Informativa per il consenso all’uso dei cookie – Information regarding the consent alll’uso cookies

Identifying ways simplified information and acquisition of consent for the use of cookies – May 8, 2014
(Published in the Official Gazette no. 126 of June 3, 2014)

Record of the action
n. 229 of 8 May 2014

THE GUARANTEES FOR THE PROTECTION OF PERSONAL DATA

Convened today in the presence of Dr. Antonello Soro, President, Dr Augusta Iannini, vice president, Dr Giovanna Bianchi Clerici and Prof. Licia Califano, and Mr.. Giuseppe Busia, secretary general;

HAVING REGARD TO Directive 2002/58 / EC of 12 July 2002, the European Parliament and of the Council concerning the processing of personal data and the protection of privacy in the electronic communications sector;

HAVING REGARD TO Directive 2009/136 / EC of 25 November 2009, the European Parliament and of the Council amending Directive 2002/22 / EC on universal service and users’ rights relating to networks and electronic communications services, the Directive 2002/58 / EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No. No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection;

GIVEN the Legislative Decree 28 May 2012, n. 69 “Amendments to the Decree of 30 June 2003, n. 196, law on the protection of personal data in application of Directives 2009/136 / EC, concerning the processing of personal data and protection of privacy in the electronic communications sector, and 2009/140 / EC relating to networks and electronic communications services and Regulation (EC) No. No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection “(published in the Official Gazette of May 31, 2012 n. 126);

CONSIDERING the Code regarding the protection of personal data (legislative decree of 30 June 2003, no. 196, the “Code”) and, in particular, Articles. 13, paragraph 3 and 122, paragraph 1;

GIVEN the previous resolution of the Guarantor entitled “Starting a public consultation in accordance with art. 122 in order to identify simplified procedures for the information on article. 13, paragraph 3, of the Code for the Protection of Personal Data “(Del. N. 359 of 22 November 2012, in the Official Gazette of December 19, 2012 n. 295);

IN VIEW of the information provided on the subject by the Working Group for the protection of personal data ex art. 29, in particular in Opinion 04/2012 on Cookie Consent Exemption, adopted on 7 June 2012, and in the Working Document 02/2013 providing guidance on Obtaining consent for cookies, adopted 2 October 2013 (available respectively to link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf and http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf);

TAKING INTO ACCOUNT the results of the contributions received by the Guarantor from the main suppliers of electronic communications services, as well as by consumer associations and economic categories involved who participated in the aforementioned public consultation;

CONSIDERING the additional issues raised at meetings held in September 2013 and February 2014 with the Authority, as part of the working group initiated by the same in order to call for a new and more direct comparison with the above-mentioned subjects, as well as with representatives of the academia and research dealing with issues of interest;

It DEEMED necessary to adopt, in accordance with the provisions of Articles. 13, paragraph 3, 122, paragraph 1 and 154, paragraph 1, lett. c) of the Code, a general measure, with which in addition to identifying the simplified arrangements for making the information online users on archiving cd cookies on their terminals by the visited websites is meant to provide guidance on appropriate ways in which to proceed to the acquisition of the consent of the same, where required by law;

CONSIDERING that the rules governing the use of cd Cookies also covers other similar tools (such as web beacons / web bugs, clear GIFs or other), which allow the identification of the user or terminal and thus should be included under this measure;

HAVING REGARD to the considerations made by the Secretary General pursuant to Section. 15 of Regulation No. 1/2000;

SPEAKER Dr. Antonello Soro;

INTRODUCTION

1. Preliminary considerations.

Cookies are small text strings that the sites visited by the user to send his terminal (usually the browser), where they are stored before being re-transmitted to the same sites at the next visit to the same user. During the navigation of a site, you can get on to their terminals even cookies that are sent to different sites or web server (so-called “third party”), on which they may reside some elements (such as, for example, images, maps, sounds, links to specific pages in other domains) on the same site that are visiting.

Cookies, usually found in the users browser in very large number and sometimes with characteristics of large persistence time, are used for different purposes: execution of authentication information, monitoring sessions, storing information about specific configurations about users who access server, etc.

In order to reach a proper regulation of these devices, it is necessary to distinguish that place there are the technical characteristics that differentiate them from each other right on the basis of the objectives pursued by those who use them. In this direction it is moved, however, the legislature, which, in implementation of the provisions of Directive 2009/136 / EC, has brought the obligation to obtain the prior informed consent of users to have cookies used for purposes other than purely technical (cfr. art. 1, paragraph 5, letter. a) of the d. lgs. May 28, 2012, n. 69, which amended Article. 122 of the Code).

In this regard, and for the purposes of this provision, it therefore identifies two main categories: cookie “technical” and cookies “profiling”.

a. Cookie technicians.

Cookies technicians are those used for the sole purpose of “carrying out the transmission of a communication over an electronic communications network, or as strictly necessary for the provider of an information society service explicitly requested by the subscriber or user to provide this service “(cfr. art. 122, paragraph 1, of the Code).

They are not used for other purposes and are usually installed by the owner or operator of the website. Can be divided into cookies or browsing session, which guarantee the normal navigation and use of the website (allowing, for example, to make a purchase or authenticate for access to restricted areas); analytics cookies, similar to cookies where technicians used directly by the site operator to collect information, in aggregate, the number of users and how they visit the site; cookie functionality, which allow the user browsing function of a set of selected criteria (for example, the language, the products selected for purchase) in order to improve the service rendered to the same.

For the installation of these cookies you are not required the prior consent of the user, while it remains subject to the obligation to provide the information pursuant to art. 13 of the Code, the operator of the site, if you use only such devices may provide in the manner it deems most appropriate.

b. Cookie profiling.

Cookies profiling are aimed at creating profiles user and are used in order to send advertising messages in line with the preferences shown by the same part of surfing the net. Given the considerable invasiveness that such devices may be part of the private sphere of the users, the European and Italian legislation requires the user to be properly informed on the use of the same and express their valid consent.

They refers to the art. 122 of the Code where it provides that “the storage of information in the terminal equipment of a contractor or a user or access to information already stored, are only allowed on condition that the contractor or the user has given consent after It was informed by the simplified procedures referred to in Article 13, paragraph 3 “(art. 122, paragraph 1, of the Code).

2. Parties involved: publishers and “third party”.

Another item to consider, for the correct definition of the matter under consideration, is subjective. It must, that is, take into account the different subject that installs cookies on the user’s terminal, depending on whether it is the same site manager that the user is visiting (which can be briefly referred to as “publisher”) or site other than that installs cookies through the first (called “third parties”).

Based on the findings of the public consultation, it is considered necessary that this distinction between the two aforementioned individuals is taken into due account in order to correctly identify the respective roles and responsibilities, in relation to the release of the information and all ‘ obtaining the consent of the users online.

There are many reasons why it is not possible to put the editor in chief is obliged to provide the information and obtain the consent to the installation of cookies on its website for those set up by “third parties”.
First, the publisher should always have the tools and the economic and legal capacity to assume the obligations of third parties and should therefore also be able to verify each time the correspondence between the statements by third parties and the purposes they really pursued with the use of cookies. This is made very difficult by the fact that the publisher often do not know directly all third-party cookies that install through its website and, therefore, even the logic underlying the relative treatments. Also, often between the publisher and third parties stand in the way persons who perform the role of dealers, resulting in fact very complex for the publisher of the control over all involved.

Cookies third parties may then be modified by third party providers over time and would be impractical to ask publishers to also keep track of these changes later.

It should also take account of the fact that often the publishers, which include individuals and small businesses, are the most “weak” relationship. Instead, when the third party are usually large companies are characterized by considerable economic weight, normally serve a number of publishers and can be compared to the individual publisher, also very numerous.

It is therefore considered that, also because of the reasons listed above, you can force the publisher to enter the home page of their website also the text of the information relating to cookies installed through it by third parties. This would lead, however, a general lack of clarity of the information released by the publisher, while making extremely tiring for the user to read the document and therefore the understanding of the information contained therein, thereby thwarting even the desire for simplification provided for by ‘art. 122 of the Code.

Similarly, with regard to the acquisition of consent for cookies profiling, having necessarily -for these reasons distinguishing between the respective positions of publishers and third parties, it is believed that publishers, with which users establish a direct relationship with access to its website, necessarily assume a dual role.

These subjects, in fact, on the one hand are data controllers as cookies installed directly from your site; on the other, can not discerned a co-ownership with the third-party cookies that install themselves through them, it is considered proper to consider them as a kind of technical intermediaries between them and the users. And they are, therefore, in that capacity, as will be seen below, are called to work in this resolution, with reference to the release of the information and the acquisition of the online users’ consent with regard to third-party cookies.

3. Impact of the rules governing the cookie on the network.

Cookies have several important functions in the network. Any decision on the modalities of information and consent online, covering virtually anyone with an Internet site, will have a tremendous impact on a huge number of subjects, which are also, as has been said, the nature and characteristics very different from each other.

The Ombudsman is aware of the scope of this decision, therefore considers it necessary that the measures prescribed in the same • Under the provisions of art. 122, paragraph 1, of the Code are, firstly, that allow users to express choices really aware installation of cookies by manifestation of a specific and express consent (according to art. 23 of the Code) and, on the other hand, present the least possible impact in terms of interruption of the navigation of such users and use, on their part, IT services.

These conflicting requirements, it became clear even during the consultation and public meetings held by the Authority, it is taken into account in the first place in determining the manner in which to provide notice in a simplified form.

It is also the belief of the Guarantor that the two issues, the information and consent, should be necessarily treated jointly in order to prevent the use of modes of expression of consent online operations requiring excessively complex by users jeopardize the simplification achieved in ‘statement.

4. The information with simplified procedures and the acquisition of consent online.

For the purpose of simplification of the information, it is believed that an effective solution, which is subject to the requirements of Article. 13 of the Code (including a description of each cookie), is to set the same on two successive levels of detail.

When the user accesses a website, must be submitted to him a first information “short”, contained in a banner on the home page pop-immediate (or other page through which the user can access the site), integrated from disclosure “extended”, which is accessed by the user through a clickable link.

So the simplification is effective, it is considered necessary that the request for consent to the use of cookies is inserted right in the banner containing the information shortly. Users who wish to have more detailed information and differentiate their choices on the different cookies stored by the site visited, can access other site pages, containing, in addition to the text of the information extended, the opportunity to express choices specifications.

4.1. The banner contains brief information and consent solicitation.

More precisely, when you access the home page (or any other page) of a website, you must immediately appear in the foreground a banner of suitable size that is large enough to provide a noticeable discontinuity through the contents of the webpage you are visiting with the following information:

a) that the site uses cookies profiling in order to send advertising messages in line with the preferences expressed by the user in the field of web browsing;

b) that the site also allows sending cookie “third parties” (where this happens of course);

c) the link to the information extended, where provides guidance on the use of cookies and technical analytics, you are given the opportunity to choose which specific cookie authorize;

d) a statement that the information on extended you can opt out of any cookie installation;

e) an indication that the continuation of the navigation through access to another area of the site or selecting an item of the same (for example, an image or a link) involves the provision of consent to the use of cookies.

The aforementioned banner, as well as having to make large enough to accommodate the information, albeit brief, must be an integral part of positive action which is embodied in the manifestation of consent. In other words, it must determine a discontinuity, albeit minimal, of the navigation experience: overcoming the presence of the banner to the video must be possible only through active intervention of the user (in fact through the selection of an element in the page below the same banner).

This is without prejudice of course the opportunity for publishers to use methods other than that described for the acquisition of the consent to the use of cookies online users, provided that such arrangements ensure compliance with the provisions of art. 23, paragraph 3, of the Code.

In accordance with the general principles, it is necessary in any case of services provided that the consent is tracked by the editor, who may for this purpose use a suitable cookie technical system that does not seem particularly invasive (to that effect, see also recital 25 of Directive 2002/58 / EC).

The presence of this “documentation” of the choices the user then allows the publisher to not repeat the disclosure brief second visit to the same user on the same site, of course without prejudice to the possibility for the user to refuse consent and / or change, at any time and in an easy manner, their options regarding the use of cookies by the site, for example, through access to the information extended, that should be linkable from each page.

4.2. The wide information.

The expanded disclosure must contain all the elements provided by art. 13 of the Code, describing specifically and analytical features and purposes of cookies installed by the site and allow the user to select / deselect individual cookies. It must be accessible through a link included in the informative brief, as well as through a reference of each page of the site, located at the bottom of it.

Within this disclosure, it must also enter the current link to information and consent forms of third parties with whom the publisher has signed agreements for the installation of cookies through its website. If the publisher has indirect contact with the third party, it will link the sites of those who act as intermediaries between him and the same third party. It can not exclude the possibility that such links with the third party is collected within a single website operated by someone other than the editor, as in the case of dealers.

In order to maintain the distinct responsibilities of publishers from that of the third party in relation to the information made and the consensus acquired for cookies latter through its website, it is considered necessary that the publishers themselves acquire, already under contract, the abovementioned link from third parties (meaning also the same dealers).

In the same space of the information must be called extended the possibility for the user (which also refers to the art. 122, paragraph 2, of the Code) to express their options regarding the use of cookies by Site even through the browser settings, indicating at least the steps you need to configure these settings. If, then, the technology used by the site is consistent with the version of the browser used by the user, the publisher will be able to set up a direct connection to the browser section dedicated to the same settings.

5. Notification of the treatment.

Remember that the use of cookies is one of the treatments to be notified to the Guarantor pursuant to art. 37, paragraph 1, lett. d) of the Code, where the aim is to “define the profile or personality, or to analyze habits or consumption choices, or to monitor the use of electronic communications services with the exception of the treatments technically needed to provide services to users. “

The use of cookies is, however, from the obligation of notification on the basis of the provisions of the ruling dated 31 March 2004, which specifically included among the treatments exempt from the aforementioned obligation, those “related to the use of markers electronic or similar equipment are installed or stored temporarily, and not persistent, in the terminal equipment of a user, consisting of the single transmission of session identification in accordance with the applicable regulations, the sole purpose of facilitating access to content an Internet site “(resolution no. 1 of 31 March 2004, published in Official Gazette of 6 April 2004 n. 81).

From the above scenario, it appears therefore that while the cookie profiling, which have characteristics of permanence in time, are subject to the notification, the cookies instead have different purposes and which fall within the category of technical cookies, which They are also similar cookies analytics (v. point 1, lett. a) of this provision), should not be notified to the Guarantor.

6. Time adjustment.

As mentioned previously, the Guarantor is aware of the impact, including economic, that will discipline the cookie on the sector of information society services and, therefore, that the implementation of the necessary measures to implement the This measure will require substantial efforts, also in terms of time.

For this reason, it is considered appropriate to provide for a transitional period of one year from the publication of this decision in the Official Gazette to enable stakeholders in this decision to be able to use simplified procedures identified therein.

7. Consequences of failure to comply with rules on cookies.

Remember that in the event of failure to give information or inappropriate, ie which does not have all the items shown, as well as the provisions of art. 13 of the Code, in this provision, there is the administrative sanction for payment of a sum of six thousand to thirty-six thousand euro (art. 161 of the Code).

The installation of cookies on users’ terminals without the prior consent of the same acts, however, the sanction of the payment of a sum of ten thousand to one hundred and twenty thousand euro (Art. 162, paragraph 2-bis, of the Code).

Failure or incomplete notification to the Guarantor, finally, under the provisions of art. 37, paragraph 1, lett. d) of the Code, it is punished with the payment of a sum of twenty thousand to one hundred and twenty thousand euro (art. 163 of the Code).

EVERYTHING ‘WHEREAS THE SPONSOR

1. pursuant to articles. 122, paragraph 1 and 154, paragraph 1, lett. h) of the Code -ai the detection mode of simplified information that operators of websites, as further specified in the introduction, they are required to provide users with regard to cookies and other devices installed by or on the through its website it states that when you access the home page (or any other page) of a website, must immediately appear in the foreground a banner of appropriate size with the following information:

a) that the site uses cookies profiling in order to send advertising messages in line with the preferences expressed by the user in the field of web browsing;

b) that the site also allows sending cookie “third parties” (where this happens of course);

c) the link to the information extended, which must contain the following additional information regarding:

• use of cookies technical and analytics;

• option to choose which specific cookie authorize;

• possibility for the user to express their options regarding the use of cookies by the website through the browser settings, indicating at least the steps you need to configure these settings;

d) a statement that the information on extended you can opt out of any cookie installation;

e) an indication that the continuation of the navigation through access to another area of the site or selecting an item of the same (for example, an image or a link) involves the provision of consent to the use of cookies;

2. pursuant to art. 154, paragraph 1, lett. c) of the Code for the purpose of maintaining the distinct responsibilities of website operators, as further specified in motivation, from that of third-party orders the same managers to acquire already under contract connections (links) to web pages containing information and modules for the acquisition of its consent to the cookies of third parties (meaning also dealers).

Is that a copy of this decision be forwarded to the Ministry of Justice for its publication in the Official Gazette of the Italian Republic by the Office publication laws and decrees.

Rome, May 8, 2014

PRESIDENT
Soro

THE SPEAKER
Soro

THE SECRETARY GENERAL
Busia

 ————————————————————————————————-

ITALIANO

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)

Registro dei provvedimenti
n. 229 dell’8 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

VISTA la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in  materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori;

VISTO il decreto legislativo 28 maggio 2012, n. 69 “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori” (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012 n. 126);

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”) e, in particolare, gli artt. 13, comma 3 e 122, comma 1;

VISTA la precedente deliberazione del Garante recante “Avvio di una consultazione pubblica ai sensi dell’art. 122 volta ad individuare modalità semplificate per l’informativa di cui all’art. 13, comma 3, del Codice in materia di protezione dei dati personali” (Del. n. 359 del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre 2012 n. 295);

TENUTO CONTO delle indicazioni fornite sul tema dal Gruppo di lavoro per la tutela dei dati personali ex art. 29, in particolare nella Opinion 04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e nel Working Document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf);

TENUTO CONTO delle risultanze dei contributi pervenuti al Garante dai principali fornitori di servizi di comunicazione elettronica, nonché dalle associazioni dei consumatori e delle categorie economiche coinvolte che hanno partecipato alla suindicata consultazione pubblica;

CONSIDERATI gli ulteriori elementi emersi in occasione degli incontri tenutisi a settembre 2013 e febbraio 2014 presso l’Autorità, nell’ambito del tavolo di lavoro avviato dalla stessa al fine di sollecitare un nuovo e più diretto confronto con i suindicati soggetti, nonché con esponenti del mondo accademico e della ricerca che si occupano delle tematiche di interesse;

RITENUTO necessario adottare, ai sensi del combinato disposto degli artt. 13, comma 3, 122, comma 1 e 154, comma 1, lett. c), del Codice, un provvedimento di carattere generale, con il quale  oltre a individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati  si intende fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge;

CONSIDERATO che la disciplina relativa all’uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale e che quindi devono essere ricompresi nell’ambito del presente provvedimento;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSA

1. Considerazioni preliminari.

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli  posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri  proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice).

Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macro-categorie: cookie “tecnici” e cookie “di profilazione”.

a. Cookie tecnici.

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

b. Cookie di profilazione.

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).

2. Soggetti coinvolti: editori e “terze parti”.

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”).

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.
In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell’informativa rilasciata dall’editore, rendendo nel contempo estremamente faticosa per l’utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l’intento di semplificazione previsto dall’art. 122 del Codice.

Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte  tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

3. Impatto della disciplina in materia di cookie sulla rete.

I cookie svolgono diverse e importanti funzioni nell’ambito della rete. Qualunque decisione in merito alle modalità di informativa e consenso online, riguardando in pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impatto su un numero enorme di soggetti, che presentano peraltro, come si è detto, natura e caratteristiche profondamente diverse tra loro.

Il Garante, consapevole della portata della presente decisione, ritiene pertanto necessario che le misure prescritte nella stessa -ai sensi di quanto previsto dall’art. 122, comma 1, del Codice  siano, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull’installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (come previsto dall’art. 23 del Codice) e, dall’altro, presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.

Di tali opposte esigenze, emerse chiaramente anche in occasione della consultazione pubblica e degli incontri tenuti dall’Autorità, si tiene conto in primo luogo nella determinazione delle modalità con le quali rendere l’informativa in forma semplificata.

È peraltro convinzione del Garante che i due temi, dell’informativa e del consenso, vadano necessariamente trattati in maniera congiunta, onde evitare che il ricorso a modalità di espressione del consenso online che richiedano operazioni eccessivamente complesse da parte degli utenti vanifichino la semplificazione realizzata nell’informativa.

4. L’informativa con modalità semplificate e l’acquisizione del consenso online.

Ai fini della semplificazione dell’informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall’art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi.

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.

Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.

4.1. Il banner contenente informativa breve e richiesta di consenso.

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l’acquisizione del consenso online all’uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall’art. 23, comma 3, del Codice.

In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere linkabile da ogni pagina del sito.

4.2. L’informativa estesa.

L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l’eventualità che tali collegamenti con le terze parti siano raccolti all’interno di un unico sito web gestito da un soggetto diverso dall’editore, come nel caso dei concessionari.

Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

5.  Notificazione del trattamento.

Si ricorda che l’uso dei cookie rientra tra i trattamenti soggetti all’obbligo di notificazione al Garante ai sensi dell’art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.

L’uso dei cookie è, invece, sottratto all’obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli “relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo  fine di agevolare l’accesso ai contenuti di un sito Internet” (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento), non debbono essere notificati al Garante.

6. Tempi di adeguamento.

Come già evidenziato in precedenza, il Garante è consapevole dell’impatto, anche economico, che la disciplina sui cookie avrà sull’intero settore della società dei servizi dell’informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate.

7. Conseguenze del mancato rispetto della disciplina in materia di cookie.

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

TUTTO CIO’ PREMESSO IL GARANTE

1. ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice -ai fini dell’individuazione delle modalità semplificate per l’informativa che i gestori di siti web, come meglio specificati in premessa, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito  stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

•  uso dei cookie tecnici e analytics;

•  possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;

2. ai sensi dell’art. 154, comma 1, lett. c), del Codice  ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti  prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).

Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell’Ufficio pubblicazione leggi e decreti.

Roma, 8 maggio 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia