Adempimenti | DPIA | Vulnerability Assessment | Servizio DPO | News | Consulenti | Prezzi | Contattaci

  • Numero verde 800 62 89 74

QUALI REGOLE PER I COOKIES E LE TECNOLOGIE SIMILI

Cosa dice la Norme ePrivacy per le Comunicazioni Elettroniche (privacy eletronic communication regulation) sui cookies e tecnologie simili?

Le Norme ePrivacy per le Comunicazioni Elettroniche non fanno un riferimento esplicito ai cookies ma disciplinano le modalità per la conservazioni di informazioni all’interno di dispositivi degli utenti.

 

Per quanto sopra descritto, se il Titolare del Trattamento intende impiegare i cookies deve:

  • dire quali cookie verranno impostati;
  • spiegare cosa faranno i cookie; e
  • ottenere il consenso per memorizzare i cookie sui dispositivi.

Le Norme ePrivacy per le Comunicazioni Elettroniche si applicano anche alle “tecnologie simili” come le tecniche di impronte digitali. Pertanto, a meno che non si applichi un’esenzione, qualsiasi utilizzo dell’impronta digitale del dispositivo richiede la fornitura di informazioni chiare e complete, nonché il consenso dell’utente o dell’abbonato.

 

Chi sono gli “abbonati” e/o  “utenti”?

Le norme sui cookie si applicano alle “apparecchiature terminali” dell’'”abbonato o utente”. “Abbonato” indica la persona che paga il corrispettivo per l’utilizzo di un servizio. L’utente è la persona che utilizza il computer o un altro dispositivo per accedere a un servizio online.

 

Che cosa sono le “apparecchiature terminali”?

Per “apparecchiature terminale” si intende il dispositivo su cui viene inserito un cookie, in genere un computer o un dispositivo mobile, ma anche altre apparecchiature come la tecnologia indossabile, le smart TV e i dispositivi connessi tra cui l’Internet of Things.

 

Cosa significa fornire “informazioni chiare e complete”?

Le Norme ePrivacy per le Comunicazioni Elettroniche prevedono che debbano essere fornite informazioni chiare e complete” agli interessati ai sensi anche dei requisiti di trasparenza del GDPR e al diritto di essere informato

Quando il Titolare tratta i cookies devono essere fornite agli interessati le stesse informazioni previste per il trattamento dei dati personali.

Le informazioni fornite agli interessati devono comprendere:

  • i cookie che vengono utilizzati; e
  • le finalità per le quali si intendono utilizzare;
  • tempi di conservazione;
  • base giuridica per l’impiego dei cookies.

Questi requisiti si applicano anche ai cookie impostati da terze parti le cui tecnologie sono impiegate dal servizio fornito dal Titolare del Trattamento; ciò comprende cookie, pixel e web beacon, JavaScript e qualsiasi altro mezzo per archiviare o accedere alle informazioni sul dispositivo inclusi quelli di altri servizi come la pubblicità online reti o piattaforme di social media.

Le Norme ePrivacy per le Comunicazioni Elettroniche chiariscono inoltre che il Titolare del Trattamento deve rendere consapevoli gli utenti dei cookie che vengono inseriti sui loro dispositivi fornendo loro la possibilità  accettare o rifiutare in modo semplice.

 

Cosa significa “consenso”?

Le Norme ePrivacy per le Comunicazioni Elettroniche prevedono che gli utenti o gli abbonati acconsentano al posizionamento o all’utilizzo dei cookie sul proprio dispositivo. Per tal fine di considera la definizione di consenso  come prevista dall’Art. 4 del GDPR (Regolamento Europeo sulla protezione dei dati 679/2016): «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Il GDPR fornisce ulteriori dettagli sui requisiti del consenso, affermando che:

  • il Titolare del Trattamento deve essere in grado di dimostrare di avere in possesso un consenso valido;
  • le richieste di consenso devono essere “chiaramente distinguibili da altre questioni”, ovvero non devono essere raggruppate come parte di termini e condizioni;
  • le richieste di consenso devono essere in una forma comprensibile e facilmente accessibile, usando un linguaggio chiaro e chiaro;
  • bisogna consentire all’individuo di ritirare il proprio consenso in qualsiasi momento.

Anche il considerando 32 del GDPR vieta specificamente le caselle preselezionate: il silenzio o l’inattività non costituiscono consenso. Per quanto riguarda i cookie, ciò significa che:

  • l’utente deve intraprendere un’azione chiara e positiva per dare il proprio consenso ai cookie non essenziali (continuare a utilizzare il sito Web non costituisce un consenso valido);
  • Occorre informare chiaramente gli utenti su cosa sono i cookie e cosa fanno prima che acconsentano alla loro impostazione;
  • se si utilizzano cookie di terze parti, è necessario nominare in modo chiaro e specifico chi sono le terze parti e spiegare cosa faranno con le informazioni;
  •  non è possibile utilizzare caselle preselezionate (o equivalenti come i cursori “on”) per i cookie non essenziali; 
  • bisogna fornire agli utenti controlli su tutti i cookie non essenziali e consentire comunque agli utenti di accedere al tuo sito Web se non acconsentono a tali cookie; 
  • è necessario assicurarsi che eventuali cookie non essenziali non vengano inseriti nella pagina di destinazione (e allo stesso modo che script o altre tecnologie non essenziali non vengano eseguiti fino a quando l’utente non abbia dato il proprio consenso).
 

Da chi deve essere ottenuto il consenso: differenza tra abbonato e utente

Le Norme ePrivacy per le Comunicazioni Elettroniche prevedono che il consenso per un cookie dovrebbe essere ottenuto dall’abbonato o dall’utente.

In pratica, potresti non essere in grado di distinguere tra il consenso fornito dall’abbonato o dall’utente. La questione chiave è che una delle parti deve fornire un consenso valido.

 

Il Titolare deve fornire tutte le informazioni ed ottenere il consenso per l’impiego di tutti i cookies?

NO, per l’impiego dei cookies, come previsto dalle Norme ePrivacy vigenti ci sono due eccezioni per cui non è necessario chiedere il consenso :

  • Quando le informazioni vengono iniettate sul terminale dell’utente al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica; o
  • laddove tale archiviazione o accesso siano strettamente necessari per la fornitura di un servizio della società dell’informazione richiesto dall’abbonato o dall’utente.

Le due sopra citate fattispecie sono note come esenzione “comunicazione” e “esenzione strettamente necessaria”.

 

Cosa si intende  “l’esenzione di comunicazione”?

Riguarda la trasmissione di una comunicazione su una rete di comunicazione elettronica.

 Perché una “comunicazione” abbia luogo su una rete tra due parti, sono considerati necessari tre elementi:

  • la capacità di instradare informazioni su una rete, identificando gli “endpoint” di comunicazione – dispositivi che accettano comunicazioni attraverso quella rete;
  • la capacità di scambiare elementi di dati nell’ordine previsto; 
  • la capacità di rilevare errori di trasmissione o perdita di dati.

L’esenzione per la comunicazione include quindi i cookie che soddisfano una (o più) di queste proprietà, ma solo al solo scopo della trasmissione.

 

Cosa si intende “strettamente necessaria”?

Questa esenzione si applica ai “servizi della società dell’informazione” (ISS), vale a dire un servizio fornito su Internet, come un sito Web o un’app. Se si esegue un servizio online, è probabile che si stia gestendo un ISS.

L’esenzione “ strettamente necessaria ” significa che la memorizzazione (o l’accesso alle informazioni) dovrebbe essere essenziale a ciò che è essenziale per fornire il servizio richiesto dall’utente. Non copre ciò che potrebbe essere essenziale per qualsiasi altro uso che potresti voler fare di tali dati. È quindi chiaro che l’esenzione strettamente necessaria ha un’applicazione limitata.

“Strettamente necessario” include anche ciò che è necessario per ottemperare a qualsiasi altra legislazione applicabile all’utente, ad esempio i requisiti di sicurezza della legge sulla protezione dei dati.

Laddove l’impostazione di un cookie sia considerata “importante” piuttosto che “strettamente necessaria”, l’utente è comunque tenuto a fornire informazioni sulla memorizzazione o l’accesso all’utente o al sottoscrittore e ottenere il consenso.

Esempio: Un utente visita un sito Web di e-commerce e decide di acquistare un prodotto. Lo aggiungono al carrello prima di continuare a cercare altri prodotti che desiderano acquistare. Quindi terminano gli acquisti eseguendo la procedura di pagamento del sito Web.Il sito Web utilizza i cookie per garantire che quando l’utente sceglie la merce che desidera acquistare e fa clic sul pulsante “Aggiungi al carrello” o “Procedi alla cassa”, il sito “ricorda” ciò che ha scelto in una pagina precedente.In questo contesto, il cookie è “strettamente necessario” per fornire il servizio richiesto dall’utente.Sebbene l’esenzione si applichi sia alla fornitura di informazioni sia all’ottenimento del consenso, è buona prassi continuare a fornire informazioni chiare su tutti i cookie, compresi quelli strettamente necessari, e se sono coinvolti dati personali, sarà richiesto di farlo in base ai requisiti di equità e trasparenza previsti dalla legge sulla protezione dei dati. È importante ricordare che ciò che è “strettamente necessario” dovrebbe essere valutato dal punto di vista dell’utente o dell’abbonato.

 Pertanto, ad esempio, si possono considerare i cookie pubblicitari “strettamente necessari” per il Titolare del Trattamento perché generano entrate che finanziano il tuo servizio, ma non sono “strettamente necessari” dal punto di vista dell’utente o dell’abbonato.

 

Quali finalità possono considerare l’impiego di cookies come “strettamente necessari”?

Le attività che potrebbero rientrare nell’esenzione “strettamente necessaria” includono quelle relative alla funzionalità specifica del servizio dell’utente, vale a dire, senza di esse, l’utente non sarebbe in grado di svolgere determinate attività. I cookie che non si riferiscono a ciò che è strettamente necessario avrebbero bisogno del consenso.

Esempi comuni includono:

Attività Esenzione Strettamente necessaria
Un cookie utilizzato per ricordare i prodotti che un utente desidera acquistare quando va alla cassa o aggiunge prodotti al proprio carrello SI
Cookie essenziali per conformarsi al principio di sicurezza del GDPR per un’attività che l’utente ha richiesto, ad esempio in relazione ai servizi bancari online SI
Cookie che aiutano a garantire che il contenuto di una pagina venga caricato in modo rapido ed efficace distribuendo il carico di lavoro su numerosi computer (questo viene spesso definito “bilanciamento del carico” o “inversione di proxy”) SI
Cookie utilizzati a fini di analisi, ad esempio per contare il numero di visite uniche a un sito Web (solo sel’IP è anonimizzato ai sensi del provvedimento del Garante Privacy Italiano) SI
Cookie pubblicitari di prima e terza parte (compresi quelli utilizzati a fini operativi relativi alla pubblicità di terze parti, come rilevamento di frodi sui clic, ricerca, miglioramento del prodotto, ecc.) NO
I cookie utilizzati per riconoscere un utente quando ritornano su un sito Web in modo che il messaggio di saluto che ricevono possa essere personalizzato NO
 

Inoltre, se il Titolare del Trattamento dichiara di impiegare cookie come strettamente necessario, perché soddisfa uno scopo come la sicurezza, deve garantire il corretto utilizzo per lo scopo dichiarato. Se si utilizzano le informazioni iniettate sui terminali degli utenti per scopi secondari, il cookie non sarebbe considerato strettamente necessario e sarebbe quindi necessario il consenso.

 

Le regole si applicano solo ai siti web?

No. L’uso di cookie e tecnologie simili non è limitato ai siti Web e ai browser Web tradizionali. Ad esempio, le app mobili comunicano comunemente con siti Web e servizi Web che possono impostare cookie e Norme ePrivacy per le Comunicazioni Elettroniche copre anche questi.

 

Le regole si applicano alla nostra rete interna?

Le regole non si applicano allo stesso modo alla rete intranet. È improbabile che una rete intranet sia un servizio pubblico di comunicazione elettronica, pertanto Norme ePrivacy per le Comunicazioni Elettroniche non si applicherebbe allo stesso modo ai cookie impostati su una rete intranet.

 Tuttavia, è importante ricordare che è ancora probabile che si applichino i requisiti della legge sulla protezione dei dati se, ad esempio, l’uso dei cookie ha lo scopo di monitorare le prestazioni sul lavoro.Ovunque tu raccolga dati personali utilizzando i cookie, si applicheranno anche i requisiti previsti dalle norme vigenti in materia di Protezione dei Dati