Quando la materia privacy incontra l’informatica giuridica, uno degli argomenti più frequentemente trattati è rappresentato dai “cookie”. Senza addentrarci in tecnicismi informatici, possiamo dire che i cookie non sono altro che delle informazioni che vengono immesse in un sito nel momento in cui avviene la navigazione web. Chiariamo quali sono le regole per la gestione dei cookie all’interno dei siti web.
Della loro presenza il più delle volte non ci si accorge, in quanto tendenzialmente la loro funzione è quella di rendere agevole e più veloce la navigazione o addirittura quella della di profilare gli utenti. Brevemente, il sito potrebbe “catturare” dei dati, ad esempio riguardanti i miei hobbies, per poi propormi una pubblicità mirata per invogliarmi ad acquistare dei prodotti che “il sito sa” essere per me potenzialmente interessanti.
Pertanto è evidente che si tratti di un meccanismo estremamente interessante dal punto di vista marketing, ma allo stesso tempo delicato soprattutto con riferimento al periodo di conservazione del dato, che può andare da una semplice sessione fino a lunghi periodi.
Per questo il Garante della Privacy ha emanato un provvedimento ad hoc denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014 [doc web n. 3118884] ove espressamente afferma l’obbligo per il gestore del sito di avvisare immediatamente ed in maniera chiara attraverso un banner l’utente dell’utilizzo di cookies, informandolo al contempo:
“1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
4) l’indicazione che proseguendo nella navigazione (ad esempio accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.”
Uno degli errori più comuni è quello di ritenere che la disciplina di questa tematica sia recente e presente nel GDPR, quando in realtà è contenuta nella Direttiva ePrivacy (Cookie Law), cioè nella Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 che – conformemente ai principi che poi hanno governato il GDPR e, di conseguenza, il D.Lgs. 193/2006 come aggiornato nel 2018 – ha come nucleo fondante “il concetto del consenso”: in altre parole, si impone al gestore di non procedere al trattamento prima di aver ottenuto il consenso dall’utente all’utilizzo di cookie, dando a quest’ultimo la possibilità di visualizzare facilmente l’informativa privacy in cui sono esplicitate le finalità del trattamento e l’eventuale comunicazione dei dati raccolti a soggetti terzi, nonché i diritti spettanti all’utente (tra cui quello della revoca del consenso). Pertanto, conformemente ai principi che governano da sempre il mondo privacy, e che in fin dei conti sono stati ribaditi con ulteriore vigore con il Regolamento Europeo 679/2016, il principio del consenso permea anche questo settore che può sembrare così lontano e di difficile comprensione, quando in realtà è estremamente vicino e tangente.
Roberto De Bellis – Centro Studi CGN