COSA SONO I COOKIES E COME FARE PER GESTIRE IL PROPRIO SITO NEL RISPETTO DELLA LEGGE VIGENTE

Oggi giorno sentiamo parlare sempre di più di “cookies”, spesso collegandoli alla deliziosa ricetta di uno dei più famosi dolci di stampo americano. Ahimè, niente di più lontano dalla verità. Allora cosa sono questi “cookies”? e a cosa servono esattamente?

Ebbene, di per sé i cookies non sono altro che dei file di testo dentro i quali vengono memorizzate delle informazioni che vengono create al momento che un utente visitatore accede al sito interessato. A oggi, il 99,9% dei siti esistenti utilizzano questi strumenti, ormai esplosi sul web e diffusisi a macchia d’olio.

LA DIVERSA NATURA DEI COOKIES

I cookies vengono inviati sul sito visitato, o dall’editore del sito stesso o da web server diversi (“terze parti”). Il loro utilizzo più comune riguarda varie funzioni come esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

Ma facciamo chiarezza sulle varie tipologie presenti a oggi sulla rete:

  • cookies di profilazione
  • cookies tecnici

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica. Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in:

  1. cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  2. cookie analytics, finalizzati alla raccolta di informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
  3. cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

AZIENDE E NORMATIVA: UN LABILE CONFINE DA NON OLTREPASSARE E LA LEGGE 46/2004

Chiunque abbia un sito internet sa benissimo di non voler incappare in qualche trappola legale e ritrovarsi le autorità col naso infilato nei propri affari. È bene quindi fare una doverosa precisazione per distinguere quali strumenti necessitano di maggiore attenzione secondo la normativa vigente.

Cookies tecnici: Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Cookies di profilazione: In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Nel momento in cui si accede alla home page di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

  1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
  3. il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
  4. l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  5. l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

EDITORE E TERZE PARTI

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”). Si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online. Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”:

  • In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti.
  • Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.
  • I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
  • Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente — per le ragioni suesposte — tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste. Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti.

CONSEGUENZE LEGALI IN CASO DI TRASGRESSIONE

Si ricorda che per il caso di omessa informativa o di informativa inidonea è prevista la sanzione amministrativa del pagamento di una somma da 6.000,00 a 36.000,00 euro. L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da 10.000,00 a 120.000,00 euro. L’omessa o incompleta notificazione al Garante, infine, è sanzionata con il pagamento di una somma da 20.000,00 a 120.000,00 euro.

Insomma, il passo falso in questi ambiti si fa sentire. Una disciplina così rigida si spiega in ragione del delicato argomento che trattiamo: la privacy.

Sì perché questi adorabili “biscottini” in fin dei conti registrano ogni nostra singola mossa, in maniera passiva certo, e senza malizia, ma sono delle informazioni nelle mani di un perfetto sconosciuto. Questi strumenti di per sé non hanno l’intelligenza per poter fare uso di tali informazioni al fine di perseguire uno scopo, benevolo o malvagio che sia. Chi in effetti è in grado di maneggiare tali informazioni è l’editore che si cela dietro.
Uno strumento del genere potrebbe avere il potenziale per arrecare danno ai soggetti visitatori. Le informazioni potrebbero essere cedute ad altri soggetti, solo con lo scopo di trarre un profitto e infischiarsene delle ripercussioni. Oppure si potrebbe usare le medesime informazioni solo per cagionare un danno ad una data persona.
Per fare un paragone, il cookie è come l’uranio: si può utilizzare per produrre energia pulita o per fabbricare bombe atomiche; l’intento proviene da chi ne fa uso e non dallo strumento in sé.

Lorenzo Damiani

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.