Documentazione

Fonti giuridiche sulla necessità di dover citare i nomi dei cookie di terza parte e sui requisiti di opt-out

In breve:

  • non è obbligatorio menzionare i nomi dei cookie di terza parte uno per uno;
  • segnalare agli utenti la possibilità di utilizzare meccanismi di opt-out come le impostazioni del browser o i moduli di consenso forniti dalle terze parti è un approccio valido, se non addirittura il migliore in assoluto.

Con l’obiettivo di consentire alle imprese di evitare oneri superflui e irragionevoli, quest’articolo comprende estratti di documenti predisposti dalle autorità privacy di Italia, Belgio, Spagna e Regno Unito a sostegno dei suindicati punti.

Postulati:

  • nella Cookie Policy, non è necessario citare i nomi dei singoli cookie di terza parte uno per uno. L’obbligo di fornire i nomi ed altre informazioni addizionali ricade infatti sulle terze parti;
  • anche l’obbligo di fornire dei meccanismi di opt-out ricade sulla terza parte.

Normative esaminate:

Sommario

Come affermato dalle autorità privacy, l’approccio corretto da seguire per le procedure relative ai cookie e per le soluzioni di raccolta del consenso implementate su un sito web è il seguente:

  • i cookie devono essere raggruppati, classificati e delineati per finalità all’interno di una cookie policy;
  • il requisito di fornire all’utente la possibilità di richiedere l’opt-out si intende soddisfatto chiarendo, sempre nella cookie policy, quali siano le opzioni per fare opt-out attraverso il browser, gli strumenti terzi disponibili (come Your Online Choices) e i link alle terze parti, che sono in ultima analisi i responsabili dell’opt-out per i propri strumenti di tracciamento.

Questo è l’approccio che iubenda ha scelto di adottare. Pensiamo che qualsiasi altro approccio sarebbe infatti proibitivo per il gestore del sito web. Ad esempio, i nomi dei cookie di terza parte potrebbero cambiare in qualsiasi momento e senza preavviso, ponendo in capo al gestore del sito l’onere di verificare costantemente ogni singola terza parte, alla ricerca di modifiche ai cookie che sono al di fuori del controllo del gestore stesso.

Nei 4 Paesi sopracitati, non vi è alcuna disposizione secondo cui i nomi dei cookie debbano essere citati uno per uno, né tanto meno disposizioni che facciano ricadere l’obbligo di gestire gli opt-out sul gestore del sito web. Al contrario, la modalità attraverso cui consentire agli utenti di esercitare l’opt-out sembra essere lasciata in gran parte alla discrezione del gestore del sito web, mentre le autorità si limitato a delineare alcune best practice ed alcuni esempi, illustrati nel presente documento per un confronto approfondito.

L’approccio che iubenda adotta è quello di fornire soluzioni che seguono le linee guida delle autorità, senza aggiungere inutili complessità, e senza esporre il gestore a procedure (come l’inserimento dei nomi dei cookie di terza parte) che non solo non sono richieste, ma sono anche suscettibili di errore. Per questo motivo le nostre privacy e cookie policy si concentrano sull’evidenziare le finalità del trattamento (obbligatorio), sull’identificare i soggetti terzi coinvolti nel trattamento (obbligatorio), sul trattamento dei dati (obbligatorio), sui riferimenti alle privacy e cookie policy delle terze parti (obbligatorio) e sui rispettivi link di opt-out (se presenti).

Opt-in vs Opt-out

Il termine “opt-in” si riferisce al momento in cui è necessaria un’azione affermativa per concedere il consenso. Diversamente l’opt-out dà all’utente solo l’opzione per revocarlo, essendo già assunto.

Quindi, ad esempio:

  • stai usando il metodo di “opt-out” se il tuo form di iscrizione utilizza una checkbox pre-selezionata, in quanto all’utente è richiesto di negare o ritirare il (presunto) consenso;
  • al contrario, stai usando il metodo “opt-in” se il form di iscrizione utilizza una checkbox non spuntata, in quanto richiedi all’utente di compiere l’azione positiva di spuntare la casella per fornire il consenso.

In generale, in USA l’opt-out è consentito per l’email marketing, mentre in Europa e Canada è obbligatorio l’opt-in. Anche se non specificamente richiesto, l’opt-in è generalmente considerato una buona norma in molti paesi. Per questo motivo, è spesso la migliore e più sicura linea di condotta.

Riferimenti normativi

Italia

Riferimenti

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

L’Autorità Garante per la protezione dei dati personali (Garante Privacy) ha espressamente dichiarato quanto segue nel provvedimento dedicato – cfr “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014 (c.d. “Provvedimento DPA”):

[…] Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”)… Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, un editore dovrebbe essere sempre dotato degli strumenti e delle competenze giuridiche e professionali per assumersi gli obblighi delle terze parti – quindi, l’editore sarebbe tenuto a verificare, di tanto in tanto, che ciò che viene dichiarato dai terzi corrisponda alle finalità che si prefiggono in termini attuativi attraverso i loro cookie.

Si tratta di un compito arduo perché spesso un editore non ha contatti diretti con tutte le terze parti che installano cookie attraverso il suo sito web, né conosce la logica alla base del relativo trattamento. Inoltre, non è raro che ci siano ulteriori intermediari che si frappongono tra gestori e terze parti, il che rende, in ultima analisi, molto difficile per l’editore tenere traccia delle attività di tutte le parti interessate.

In secondo luogo, i cookie di terza parte potrebbero essere modificati dalle stesse terze parti nel tempo e risulterebbe piuttosto disfunzionale richiedere agli editori di tenere traccia anche di questi successivi cambiamenti. Inoltre, è necessario considerare che gli editori – una categoria che comprende anche persone fisiche e PMI – sono spesso la parte “più debole” in questo contesto. Per contro, le terze parti sono di solito grandi imprese di notevole spessore economico, che di norma lavorano con più editori, per cui un editore può spesso avere a che fare con un numero considerevole di terze parti.

Per tutti questi motivi, il Garante Privacy ritiene che agli editori non possa essere richiesto di includere, nella homepage dei loro siti web, anche gli avvisi relativi ai singoli cookie installati dalle terze parti attraverso il sito stesso. Da quanto sopra esposto si può concludere che i cookie di terza parte non devono essere menzionati per nome uno ad uno dal proprietario del sito web (l’editore, così come identificato nel DPA) poiché, non essendo in grado di individuarli in modo puntuale, non risulterebbe possibile farvi riferimento singolarmente all’interno dell’informativa.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

La disposizione del Garante Privacy non risponde espressamente a questa domanda, ma la conclusione può essere implicitamente desunta dalle righe seguenti, che si riferiscono alla cookie policy:

[…] All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti … Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Se, come sopra indicato, l’editore non ha alcun controllo sui cookie installati dai terzi, è ovvio che non può offrire ai propri utenti i mezzi per escluderli. Pertanto, è necessario fornire un collegamento alle informative sulla privacy dei terzi, e l’opt-out da tali cookie deve essere fornito dalle stesse terze parti coinvolte.

Infine, il Garante sottolinea che l’utente deve essere informato della possibilità di comunicare le proprie scelte tramite le impostazioni del browser. Se la tecnologia sottostante il sito web è compatibile con la versione del browser dell’utente, l’editore può rendere disponibile un collegamento diretto alla sezione di configurazione delle impostazioni del browser.

Belgio

Riferimenti

L’autorità belga per la protezione dei dati (Commission de la protection de la vie privée) ha pubblicato una raccomandazione sui cookie (Projet de recommandation concernant l’utilisation des cookies). Dal documento possiamo desumere quanto segue.

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Le informazioni da fornire agli utenti in merito ai cookie sono le finalità circa ogni tipo o categoria di cookie, i dati personali raccolti, il tempo di conservazione, gli strumenti di opt-out, il trasferimento di dati personali a terze parti (vedi pagina 37).

[…] L’information relative aux cookies sera de préférence fournie par types de cookies ou finalités de ces cookies (m.n. 156). (…) Elle porte aumoins sur les points suivants:

  • les finalités des accès et/ou des inscriptions pour chaque type de cookie ou catégorie de finalités de ces cookies;
  • les catégories d’informations stockées;
  • les durées de conservation des informations;
  • les modalités pour l’effacement des informations;
  • les éventuelles communications à des tiers et les informations qui leur sont communiquées. (m.n. 157)

Non c’è alcun riferimento al fatto che i cookie debbano essere citati per nome uno per uno.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Il documento si limita ad indicare che i gestori di siti web devono informare gli utenti sulle modalità di revoca del consenso all’accettazione dei cookie (vedi pagina 40).

[…] 176. L’utilisateur doit pouvoir à tout moment et de manière aisée retirer le consente-ment qu’il a précédemment donné. Cette possibilité lui sera donnée dans le cadre de l’information relative à la politique d’utilisation des cookies

Infine, il documento fornisce alcuni esempi di best practice per le procedure sui cookie, che includono espressamente il riferimento alle impostazioni del browser o a strumenti terzi (nel loro esempio menzionano Google Analytics) per impedire il tracciamento tramite cookie (vedi pagina 54).

[…] Cookies statistiques (…) Pour certaines analyses, nous utilisons Google Analytics qui peut être désactivé de différentes façons selon les navigateurs utilisés (modules et extensions tierces, blocage du site www.google-analytics.com/*, …)
Cookies tiers (…)
Ces cookies peuvent être bloqués ou effacés par les options de votre navigateur.

Spagna

Riferimenti

L’autorità nazionale per la protezione dei dati (Agencia Española de Protección de Datos) ha pubblicato una serie di documenti relativi ai cookie, in particolare una “Guida ai cookie” e un parere legale (Informe jurídico 196/2014, “Informe”) sulla necessità di menzionare i nomi dei cookie uno per uno.

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Le risposte alla domanda si riassumono come segue.

Non è necessario che i cookie siano citati per nome uno per uno, è sufficiente informare circa la tipologia di cookie utilizzati, le loro finalità e la procedura per l’opt-out (vedi pagina 4 dell’Informe).

[…] Comenzaremos indicando que en opinión de esta Agencia la normativa estudiada pretende que el usuario sea suficientemente informado sobre la utilización de dispositivos de almacenamiento y recuperación de datos en su equipo terminal, siendo esencial que dicha información verse sobre las finalidades de dichos dispositivos. Ahora bien, la normativa no exige que la información detalle el nombre de los dispositivos, puesto que lo esencial es informar sobre los extremos indicados más arriba, y singularmente sobre el uso de cookies, quién las utiliza y para qué. Por tanto, no es necesario mostrar la segunda capa de información en una tabla o de otro modo en que se especifiquen los nombres de todas y cada una de las cookies.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Per informare l’utente sulle modalità di opt-out dal tracciamento tramite cookie, il titolare può fornire strumenti propri, istruzioni su come impostare le preferenze sul browser dell’utente o altri “strumenti comuni di opt-out” (vedi pagina 18 della Guida ai cookie).

[…] Información sobre la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, así como la forma de revocación del consentimiento ya prestado.

Non vi è alcun riferimento esplicito al fatto che gli strumenti forniti dalle terze parti stesse siano sufficienti, ma si deduce dal fatto che le tre diverse soluzioni menzionate (strumenti propri, impostazioni del browser, strumenti comuni) sono considerate tutte equivalenti e ugualmente valide.

Inoltre, il documento stabilisce che i titolari devono semplicemente “fornire informazioni su come revocare il consenso all’accettazione dei cookie” (pagina 23). In più, la legge spagnola sulla protezione dei dati non stabilisce chi sia responsabile di fornire informazioni sui cookie di terza parte (titolare o terze parti), in modo che entrambi i soggetti debbano cooperare a tal fine (pagina 24) ed essere considerati responsabili (pagina 25).

Non vi è alcun riferimento al fatto che gli strumenti di opt-out debbano essere forniti dal titolare.

A tal proposito: l’Informe jurídico 0011/2014 si occupa solo del fatto che i cookie debbano essere accettati, senza chiarire invece il tema della revoca. L’unica cosa che si legge circa gli strumenti di opt-out è che i titolari devono fornire un modo semplice e gratuito per revocare il tracciamento tramite cookie (il che ripete essenzialmente il punto precedente: questi strumenti non devono necessariamente essere forniti dal titolare).

Regno Unito

Riferimenti

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Dal sito web dell’ICO (PECR sta per “Privacy in Electronic Communications Regulation”, tutela della privacy nelle comunicazioni elettroniche):

PECR do not set out exactly what information you must provide or how to provide it – this is up to you. The only requirement is that it must be “clear and comprehensive” information about your purposes.

L’ICO ha inoltre pubblicato una guida per i cookie (Guida alle norme sull’uso dei cookie e di tecnologie analoghe). Il presente documento afferma che:

It could be an option to provide long lists of all cookies implemented, but for most users a broader explanation of the way cookies operate and of the categories of cookies used will be helpful (see p. 18). Long tables or detailed lists of all the cookies operating on the site may be the type of information that some users will want to consider. For most users it may be helpful to provide a broader explanation of the way cookies operate and the categories of cookies that you use on your website. A description of the types of things analytical cookies are used for on the site will be more likely to satisfy the requirements than simply listing all the cookies you use with basic references to their function.

In ogni caso, non è necessario menzionare i cookie uno per uno. In effetti, il documento fornisce anche un esempio di best practice in cui i cookie sono descritti solo per categorie (stesso punto di cui sopra).

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Per quanto riguarda la revoca, il documento non è molto elaborato e dettagliato al riguardo, ma afferma solo che i proprietari del sito web devono fornire informazioni agli utenti su come revocare il consenso. Non indica nulla su quali strumenti siano ritenuti accettabili a tal fine, ma menziona ripetutamente le impostazioni del browser come un mezzo sufficiente per consentire la revoca del consenso.

Leggi anche