Venerdì 3 luglio si è tenuto, presso il Centro di Formazione della Difesa di Roma, il seminario di formazione "Cookie e protezione dei dati personali" organizzato dall'Autorità Garante per la Protezione dei Dati Personali, incentrato sull'applicazione della disciplina di protezione dei dati personali in relazione all'utilizzo dei cookie nella navigazione in internet, con particolare riferimento alle questioni affrontate dal Garante con il provvedimento dell'8 maggio 2014, n. 229 (doc. web n. 3118884).

La mattinata si è strutturata in 4 parti:

1 PARTE INTERVENTO "TECNICO" (le slides saranno reperibili a breve sul sito del Garante)

Sono state ripercorse le tappe storiche, dalla nascita allo sviluppo attuale dei cookie (già nel lontano 1994 vennero introdotte nei primi browser le prime specifiche cookie informali), si sono poi definite le classificazioni di tali dispositivi, in base a : A) DURATA (1. cookie di sessione temporaneo; 2. Cookie persistente attivo); B) PROVENIENZA (1. Di prima parte; 2. Di terza parte); C) FINALITA' (1. Cookie tecnici; 2. Cookie statistici analitici; 3. Cookie pubblicitari advertising); D) CARATTERISTICHE TECNICHE (1.secure cookie; 2.httpOnly cookie; 3. Super cookie).

2 PARTE

Centrale il tema del consenso, 4 aspetti:

1 offrire informazioni agli utenti (un consenso deve essere quindi informato ed adeguato)

2 il consenso dev'essere preventivo,

3 consenso univoco e non ambiguo (scelta espressa con un comportamento attivo)

4 libertà del consenso, deve trattarsi di una scelta vera senza coercizioni

3 PARTE

L' art. 122 codice privacy è la base del Codice da cui è partita l'Autorità per emanare il provvedimento. «L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate».

2 eccezioni: 1. può aversi un' eventuale archiviazione tecnica (o accesso alle informazioni già archiviate) se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o 2. nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio.

Il gruppo art. 29 nel 2013 ha pubblicato un opinion (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf) con la quale cerca di chiarire casi in cui non è previsto consenso per trattamento di questi cookie. Esempi non esaustivi: cookie per la resa del servizio, ad esempio sezione del font o del formato o della lingua, talora anche per funzionalità di sicurezza; mentre per il caso necessario alla trasmissione della rete possiamo citare le funzioni che hanno a che fare con il livello IV (funzioni che servono di trasmissioni della rete, trasmissione intesa come il corretto funzionamento della rete).

COSA SI APPLICA:

Il consenso ha delle caratteristiche (vincoli di progetto essenziali):

- Specifico, ci dev'essere una finalità e a quella dev'essere associata la scelta dell'utente

- Libero

- Espresso, ci dev'ess azione positiva da parte dell'utente che segnali la sua volontà

- Preliminare, prima del trattamento l'utente deve ess posto nelle condizioni di esprimersi

- Informato, comma 1 e 2 del 122, l'utente deve ess posto nella condizione di sapere ciò a cui sta acconsentendo, e deve essere informato anche dell'azione positiva che lui può realizzare

- Documentabile, deve ess qualcosa generato dall'utente e registrato

3 ELEMENTI DELL'INFORMATIVA, l'utente deve

1. essere messo a corrente del fatto che quel sito è veicolo per l'installazione di cookie determinati, l'utente sa che entrando in quel sito e continuando la navigazione riceverà dei cookie

2. può dire sì

3. può dire no

COME FORNIRE INFORMATIVA ED ACQUISIRE IL CONSENSO?

nel provvedimento è stata illustrata una, ma non è l'unica..ce ne sono diverse..

Ad esempio, acquisizione consenso presso soggetto terzo, che si fa carico di acquisizione consenso (consent provider), io decido rispetto a chi dare il consenso, esprimo la mia scelta, passo per questo soggetto terzo, visito il sito, ho preliminarmente espresso il mio consenso posso quindi continuare la mia navigazione avendo io espresso la mia scelta ed il sito adempiuto agli obblighi. Al Garante è stato fatto presente che così non funziona internet, l'utente non è abituato a fare check-in prima di visitare un sito, tuttavia questa architettura è utile e rimane un'opzione, sta poi alle industrie valutare

Altra alternativa: creare un mirror site, un sito specchio ombra, per cui un publisher ha una versione che installa i cookies che l'utente può decidere di visitare, ma può mettere a disposizione degli utenti anche una versione del sito cookie free, la scelta è dell'utente, è un opzione, anche se genera dei costi, cioè in pratica ciascun editore avrebbe dovuto creare un suo doppio.

L'utente esprime il suo consenso sul sito: Intermediario tecnico: l'obiettivo è fare due consensi distinti, quindi due titolarità separate, con una sola azione, invocando questa figura: è un soggetto che mette a disposizione il banner, la parte necessaria del consenso, alla terza parte viene richiesto di mettere in piedi griglia che l'utente può raggiungere per esprimere i consensi nella maniera più dettagliata possibile.

Il consenso per la prima parte ha l'azione positiva dello skip del banner, per la terza parte dà skip del banner e la presenza di link attivi, vivi all'informativa e consenso.

SULLE CRITICHE MOSSE AL GARANTE

1 critica: questo non è consenso, è consenso. Nella lettera dell'articolo 29 del settembre 2014 scritta a Google sulle modalità di espressione del consenso, sono quelle inserite nel provvedimento del Garante

2 critica: questo meccanismo smantellerebbe il web, perché mette obblighi pesanti sui controller: «In realtà la contrapposizione non è tra mettere pubblicità e nulla, bensì tra mettere nei siti una pubblicità profilata e pubblicità non profilata/contestuale»

4PARTE

Il provvedimento dell'Autorità nasce dall'art. 122 del codice che, dopo aver posto le differenze tra cookie tecnici e non tecnici, demanda al Garante l'individuazione delle modalità semplificate dell'informativa da rendere all'utente.

Il Garante ha individuato le modalità semplificate, ma non avrebbe avuto alcun senso semplificare l'informativa senza semplificare consenso, fermo restando il fatto che ognuno ha possibilità di discostarsi dalle indicazioni del garante seguendo ordinariamente l'art. 23 del codice ( art 154 lettera h del codice fa infatti riferimento all'attività di sensibilizzazione del garante e non al suo potere prescrittivo)

Si tratta quindi di suggerimenti su una modalità del consenso

Il secondo punto del provvedimento riguarda una prescrizione, ovvero: per l'utilizzo di link reali ed aggiornati per siti che hanno rapporti con terze parti, l'utente deve avere effettivamente la possibilità di approfondire la sua conoscenza sui cookie propri e di terze parti. Quindi è per questo che è richiesto ai siti prime parti di farsi aggiornare da terze parti, è chiaro che possono esserci disparità, però è anche vero che comunque la decisione di utilizzare cookie di terze parti è comunque rimessa al sito di primo parte.

Quindi abbiamo un' informativa su due livelli:

- breve che deve apparire nel momento in cui si accede, il banner deve apparire non solo nella home page ma in qualunque parte, dev'essere di adeguate dimensioni, non deve coprire ovviamente tutta la pagina. In questo banner dev'essere scritto che il sito utilizza cookie di profilazione, ci dev'ess link

- all'informativa estesa (doppio livello) dove vi sia riferimento anche ai cookie analytics e l'indicazione che l'utente ha la possibilità (alla quale fa riferimento anche l'art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni (la normativa fa riferimento a chi installa cookie, non ai gestori del browser)

Sempre nel banner vi deve ess indicazione che è possibile negare consenso all'installazione di qualunque cookie per i quali è richiesto il consenso

La prosecuzione della navigazione: in che modo? Selezionando l'immagine, un link, lo scroll della pagina, un'azione positiva registrabile!

CRITICHE MOSSE AL GARANTE

- Fino a che l'utente non acconsente all'uso dei cookie essi debbOno essere bloccati..Ciò HA CREATO molti problemi, questo riguarda sia le prime sia le terze parti..l'alternativa sarebbe stata un opt out: se un utente va su una pagina web, se questo avesse determinato l'installazione automatica di cookie, questo avrebbe generato un opt out, che non è consentito, questo per fare un servizio a chi doveva attuare la normativa (vedi decisione recente della CNIL, che ha rilevato come in molti siti che avevano un banner non attivo), anche alla luce della normativa europea

- utilizzo di cookie analitici di terze parti: hanno valore aggiunto, consentono alla terze parti fornitrici dei servizi di profilare chi naviga su quei siti. Si possono semplificare prevedendo che gli indirizzi Ip di quei siti vengano anonimizzati, attraverso la mascherazione degli otteti

Quali sono i soggetti a cui si applica normativa italiana? L' art. 5 comma 2 codice privacy prevede che essa sia applicata anche a soggetti situati extra Ue che utilizzano per il trattamento strumenti situati nel territorio dello Stato: per quanto riguarda i cookie, che necessariamente hanno bisogno di dispositivi per essere attuati è lo stesso (ambito di applicazione della legge italiana nel momento in cui ci sono cookie: chiunque installa cookie su terminali che ricadono sulla protezione italiana, la legge italiana si applica anche all'interno di un operatore stabilito all'interno della comunità europea? Si applica la normativa europea e propria)