Informativa e consenso per l'uso dei cookie
1. Cosa sono i cookie?
I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. "terze parti" vengono, invece, impostati da un sito web diverso da quello che l'utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.
2. A cosa servono i cookie?
I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.
3. Cosa sono i cookie "tecnici"?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall'utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell'estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l'identificazione dell'utente nell'ambito della sessione, risultano indispensabili.
4. I cookie analytics sono cookie "tecnici"?
No. Il Garante (cfr. provvedimento dell'8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
5. Cosa sono i cookie "di profilazione"?
Sono i cookie utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell'utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
6. È necessario il consenso dell'utente per l'installazione dei cookie sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione".
Per l'installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l'informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell'utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
7. In che modo il titolare del sito deve fornire l'informativa semplificata e richiedere il consenso all'uso dei cookie di profilazione?
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l'informativa va impostata su due livelli.
Nel momento in cui l'utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa "breve", la richiesta di consenso all'uso dei cookie e un link per accedere ad un'informativa più "estesa". In questa pagina, l'utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
8. Come deve essere realizzato il banner?
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l'utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell'utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.
9. Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell'utente.
Deve contenere il link all'informativa estesa e l'indicazione che, tramite quel link, è possibile negare il consenso all'installazione di qualunque cookie.
Deve precisare che se l'utente sceglie di proseguire "saltando" il banner, acconsente all'uso dei cookie.
10. In che modo può essere documentata l'acquisizione del consenso effettuata tramite l'uso del banner?
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale "documentazione", non è necessario che l'informativa breve sia riproposta alla seconda visita dell'utente sul sito, ferma restando la possibilità per quest'ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all'informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.
11. Il consenso online all'uso dei cookie può essere chiesto solo tramite l'uso del banner?
No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.
12. L'obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
No. In questo caso, il titolare del sito può dare l'informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l'inserimento delle relative indicazioni nella privacy policy indicata nel sito.
13. Cosa deve indicare l'informativa "estesa"?
Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l'installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l'utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie?
Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
15. L'uso dei cookie va notificato al Garante?
I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all'obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.
16. Quando entrano in vigore le misure prescritte dal Garante con il provvedimento dell'8 maggio 2014?
Il Garante ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola. Tale periodo terminerà il 2 giugno 2015.
Privacy Policy: COOKIES
The Italian DPA has launched a public consultation (see document published in Italy's Official Journal of Legislation no. 295 of 19 December 2012) to request contributions and suggestions on the mechanisms to implement the new provisions on cookies introduced by Directive 2009/136/EC (Article 5, paragraph 3) as transposed into Italian law. Website managers along with consumer associations and think-tanks or academic circles may provide their views in this regard until 19 March 2013.
The document below details the initial guidance developed by the Italian DPA, especially in order to ensure effective information of data subjects on the operation of cookies and the applicable requirements.
Proposals and comments on simplified information mechanisms or any other relevant issue should be submitted to the DPA's postal address or emailed to consultazionecookie@gpdp.it
FAQs on COOKIES
The rules for the use of cookies and similar devices (web beacons, web bugs, clear GIFs, etc.) in users' terminal equipment (PCs, notebooks, tablets, smartphones, etc.) were changed recently when directive 2009/136/EU was implemented to amend the e-Privacy directive (2002/58/EC). These FAQs are aimed to clarify the new rules applying to cookies based on Italian and European legislation.
1.What is a "cookie"?
Cookies are small text files that are sent to the user's terminal equipment (usually to the user's browser) by visited websites; they are stored in the user's terminal equipment to be then re-transmitted to the websites on the user's subsequent visits to those websites. When navigating a website, a user may happen to receive cookies from other websites or web servers, which are the so-called "third party" cookies. This happens because the visited website may contain items such as images, maps, sound files, links to individual web pages on different domains that are located on servers other than the one where the page being visited is stored. In other words, these third-party cookies are set by a website other than the one the user is visiting at that specific time.
Cookies are used for IT authentication, to monitor browsing sessions and store specific information on users that access a given server; as a rule, they are present in substantial numbers in each user's browser.
Certain operations could not be performed without cookies, which in some cases are therefore necessary for technical reasons. For instance, it would be much more complex and less secure to access home banking services and check one's bank statement, transfer money, pay bills, etc. without using cookies that allow identifying the specific user and keeping such identification throughout the web session.
In some cases, cookies may stay in an IT system for quite long and contain a unique ID. This enables a website using such cookies to track a user's navigation within the website for statistical or advertising purposes – that is, the website can create a customized user profile starting from the pages the user visited, to then serve targeted ads to that user (this is the so-called "behavioural advertising").
2. What are the current rules based on the e-privacy directive?
The e-privacy directive (Directive 2002/58/EC) was amended in 2009 by another directive (Directive 2009/136/EC) which introduced the "opt-in" principle for all those cases in which one plans to access or store "information" (including cookies) in the user's/subscriber's terminal equipment. This means that cookies may be stored in the terminal equipment of a user navigating the Internet only if that user has given his prior consent, after being informed clearly and in full on the mechanisms and purposes of the processing – as provided for in Article 5(3) of the e-privacy directive.
However, the directive still allows using cookies (or similar devices) without the user's prior consent if they are used "for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service."
3. What has changed in the Italian legislation?
The changes made to the rules on cookies are less substantial in Italy than in the rest of Europe. The opt-in rule was actually already in place, even though it only applied to "technical" cookies – that is, cookies that were used "for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user."
Any other type of unauthorised access or storage in the user's/subscriber's terminal equipment was prohibited. This means that providers of electronic communications services were only allowed in the past to use "technical" cookies and only if a user had consented to it after being informed appropriately on purposes and duration of the processing in question. The definition of specific rules for the use of these cookies was left to a code of ethics and practice.
Conversely, under Section 122(1) of the data protection Code now in force "technical" cookies may be used also without the user's/subscriber's consent, providing the user/subscriber is informed as required. This has resulted quite clearly into simplifying compliance for online operators at least regarding those cookies, given that operators are not required to obtain prior consent whenever cookies or other types of information stored in users'/subscribers' terminal equipment only serve technical purposes or are aimed to meet specific requests made by users or subscribers of Internet services. The fact that no consent is required reduces data subjects' awareness of the processing and makes it necessary to ensure that the information provided is worded clearly and in a straightforward manner.
As an example, and by taking also account of the guidance provided by the EU's "Article 29" Working Party in a recent opinion (WP194), the user's prior informed consent is not required for the following cookies:
- Cookies that are set in the user's/subscriber's terminal directly by the website controller, if they are not used for additional purposes: for instance, "shopping cart" session cookies used for purchasing items online; authentication cookies; multimedia contents cookies (e.g. FlashPlayer cookies) if they expire at the end of each session; customization cookies (e.g. language preference cookies, etc.);
- Cookies that are used for statistical analysis of accesses/visits to a website (so-called "analytics" cookies), if they only serve statistical purposes and collect aggregate information; however, the information notice provided by the website must be worded clearly and appropriately and user-friendly tools must be available to opt-out from the use of these cookies, including cookie anonymisation mechanisms.
Apart from technical cookies, the basic rule in the new legislation continues to be that "Storing information, or accessing information that is already stored, in the contracting party's and/or user's terminal equipment" are only permitted with the user's/contracting party's prior informed consent – i.e. the opt-in rule. Thus, any cookies that are not "technical" – for instance, those used for profiling and marketing purposes, which entail more criticalities from the standpoint of protecting users' private sphere – may not be set on users' terminal equipment if users have not been informed appropriately and given their valid consent.
4. What should the information notice to users be like?
The fact that cookies are stored in a user's terminal equipment must first be made known to that user via an information notice that should be worded clearly and in line with the simplified arrangements mentioned in Section 13(3) of the Data Protection Code. This requirement applies even if the user's or subscriber's consent is not necessary – as explained above.
The new text of Section 122(1) in the Data Protection Code provides that in determining the simplified information arrangements "the data protection Authority shall also take account of the proposals put forward by the nationally most representative consumer and industry associations involved in order to also ensure that the mechanisms implemented make the user/contracting party actually aware."
As well as publishing these FAQs, the Italian Garante decided accordingly to launch a public consultation among consumers and the main relevant operators to gather their proposals and lay down appropriate user information mechanisms by way of clear-cut, concise messages. Although simplified, the information notice must be such as to clarify what purposes are served specifically by the cookies.
For instance, if the purpose consists in profiling users to send them targeted ads, it will not be appropriate to only refer to "advertising purposes" in the information notice concerning cookies; rather, it will have to be specified that cookies will enable the website to profile visitors with a view to direct marketing activities.
5. How can users opt-in to the use of cookies?
The simplification concept also underlies the provision on "specific configurations of software or devices […] that should be user-friendly as well as unambiguous vis-à-vis the contracting party or user" to enable users to give their consent to cookies.
The point is that these tools can be used to facilitate operators in obtaining users' consent to cookies; however, consent is only valid if it meets all the requirements made in the law – that is to say, consent must in all cases be specific, free, and explicit as provided for in Section 23 of the Data Protection Code. Actually, directive 2009/136/EC also clarifies that any alternative mechanisms to express the user's consent must be "in accordance with the relevant provisions of Directive 95/46/EC".
In the first place, before using any device to obtain the user's consent to the setting of cookies, one must provide an appropriate information notice to allow that user to choose what cookies to accept for what purposes.
The devices and configurations mentioned above are currently of variable nature and it cannot be ruled out that new tools and devices will be developed shortly thanks to the creativity of advertising industry and network operators.
For example, the following tools can be mentioned:
- Setting the specifications of most browsers allows enabling or disabling the storage of cookies in terminal equipment that is used for browsing the Internet; generally speaking, the relevant rules can be set in such a way as to block "third party" cookies. Some browsers allow users to also block cookies from specific third parties by means of a function that enables only cookies from certain domains;
- Specific software ("plug-in software") can be added to a browser in order to specialize browser functions and allow their configuration by users, who can select cookies on the basis of their source domains;
- The so-called "do-not-track" device, which allows users to flag for each site they visit whether they accept being tracked or not during navigation. This mechanism is still the subject of discussion within international standardization bodies, although it was made available on some last-generation browsers; however, since it is not regarded as a standard yet, no assurances can be given that the flags raised by a user to a server will be ultimately "considered" by that server.
6. Who is required to inform users and obtain their consent?
The operator of any website making use of cookies is required to inform users about cookies and obtain their prior consent, being the data controller.
Where a website allows setting "third-party" cookies (see FAQ 1), it will be as a rule such third party to provide information and obtain users' consent. Users must be informed appropriately, also in accordance with the simplified arrangements mentioned in the law, at the time they access a website that allows the setting of third-party cookies or whenever they access contents made available by such third parties; at all events, the information must be provided before cookies are set in the user's terminal equipment.
It cannot be ruled out that - possibly on the basis of agreements with third-party websites - the information provided to users by the "first-party" website also includes information on the cookies that are set automatically by those third parties. In any case, the information notice must specify the purposes of the cookies in question – that is, whether they are aimed at profiling users and sending them targeted ads or else at measuring traffic to assess website performance.
Similarly, it cannot be ruled out that consent may also be obtained by third parties via the "first-party" website. It should be considered that any request for a user's consent must be closely related to the information provided to that user, who will thus be able to decide knowingly. It will then be up to the individual operators involved to regulate their respective roles – in particular concerning the relationship between data controller and data processor – in accordance with personal data protection legislation.