Il WP 29 e la disattivazione della bomba cookies

Ma mano che passano i giorni dall’entrata in vigore del D.Lgs 69/12¹ che modifica in modo consistente il D.Lgs 196/03 (Codice Privacy) per quanto concerne i servizi di comunicazioni elettronica accessibili al pubblico, i riflettori si accendono su quegli aspetti che maggiormente influenzano la fruibilità dei servizi on line, che ciascuno di noi consapevolmente o meno utilizza pressoché giornalmente quando accede ad internet, utilizza il proprio account di posta elettronica, riceve un messaggio pubblicitario sul proprio telefonino, accede ad un social network, ….

Non vi è dubbio che le modifiche normative che riguardano il definitivo regime del consenso OPT IN per i cookies ² hanno ed avranno un impatto per tutti i soggetti coinvolti: ovviamente le aziende che per il proprio business utilizzano i cookies, fino ai singoli utenti che potrebbero nel breve essere subissati da richieste di consenso non sempre per loro comprensibili o che, peggio, potrebbero essere interpretate come l’ennesima ondata di spamming.

Sebbene l’ espressione del consenso riguardo i cookies, così come già contemplato dalla legge (comma 2 dell’art. 121 del Codice Privacy), potrà avvalersi di “specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”, ciò non toglie che la questione da un punto di vista di implementazioni (e conseguenti tempistiche ed impegni economici) per le aziende coinvolte e di impatto per gli utenti e contraenti, non sia di semplice ed immediata soluzione, non solo a livello nazionale ovviamente.

In tal senso giunge con apprezzabile tempestività, almeno per il caso Italia, l’”Opinion 4/12 on Cookie Consent Exemption”³ dei Garanti Europei WP 29, che fornisce esempi e chiarimenti riguardo al consenso per i cookies.

L’opinione in oggetto risulta essere in gran sintonia con quanto già pubblicato in Inghilterra ad Aprile di quest’anno dal ICC (International Chamber of Commerce) con la sua “ICC UK Cookie guide”⁴: tutto ciò rientra nella strategia adottata in UK riguardo la trasposizione della direttiva EU 2009/136/CE, che ha previsto un cosiddetto grace period di un anno ( a partire dal 25 maggio 2011), nel corso del quale non sono state avviate attività ispettive/sanzionatorie ed alle aziende interessate è stato dato il tempo di intraprendere le necessarie azioni per attivare le nuove misure richieste in particolare per quanto riguarda il preventivo consenso per l’installazione dei cookies.

L’Opinione 4/12 del WP 29 fornisce una guida per l’approccio da seguire nel determinare quando l’installazione di un cookie deve essere soggetta o meno all’espresso consenso da parte del contraente/ utente ed è corredata da vari esempi.

Il WP 29 con questa Opinione mette ben in evidenza la necessità di effettuare, a cura delle aziende destinatarie della normativa in oggetto, un’analisi che, in base alle specifiche caratteristiche del singolo caso, determini se il consenso risulti necessario oppure se invece sia possibile sfruttare i due casi di esenzione previsti dalla legge (per l’Italia: vedasi sempre comma 1 dell’ art 121 del Codice Privacy):

Criterio A: archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica,

oppure

Criterio B: nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio

Gli esempi riportati dal WP 29 contestualizzano l’uso dei cookies secondo determinate caratteristiche tra le quali rivestono particolare importanza:

• La persistenza del cookie (cookie di sessione: è automaticamente cancellato quando il contraente/utente chiude una sessione del browser, oppure cookie persistente: ossia il cookie che rimane memorizzato nel terminale del contraente/utente per un determinato periodo di tempo, ore, mesi,…)

• Se si tratta di cookie di Prima Parte (cookie installato dal Titolare che esercisce il sito web visitato dall’utente /contraente) o di Terza parte (cookie installato da Titolare diverso da quello che esercisce il sito web visitato dall’utente /contraente)

Qualora al termine della specifica analisi, vi siano ancora dubbi sull’effettiva applicabilità dei casi di esenzione previsti con i criteri A e/o B, il WP 29 ribadisce quanto sia opportuno operare una scelta conservativa e quindi procedere con l’acquisizione del consenso, allo scopo di evitare qualunque tipo di incertezza legale.

Tra gli aspetti che devono essere presi in considerazione in tali analisi specifiche, il WP 29 mette in particolare in evidenza che, nell’ambito di una determinata erogazione/fruizione di un servizio :

1. occorre esaminare quanto risulta strettamente necessario per corrispondere alle esigenze dell’utente/ contraente e non dell’azienda,

2. se un cookie è utilizzato per più finalità, l’esistenza delle condizioni per avvalersi dei casi di esenzione devono essere soddisfatti per ciascuna singola finalità,

3. la finalità perseguita deve essere la base primaria per valutare le condizioni di sussistenza di un caso di esenzione, piuttosto che le caratteristiche tecniche del cookie o se è utilizzato da una Prima o Terza parte.

Tra i vari casi per i quali l’Opinione del WP 29 evidenzia la necessità di acquisire il consenso, vi è l’utilizzo dei cookies riguardo la pubblicità comportamentale on line (OBA On line Behavioural Advertising) . In tale contesto sarà importante (per le aziende coinvolte, per gli utenti) vedere come si evolverà e soprattutto si concluderà in modo soddisfacente per le parti interessate, il discorso avviato già dal 2011 tra alcune delle maggiori associazioni rappresentative degli operatori di pubblicità on line (EASA, IAB) ed i garanti privacy europei proprio per quanto concerne l’approccio OPT IN / OPT OUT al consenso.⁵

Infine l’Opinione del WP 29 evidenzia un caso di utilizzo dei cookie, certamente assai diffuso, per il quale in futuro proporre una modifica della direttiva EU 2002/58/EC (e conseguenti trasposizioni nazionali): si tratta dei cookies di Prima parte, utilizzati per raccogliere dati di input allo scopo di effettuare statistiche (numero di visitatori di un sito, parole chiavi maggiormente utilizzate per effettuare ricerche on line,…). Per tale caso il WP 29 non ravvede reali rischi per la privacy dei contraenti/utenti (posto che determinate condizioni di sicurezza siano soddisfatte) e quindi per esso potrebbe essere individuato un approccio al consenso OPT OUT.