Esattamente, cosa prevede la legge rispetto all’uso dei cookies? Scoprilo in questa lezione.
Nella conclusione della precedente lezione (su quali usi dei cookies sono più discutibili per la privacy), abbiamo evidenziato che alle aziende che analizzano i nostri dati ottenuti grazie ai cookies in realtà interessano dati aggregati (e non personali).
Ma anche se l’interesse di queste aziende e verso i dati aggregati ed in forma anonima, è comunque comprensibile che l’enorme volume di dati raccolti sul nostro comportamento online sollevi giusti timori sul trattamento dei nostri dati personali raccolti con i cookies.
Non a caso, fin da quando sono stati creati ed utilizzati i cookies (quasi 20 anni fa), si è cercato (a fatica) di regolare le modalità di raccolta, gestione, conservazione, utilizzo e protezione dei dati sensibili degli utenti.
In questa lezione accenniamo alla normativa in merito, in particolare in Europa ed Italia, ed alla sua evoluzione fino alla forma attuale.
Riferimenti Legislativi Sulla e-Privacy
Le norme sui cookie rientrano nel più ampio contesto della normativa sulla gestione dei dati personali raccolti online, e più in generale della gestione da parte delle aziende dei tuoi dati personali (online e offline).
In Europa la Comunità Europea si è mossa per la protezione dei dati personali online in particolare con:
- la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la cosiddetta Directive on Privacy and Electronic Communications del 2002), che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica;
- la Direttiva 2009/136/CE (la cosiddetta Direttiva e-Privacy, anche chiamata Cookie Directive per le norme sull’uso dei cookies contenute nell’art. 2(5) della Direttiva), che ha modificata la Direttiva 2002/58/CE;
- la Direttiva 2009/140/CE.
Qui c’è un buon riassunto del quadro normativo comunitario per la protezione dei dati nel settore delle comunicazioni elettroniche.
Ad ogni modo, la Comunità Europea sta preparando un’importante riforma della Direttiva e-Privacy 2009/136/CE.
La nuova disciplina uscirà nella sua forma definitiva probabilmente nel 2014.
Qui puoi trovare un’introduzione ai cambi che la Comunità Europea sta preparando alla direttiva 2002/58 (sono spiegati in plain english anche in questa brochure).
Tra le probabili future restrizioni, la scadenza obbligatoria di tutti i dati personali su un utente raccolti dalle aziende, l’obbligo per l’azienda di dialogare con l’autorità nazionale garante della privacy della nazione dell’utente (in Italia il Garante per la protezione dei dati personali) – non conta dove l’azienda o i suoi servers hanno sede, ma se l’azienda offre beni o servizi in Europa o se monitora il comportamento online di cittadini europei – ed altre.
L’Italia ha recepito le direttive europee 2009/136/CE3 e 2009/140/CE con:
Questi due decreti hanno apportato rilevanti modifiche, rispettivamente, al Codice in materia di protezione dei dati personali e al Codice delle comunicazioni elettroniche.
Qui trovi alcune considerazioni generali sul decreto legislativo 69/12; per quanto riguarda più specificatamente i cookies, qui trovi i cambi salienti del D.Lgs. 69/12 rispetto al regime precedente.
E’ interessante notare che, in seguito al D.Lsg. 69/12 che ha modificato l’art.122 del c.d. Codice della privacy (d. lgs. 196/2003), la nuova disciplina italiana sui cookies è alla fine risultata meno restrittiva della precedente, e tra le più permissive in Europa.
L’Evoluzione Normativa Verso Modelli Restrittivi
La tendenza legislativa in materia di regolamentazione dei dati personali si è evoluta negli ultimi anni verso modelli restrittivi.
Per quanto riguarda i cookies, si è evoluta in Europa in parallelo all’adozione negli USA del cosiddetto approccio Do Not Track.
L’implementazione negli ultimi anni di norme più restrittive in pratica ha obbligato le aziende a raccogliere dati soltanto dietro volontario e preventivo consenso informato degli utenti.
Nel nuovo regime, agli utenti è dato il diritto di non essere tracciati (Do Not Track), ancor prima del tracciamento.
Il nuovo regime prevede infatti il principio di OPT-IN, introdotto dalla direttiva 2009/136/CE: l’azienda è obbligata a fornire informazioni chiare su finalità e modalità del trattamento dei dati dell’utente (anche quelli raccolti attraverso cookies); gli utenti una volta informati scelgono se fornire il consenso all’azienda per il trattamento dei dati oppure no; e soltanto dopo l’assenso le aziende hanno diritto a raccogliere dati.
Il regime precedente era invece chiamato di OPT-OUT: cioè, le aziende raccoglievano i dati e successivamente l’utente aveva diritto a tirarsi fuori e negare il consenso.
Nel nuovo regime inoltre gli utenti hanno il cosiddetto Right To Be Forgotten: il diritto di avere i propri dati completamente cancellati dall’azienda se non più necessari.
In precedenza, il diritto alla cancellazione dei propri dati era di notevole difficoltà reale o attuativa (pensa ad esempio anche solo a tutte le polemiche nate dalla difficoltà della cancellazione del proprio account da Facebook).
Il nuovo regime vale per i dati raccoglibili online durante la navigazione su Internet ma anche più in generale per tutte le situazioni che richiedono il trattamento di dati personali, ad esempio l’invio di email e newsletters, per le quali prima deve essere dato un consenso, altrimenti la email è considerata spam e chi la manda senza consenso rischia la segnalazione al Garante.
Qui la sintesi dei doveri di chi tratta dati personali in Italia. Ovviamente vale per i dati raccolti attraverso i cookies.
Cosa Prevede La Legge Per L’Uso Dei Cookies
Tornando specificatamente ai cookies, le norme attuali comunitarie e nazionali tendenzialmente richiedono:
- che ogni sito che usi cookies comunichi al visitatore che vengono usati cookies nel sito. Le informazioni vanno date in maniera chiara e dettagliata e devono includere tipi e finalità dei cookies usati;
- che ogni sito che utilizzi cookie richieda il consenso volontario, informato e preventivo dell’utente – prima di installare cookies;
- se necessario, che ogni sito fornisca eventuali meccanismi di opt-out per alcuni tipi specifici di cookies.
Sul secondo punto, cardine del cambiamento, la normativa è complessa. Ogni paese, recependo la direttiva comunitaria, ha legiferato con diverse interpretazioni.
Per i dettagli sulla normativa italiana ti rimando alla FAQs sui cookies del Garante per la protezione dei dati personali.
Inoltre, ti segnalo il documento per chiarire la distinzione tra cookies essenziali e non, pubblicato dalla Comunità Europea nel giugno 2012.
Il punto chiave infatti è che il consenso dell’utente è obbligatorio soltanto se i cookies rientrano nella categoria “non essenziali”.
La normativa distingue tra:
- cookies essenziali alla fruizione del sito. I cookies definiti come essenziali (anche definiti come cookies innocui) non richiedono il consenso esplicito preventivo dell’utente, perchè servono alla fruizione del sito da parte dell’utente. Senza l’installazione di questi cookies in pratica l’utente non potrebbe navigare nel sito o avrebbe difficoltà notevoli nella navigazione e nella fruizione dei servizi del sito. Secondo l’interpretazione del Garante italiano, rientrano in questa categoria i cookies tecnici (a titolo esemplificativo, cookies che permettono l’accesso all’home banking e le attività che possono essere svolte sul proprio conto corrente online: visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), cookies di personalizzazione (ad esempio cookies per la scelta della lingua di navigazione), cookies di identificazione ed autenticazione (ad esempio cookies di sessione utilizzati per “riempire il carrello” negli acquisti online o accedere ad aree dove è richiesto il login), cookies per contenuti multimediali (tipo flash player) ma solo se sono cookies di sessione (temporanei). Rientrano nei cookies essenziali anche i cookie di web analytics, ma solo se utilizzati per scopi statistici e raccolgono informazioni in forma aggregata; per questi cookies però il sito deve fornire agli utenti modalità semplici per opporsi (opt-out) alla loro installazione nel computer dell’utente (qui trovi maggiori dettagli su tipologie di cookies e finalità dei cookies);
- cookies non essenziali. Anche se ci sono zone d’ombra nelle definizioni delle categorie di cookies essenziali e cookies non essenziali, c’è chiarezza a livello comunitario sul fatto che i tracking cookies usati per finalità di profilazione e marketing appartengano alla categoria dei cookies non essenziali. Come già detto parlando delle finalità dei cookies, i tracking cookies usati per finalità di profilazione e marketing costituiscono i 2/3 dei cookie usati in Internet (dati Financial Times). Puoi quindi capire come quest’evoluzione restrittiva delle leggi sui cookies abbia quindi significato un profondo e netto cambiamento, in particolare negli ultimi due anni, nell’approccio delle aziende di Internet al trattamento dei dati degli utenti.
I decreti legislativi italiani ed in particolare il D.Lgs n. 70/12 hanno inoltre introdotto nuovi obblighi in tema di sicurezza dei dati personali: i siti che raccolgono dati personali sono obbligati a adempire a determinate richieste di sicurezza tecniche, organizzative e procedurali, pena reclusione da 6 mesi a 3 anni per violazione del nuovo reato di violazione dei dati personali.
Nella prossima lezione: come le aziende di Internet hanno finora reagito all’evoluzione normativa (e se la normativa è stata attuata in concreto).
Le lezioni su cookies e privacy:
- I cookies e i rischi per la tua privacy
- Gli usi dei cookies più discutibili per la privacy
- Le norme che regolano l’uso dei cookies (la lezione che hai appena letto)
- Le reazioni delle aziende di Internet alle norme sui cookies
- Cookies e rischi per la privacy: le mie conclusioni
Non perdere le prossime lezioni! Segui il Corso via email, RSS, Facebook o Twitter e ricevi lezioni speciali!
[…] Se ti interessa approfondire l’argomento, ti consigliamo di leggere quali sono le norme che regolano l’uso dei cookie. […]