L’Informativa Estesa, anche definita Cookie Policy, è la pagina in cui ogni sito deve informare il navigatore circa l’uso che esso fa dei cookie e dalla quale gliene permette la gestione granulare.
Cos’è l’Informativa Estesa sui Cookie
Il regolamento per l'”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (“Cookie Law” o “Legge sui Cookie”) statuisce l’obbligo per ogni sito web di fornire ai navigatori l’Informativa Estesa o Cookie policy.
In essa bisogna indicare:
- Quali cookie si usano;
- Qual è lo scopo di ciascun cookie;
- Le modalità del trattamento.
Dall’Informativa Estesa deve essere anche possibile, per il navigatore, selezionare e deselezionare singoli cookie o gruppi omogenei di essi.
La normativa sull’Informativa Estesa sui Cookie
La normativa sull’Informativa Estesa sui Cookie è contenuta, in:
- Regolamento Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – n.229 dell’8 maggio 2014 [3118884] (provvedimento del Garante per la Protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014);
- Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876] (provvedimento del Garante per la Protezione dei Dati Personali, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021).
Per concetti e principi più generici, la normativa si rinviene in:
- Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196);
- Regolamento Generale sulla Protezione dei Dati – RGPD (General Data Protection Regulation – GDPR, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016).
Questi provvedimenti fanno parte, quindi, anche della normativa sui cookie.
Quando si deve scrivere l’Informativa Estesa sui Cookie
L’Informativa Estesa va scritta nel momento in cui si cominciano a usare cookie sul proprio sito.
Non rileva il tipo di cookie installato, essendo quest’obbligo valido per qualsiasi tipi di cookie.
Anche se il sito installa solo cookie tecnici e anche se dovesse installare solo cookie di prima parte, l’Informativa Estesa sui Cookie va comunque resa disponibile sul sito web. Nel caso in cui si dovessero installare solo ed esclusivamente cookie tecnici di prima parte, l’Informativa Estesa può essere inserita anche nella più generica privacy policy.
Forma dell’Informativa Estesa sui Cookie
L’Informativa Estesa non deve rispettare alcun requisito di forma, potendo essa essere anche una semplice pagina sul sito.
L’unico requisito fondamentale è che essa sia raggiungibile in modo immediato.
Il provvedimento del 2014, infatti, impone che:
Deve essere raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4.2. L’informativa estesa.
Il contenuto dell’Informativa Estesa sui Cookie
Nell’Informativa Estesa (cookie policy) dobbiamo indicare:
- Le informazioni minime previste dalla normativa sulla tutela dei dati personali (articoli 12 e 13 del GDPR);
- Quali cookie vengono installati, che informazioni contengono, i motivi per i quali quelle informazioni vengono salvate nel cookie e per quanto tempo esse rimangono salvate;
- I link alle informative specifiche dei singoli servizi terzi usati e che installano o leggono i propri cookie attraverso il sito (Facebook, Twitter, Google Analytics, ecc.);
- La possibilità, per il navigatore, di decidere quali cookie intende siano installati, e, eventualmente, di cancellare quelli già installati.
Informazioni minime previste dalla normativa a tutela della privacy
Il provvedimento sui cookie del 2014 apre il paragrafo “4.2 L’informativa estesa” ponendo l’accento sugli elementi previsti dall’articolo 13 del Codice in materia di protezione dei dati personali:
L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4.2. L’informativa estesa.
Dopo l’emanazione del Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR – General Data Protection Regulation) il riferimento all’articolo 13 non è più attuale essendo stato abrogato.
Il riferimento, quindi, oggi è agli articoli 12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato) e 13 (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato) del GDPR:
Da ultimo, il Garante intende illustrare alcuni miglioramenti che i titolari potranno adottare al fine di rendere agli utenti una informativa conforme ai rinnovati requisiti di trasparenza imposti dagli articoli 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite.
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 8. Le novità in materia di informativa, 8.1 Le informazioni da rendere in conformità al Regolamento
Ulteriore informazione da fornire nell’Informativa è quella relativa alle modalità di esercizio dei propri diritti da parte dell’interessato (il navigatore):
È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 8. Le novità in materia di informativa, 8.1 Le informazioni da rendere in conformità al Regolamento
L’Informativa non deve essere necessariamente contenuta in un’unica, lunghissima pagina.
È ben possibile suddividerla in pagine più brevi e di più facile consultazione: questa è, tra l’altro, una prassi già ben consolidata proprio perché rende la ricerca e la lettura delle informazioni molto più agevole:
[…] si ritiene inoltre che l’informativa, oltre che multilayer, e cioè dislocata su più livelli, possa ad oggi essere resa, eventualmente in relazione a specifiche necessità, anche per il tramite di più canali e modalità (cd. multichannel), in modo da sfruttare al massimo più dinamici e meno tradizionali ulteriori punti di contatto tra il titolare e gli interessati.
Si pensi, ad esempio, al sempre più diffuso ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all’impiego del telefono, al ricorso a chatbot, etc.
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 8. Le novità in materia di informativa, 8.1 Le informazioni da rendere in conformità al Regolamento
Anche in questo caso il Garante ci ricorda che è comunque nostra responsabilità accertarci che le modalità con cui informiamo i navigatori rispettino i requisiti e le regole poste dalla normativa, specie dal GDPR:
Sarà allora onere del titolare, cui è rimessa la scelta in ordine alla modalità ovvero all’impiego combinato delle modalità ritenute più idonee, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento. (sta scaricando su di noi la responsabilità in nome dell’accountability, ndr)
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876], 8. Le novità in materia di informativa, 8.1 Le informazioni da rendere in conformità al Regolamento
Questo soprattutto in virtù del nuovo regime di accountability (responsabilizzazione) messo in piedi dal Regolamento Generale per la Protezione dei Dati: da un lato pone regole molto più elastiche che lasciano ampi spazi di manovra e riconoscono ampia libertà di “movimento” a chi predispone le informative; dall’altro, però, rafforza anche le responsabilità in capo ad essi affinché, in ogni caso, siano raggiunti gli scopi di tutela minima degli interessati e protezione dei loro dati personali.
Informazioni sui cookie installati
Il provvedimento del 2014 è molto stringente circa le informazioni sui cookie da fornire al navigatore nell’Informativa Estesa:
[…] descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito […]
All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. […]
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4.2. L’informativa estesa.
Quindi, per ciascun cookie, bisogna indicare:
- Le caratteristiche del cookie;
- Lo scopo per cui è installato;
- Se è di prima parte o di terza parte;
- Il tempo di vita (per quanto tempo rimane memorizzato);
- Se è di terza parte, il link alla privacy policy dell’Editore terzo che fisicamente lo installa.
Per ciò che riguarda il link alle privacy policy dei singoli servizi terzi, va precisato che questo è un elemento che si sarebbe dovuto inserire nelle proprie privacy policy a prescindere dalla normativa specifica sui cookie e già in vigenza del vecchio Codice in materia di protezione dei dati personali, proprio in virtù dell’ora abrogato art. 13.
Non c’era una menzione specifica dei link alle specifiche privacy policy, ma sicuramente andava fatta menzione già prima dei servizi terzi usati dal sito, soprattutto quando a questi servizi si inviavano dati personali dei navigatori / utenti (si pensi, per esempio, ai servizio di gestione delle newsletter, per fare un esempio su tutti).
“Pannello di controllo” per la gestione granulare dei cookie
L’informativa estesa deve […] consentire all’utente di selezionare/deselezionare i singoli cookie
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4.2. L’informativa estesa.
Dall’Informativa Estesa, quindi, il navigatore deve poter decidere di quali cookie intende permettere l’installazione e deve anche poter modificare la propria scelta, revocando un consenso eventualmente prestato in precedenza.
Menzione circa la gestione dei cookie direttamente dal browser
Oltre a permettere la gestione dei cookie direttamente dall’Informativa Estesa, la stessa deve anche informare il navigatore che i cookie possono essere gestiti anche direttamente dal suo browser:
Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 4.2. L’informativa estesa.
Indicare la “procedura da eseguire per configurare tali impostazioni” può essere abbastanza complesso poichè i browser sono in realtà moltissimi e non è pensabile di poterli coprire tutti.
Sicuramente può menzionarsi Your Online Choices che permette ai navigatori di gestire in modo unificato le proprie preferenze circa la profilazione.
Volendo si possono includere le istruzioni per i maggiori browser quali Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari.
Ovviamente, se questi browser hanno anche delle versioni mobile, andrebbero linkate anche le istruzioni per i browser sui singoli sistemi operativi mobili: iOS e Android.
Come “clausola di chiusura” si può inserire una frase che spieghi al navigatore come cercare da sé queste informazioni su Internet: “per sapere come disabilitare i cookie dal tuo browser, cerca su Google ‘Come disabilitare i cookie in [nome del tuo browser]‘. Per sapere qual è il browser che stai usando, cerca su Google ‘Qual è il mio browser?‘.”
Le sanzioni previste
Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 7. Conseguenze del mancato rispetto della disciplina in materia di cookie.