COOKIE

I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie)[1] sono un tipo particolare di magic cookie, una sorta di gettone identificativo, usato dai server web per poter riconoscere i browser durante comunicazioni con il protocollo HTTP usato per la navigazione web.

Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari.

Date le implicazioni per la riservatezza dei naviganti del web, l’uso dei cookie è categorizzato e disciplinato negli ordinamenti giuridici di numerosi paesi, tra cui quelli europei, inclusa l’Italia. La sicurezza di un cookie di autenticazione dipende generalmente dalla sicurezza del sito che lo emette, dal browser web dell’utente, e dipende dal fatto che il cookie sia criptato o meno. Le vulnerabilità di sicurezza possono permettere agli hacker di leggere i dati del cookie, che potrebbe essere usato per ottenere l’accesso ai dati degli utenti, o per ottenere l’accesso (con le credenziali dell’utente) al sito web a cui il cookie appartiene (vedi cross-site scripting e cross-site request forgery per esempio).[2]

I cookie, e in particolare i cookie di terza parte, sono comunemente usati per memorizzare le ricerche di navigazione degli utenti; questi dati sensibili, possono essere una potenziale minaccia alla privacy degli utenti; proprio questo ha indotto le autorità europee[3] e degli Stati Uniti a regolamentarne l’uso mediante una legge nel 2011[4]. Infatti la legislazione europea impone a tutti i siti degli stati membri, di informare gli utenti che il sito utilizza certe tipologie di cookie.

In Italia la norma di riferimento relativamente ai cookie è l’art. 122[9] del codice della privacy che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE[10] E-Privacy (che verrà ulteriormente modificata da un regolamento, e quindi non necessita di recepimento) preparato dalla Commissione europea[11].

Secondo tale articolo sarebbe necessario che l’utente, salvo casi particolari, sia informato e presti esplicitamente il consenso, prima che i cookie vengano salvati. Tale indicazione, pur se tesa a dare maggiori garanzie agli utenti, ha creato allerta negli operatori per il rischio che possa compromettere le modalità di navigazione come le conosciamo oggi[12].

Il 2 giugno 2015 è divenuto obbligatorio per i gestori di siti web adeguarsi al Provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014) dell’8 maggio 2014[13], con cui il Garante per la Protezione dei Dati Personali detta le regole sulle modalità di adempimento agli obblighi di rilascio dell’informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Per tutti i siti web che utilizzano Cookie non tecnici (di profilazione) il Provvedimento stabilisce che nel momento in cui si accede ad una qualsiasi pagina del sito web deve immediatamente comparire in primo piano un banner[14](contenente l’informativa breve) di idonee dimensioni, con caratteristiche tali da determinare una discontinuità dell’esperienza di navigazione, indicante:

a) L’utilizzo di Cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) se il sito consente l’invio di Cookie “terze parti”;

c) il link all’informativa estesa;

d) la possibilità di negare il consenso all’installazione di qualunque cookie;

e) che la prosecuzione della navigazione comporta la prestazione del consenso all’uso dei cookie.

Al banner di informativa breve deve essere poi collegato un Cookie tecnico che permetta di tenere traccia del consenso dell’utente per le successive navigazioni sul medesimo sito internet.

Attraverso il banner di informativa, e attraverso i riferimenti in calce ad ogni pagina del sito, l’utente deve quindi poter accedere all’informativa estesa (la cosiddetta cookie policy) che deve contenere tutti gli elementi previsti dall’art. 13 del Codice[15], descrivere in maniera specifica e analitica le caratteristiche le finalità dei Cookie installati dal sito, consentire all’utente di selezionare o deselezionare i singoli cookie, contenere i link aggiornati alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di Cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà inserire i link dei siti che fanno da intermediari tra lui e le stesse terze parti.

L’informativa deve infine richiamare la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei Cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

In caso di omessa o inidonea informativa, oltre che nelle previsioni di cui all’art. 13 del Codice, nel provvedimento è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di Cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice)[16]

L’omessa o incompleta notifica al Garante da parte di soggetti che utilizzano Cookie di ‘profilazione’ comporta una sanzione da venti mila a centoventi mila euro (art. 163 del Codice). Esclusi da tale obbligo sono coloro che non

utilizzano direttamente i cookie di ‘profilazione’:

-siti che trasmettono cookie di ‘profilazione’ di “terze parti”;

-siti che utilizzano direttamente cookie tecnici.

Il garante ha altresì fornito in merito ai casi in cui sia necessaria la notifica ulteriori chiarimenti nel documento web n. 993385.

In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie[17], si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy[18]).