualunque strumento al fine di acquisire il consenso dell'utente all'installazione di cookie dovrebbe essere preceduto da un'idonea informativa, in modo tale da permettere all'utente di scegliere quali cookie accettare e per quali finalità.
Gli strumenti ai quali fa riferimento la previsione sopra richiamata sono, allo stato, diversi e non è escluso che, anche in poco tempo, la creatività dell'industria pubblicitaria e degli operatori della rete ne sviluppino di nuovi.

6. Chi è tenuto a informare gli utenti e ad acquisirne il consenso?
L'obbligo di informare l'utente sull'uso dei cookie e di acquisirne il preventivo consenso incombe sul gestore del sito che li usa, in qualità di titolare del trattamento.
Nel caso in cui un sito consenta la trasmissione anche di cookie di "terze parti" (v. punto 1), l'informativa e l'acquisizione del consenso sono di norma a carico del terzo. È necessario che l'utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale.


http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2142939

La grossa diatriba è in particolare su i cookies di terze parti, dove pur dichiarando che il responsabile del consenso, è il soggetto terzo, dice anche che l'utente può proseguire la navigazione solo dopo aver compiuto un azione dopo l'esposizione del banner , prima di cui non è consentito istallare cookies


Cosa dice il decreto legge : (stralcio preso dalla gazzetta ufficiale sottto indicata)


2. Soggetti coinvolti: editori e "terze parti".
Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, e' quello soggettivo. Occorre, cioe', tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che puo' essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").
Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare
correttamente i rispettivi ruoli e le rispettive responsabilita', con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.
Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".
In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacita' economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalita' da esse realmente perseguite con l'uso dei cookie.
Cio' e' reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attivita' di tutti i soggetti coinvolti.
I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte piu' "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi societa' caratterizzate da notevole peso economico, servono normalmente una pluralita' di editori e possono essere, rispetto al singolo editore, anche molto numerose.
Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Cio' determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con cio' vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice.
Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente - per le ragioni suesposte - tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.
Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarita' con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed e', quindi, in tale veste che, come si vedra' piu' avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

Segue :
All'interno di tale informativa, deve essere inserito anche il link
aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovra' linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l'eventualita' che tali collegamenti con le terze parti siano raccolti all'interno di un unico sito web gestito da un soggetto diverso dall'editore, come nel caso dei concessionari.

http://www.gazzettaufficiale.it/eli/id/2014/06/03/14A04066/sg#

sanzione da 6mila a 36mila euro per chi omette l’informativa o la fornisce incompleta

da 10mila a 120mila euro per chi continua a usare i cookie senza prima essersi procurato il consenso dell’utente.

Quindi rimane nella Legge che: i Cookies non possono essere installati senza consenso preventivo, ma il responsabile della presa del consenso è il soggetto terzo, l'editore è un intermediario tecnico, e non c'è spiegato altro, rimanendo troppo sul vago; la domanda è: se sei intermediario tecnico, sei responsabile in parte o meno, o rimane responsabile totalmente il soggetto terzo?
Speriamo di avere chiarimenti al riguardo quanto prima.

http://www.gazzettaufficiale.it/eli/id/2014/06/03/14A04066/sg

Fonte: http://www.bitit.it