Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

È necessario specificare i nomi dei cookie di terze parti e i requisiti di opt-out? Cosa dice la legge

Con l’obiettivo di consentire alle imprese di evitare oneri superflui e irragionevoli, quest’articolo esamina alcuni estratti di documenti predisposti dalle Autorità per la protezione dei dati di Italia, Belgio, Spagna e Regno Unito riguardo l’obbligo di menzionare i nomi dei cookie di terze parti e segnalare i meccanismi di opt-out.

cookie di terze parti
In breve:
  • non è obbligatorio menzionare i nomi dei cookie di terza parte uno per uno;
  • segnalare agli utenti la possibilità di utilizzare meccanismi di opt-out, come le impostazioni del browser o i moduli di consenso forniti dalle terze parti, è un approccio valido, se non addirittura il migliore in assoluto.
Postulati:
  • nella Cookie Policy, non è necessario citare i nomi dei singoli cookie di terza parte uno per uno. L’obbligo di fornire i nomi e altre informazioni addizionali ricade infatti sulle terze parti;
  • anche l’obbligo di fornire dei meccanismi di opt-out ricade sulla terza parte.
Normative esaminate:

Sommario

Come affermato dalle Autorità per la protezione dei dati, l’approccio corretto da seguire per le procedure relative ai cookie e per le soluzioni di raccolta del consenso è il seguente:

  • i cookie devono essere raggruppati, classificati e delineati per finalità all’interno di una cookie policy;
  • il requisito di fornire all’utente la possibilità di richiedere l’opt-out si intende soddisfatto chiarendo, sempre nella cookie policy, quali siano le opzioni per fare opt-out attraverso il browser, gli strumenti terzi disponibili (come Your Online Choices) e i link alle terze parti, che le responsabili dell’opt-out per i propri strumenti di tracciamento.

Questo è l’approccio che iubenda ha scelto di adottare. Pensiamo che qualsiasi altro approccio sarebbe infatti proibitivo per il gestore del sito web. Ad esempio, i nomi dei cookie di terza parte potrebbero cambiare in qualsiasi momento e senza preavviso, obbligando il gestore del sito a verificare costantemente ogni singola terza parte, alla ricerca di modifiche ai cookie.

Per questo motivo le nostre privacy e cookie policy si concentrano sull’evidenziare le finalità del trattamento (obbligatorio), sull’identificare i soggetti terzi coinvolti nel trattamento (obbligatorio), sul trattamento dei dati (obbligatorio), sui riferimenti alle privacy e cookie policy delle terze parti (obbligatorio) e sui rispettivi link di opt-out (se presenti).

Nei quattro paesi sopracitati, non vi è alcuna disposizione secondo cui i nomi dei cookie debbano essere citati uno per uno, né tanto meno disposizioni che facciano ricadere l’obbligo di gestire gli opt-out sul gestore del sito web. Al contrario, la modalità attraverso cui consentire agli utenti di esercitare l’opt-out sembra essere lasciata in gran parte alla discrezione del gestore del sito web, mentre le autorità si limitato a delineare alcune best practice ed alcuni esempi, che illustriamo più in basso.

Vale la pena notare che anche il Transparency and Consent Framework di IAB non supporta l’elenco dei nomi dei singoli cookie.

💡

Opt-in vs Opt-out


Il termine “opt-in” si riferisce al consenso preventivo, quindi la necessità un’azione affermativa per concedere il consenso. Diversamente l’opt-out dà all’utente solo l’opzione per revocarlo.

Quindi, ad esempio:

  • stai usando il metodo di “opt-out” se il tuo form di iscrizione utilizza una checkbox pre-selezionata, perché all’utente è richiesto di negare o ritirare il (presunto) consenso;
  • al contrario, stai usando il metodo “opt-in” se il form di iscrizione utilizza una checkbox non spuntata, perché richiedi all’utente di compiere l’azione positiva di spuntare la casella per fornire il consenso.

In generale, in USA l’opt-out è consentito per l’email marketing, mentre in Europa e Canada è obbligatorio l’opt-in. Anche se non specificamente richiesto, l’opt-in è generalmente considerato una buona norma in molti paesi. Per questo motivo, è spesso la migliore e più sicura linea di condotta.

📌 Riferimenti normativi

Italia 🇮🇹

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

L’Autorità Garante per la protezione dei dati personali (Garante Privacy) ha espressamente dichiarato quanto segue nel provvedimento dedicato – cfr “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014 (c.d. “Provvedimento DPA”):

[…] Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”)… Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, un editore dovrebbe essere sempre dotato degli strumenti e delle competenze giuridiche e professionali per assumersi gli obblighi delle terze parti. Quindi, sarebbe tenuto a verificare, di tanto in tanto, che ciò che viene dichiarato dai terzi corrisponda alle finalità che si prefiggono in termini attuativi attraverso i loro cookie.

Si tratta di un compito arduo perché spesso un editore non ha contatti diretti con tutte le terze parti che installano cookie attraverso il suo sito web, né conosce la logica alla base del relativo trattamento. Inoltre, non è raro che ci siano ulteriori intermediari che si frappongono tra gestori e terze parti, il che rende molto difficile per l’editore tenere traccia delle attività di tutte le parti interessate.

In secondo luogo, i cookie di terza parte potrebbero essere modificati dalle stesse terze parti nel tempo e risulterebbe piuttosto disfunzionale richiedere agli editori di tenere traccia anche di questi successivi cambiamenti. Inoltre, è necessario considerare che gli editori – una categoria che comprende anche persone fisiche e PMI – sono spesso la parte “più debole” in questo contesto. Per contro, le terze parti sono di solito grandi imprese di notevole spessore economico, che di norma lavorano con più editori, per cui un editore può spesso avere a che fare con un numero considerevole di terze parti.

Per tutti questi motivi, il Garante Privacy ritiene che agli editori non possa essere richiesto di includere, nella homepage dei loro siti web, anche gli avvisi relativi ai singoli cookie installati dalle terze parti attraverso il sito stesso. Da quanto sopra esposto si può concludere che i cookie di terza parte non devono essere menzionati per nome uno ad uno dal proprietario del sito web poiché, non essendo in grado di individuarli in modo puntuale, non risulterebbe possibile farvi riferimento singolarmente all’interno dell’informativa.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

La disposizione del Garante Privacy non risponde espressamente a questa domanda, ma la conclusione può essere implicitamente desunta dalle righe seguenti, che si riferiscono alla cookie policy:

[…] All’interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti … Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all’informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Se, come sopra indicato, l’editore non ha alcun controllo sui cookie installati dai terzi, è ovvio che non può offrire ai propri utenti i mezzi per escluderli. Pertanto, è necessario fornire un collegamento alle informative sulla privacy dei terzi, e l’opt-out da tali cookie deve essere fornito dalle stesse terze parti coinvolte.

Infine, il Garante sottolinea che l’utente deve essere informato della possibilità di comunicare le proprie scelte tramite le impostazioni del browser. Se la tecnologia sottostante il sito web è compatibile con la versione del browser dell’utente, l’editore può rendere disponibile un collegamento diretto alla sezione di configurazione delle impostazioni del browser.

Belgio 🇧🇪

L’autorità belga per la protezione dei dati (Commission de la protection de la vie privée) ha pubblicato una raccomandazione sui cookie (Projet de recommandation concernant l’utilisation des cookies). Dal documento possiamo desumere quanto segue.

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Le informazioni da fornire agli utenti in merito ai cookie sono le finalità circa ogni tipo o categoria di cookie, i dati personali raccolti, il tempo di conservazione, gli strumenti di opt-out, il trasferimento di dati personali a terze parti (vedi pagina 37).

[…] L’information relative aux cookies sera de préférence fournie par types de cookies ou finalités de ces cookies (m.n. 156). (…) Elle porte aumoins sur les points suivants:

  • les finalités des accès et/ou des inscriptions pour chaque type de cookie ou catégorie de finalités de ces cookies;
  • les catégories d’informations stockées;
  • les durées de conservation des informations;
  • les modalités pour l’effacement des informations;
  • les éventuelles communications à des tiers et les informations qui leur sont communiquées. (m.n. 157)

Non c’è alcun riferimento al fatto che i cookie debbano essere citati per nome uno per uno.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Il documento si limita ad indicare che i gestori di siti web devono informare gli utenti sulle modalità di revoca del consenso all’accettazione dei cookie (vedi pagina 40).

[…] 176. L’utilisateur doit pouvoir à tout moment et de manière aisée retirer le consente-ment qu’il a précédemment donné. Cette possibilité lui sera donnée dans le cadre de l’information relative à la politique d’utilisation des cookies

Infine, il documento fornisce alcuni esempi di best practice per le procedure sui cookie, che includono espressamente il riferimento alle impostazioni del browser o a strumenti terzi (nel loro esempio menzionano Google Analytics) per impedire il tracciamento tramite cookie (vedi pagina 54).

[…] Cookies statistiques (…) Pour certaines analyses, nous utilisons Google Analytics qui peut être désactivé de différentes façons selon les navigateurs utilisés (modules et extensions tierces, blocage du site www.google-analytics.com/*, …)
Cookies tiers (…)
Ces cookies peuvent être bloqués ou effacés par les options de votre navigateur.

Spagna 🇪🇸

L’autorità nazionale per la protezione dei dati (Agencia Española de Protección de Datos) ha pubblicato una serie di documenti relativi ai cookie, in particolare una “Guida ai cookie” e un parere legale (Informe jurídico 196/2014, “Informe”) sulla necessità di menzionare i nomi dei cookie uno per uno.

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Le risposte alla domanda si riassumono come segue.

Non è necessario che i cookie siano citati per nome uno per uno, è sufficiente informare circa la tipologia di cookie utilizzati, le loro finalità e la procedura per l’opt-out (vedi pagina 4 dell’Informe).

[…] Comenzaremos indicando que en opinión de esta Agencia la normativa estudiada pretende que el usuario sea suficientemente informado sobre la utilización de dispositivos de almacenamiento y recuperación de datos en su equipo terminal, siendo esencial que dicha información verse sobre las finalidades de dichos dispositivos. Ahora bien, la normativa no exige que la información detalle el nombre de los dispositivos, puesto que lo esencial es informar sobre los extremos indicados más arriba, y singularmente sobre el uso de cookies, quién las utiliza y para qué. Por tanto, no es necesario mostrar la segunda capa de información en una tabla o de otro modo en que se especifiquen los nombres de todas y cada una de las cookies.

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Per informare l’utente sulle modalità di opt-out dal tracciamento tramite cookie, il titolare può fornire strumenti propri, istruzioni su come impostare le preferenze sul browser dell’utente o altri “strumenti comuni di opt-out” (vedi pagina 18 della Guida ai cookie).

[…] Información sobre la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, así como la forma de revocación del consentimiento ya prestado.

Non vi è alcun riferimento esplicito al fatto che gli strumenti forniti dalle terze parti stesse siano sufficienti, ma si deduce dal fatto che le tre diverse soluzioni menzionate (strumenti propri, impostazioni del browser, strumenti comuni) sono considerate tutte equivalenti e ugualmente valide.

Inoltre, il documento stabilisce che i titolari devono semplicemente “fornire informazioni su come revocare il consenso all’accettazione dei cookie” (pagina 23). In più, la legge spagnola sulla protezione dei dati non stabilisce chi sia responsabile di fornire informazioni sui cookie di terza parte (titolare o terze parti), in modo che entrambi i soggetti debbano cooperare a tal fine (pagina 24) ed essere considerati responsabili (pagina 25).

Non vi è alcun riferimento al fatto che gli strumenti di opt-out debbano essere forniti dal titolare.

A tal proposito: l’Informe jurídico 0011/2014 si occupa solo del fatto che i cookie debbano essere accettati, senza chiarire invece il tema della revoca. L’unica cosa che si legge circa gli strumenti di opt-out è che i titolari devono fornire un modo semplice e gratuito per revocare il tracciamento tramite cookie (il che ripete essenzialmente il punto precedente: questi strumenti non devono necessariamente essere forniti dal titolare).

🇬🇧 Regno Unito

È necessario menzionare i nomi di tutti i cookie di terza parte, o è un obbligo delle terze parti?

Dal sito web dell’ICO (PECR sta per “Privacy in Electronic Communications Regulation”, tutela della privacy nelle comunicazioni elettroniche):

PECR do not set out exactly what information you must provide or how to provide it – this is up to you. The only requirement is that it must be “clear and comprehensive” information about your purposes.

L’ICO ha inoltre pubblicato una guida per i cookie (Guida alle norme sull’uso dei cookie e di tecnologie analoghe). Il presente documento afferma che:

It could be an option to provide long lists of all cookies implemented, but for most users a broader explanation of the way cookies operate and of the categories of cookies used will be helpful (see p. 18). Long tables or detailed lists of all the cookies operating on the site may be the type of information that some users will want to consider. For most users it may be helpful to provide a broader explanation of the way cookies operate and the categories of cookies that you use on your website. A description of the types of things analytical cookies are used for on the site will be more likely to satisfy the requirements than simply listing all the cookies you use with basic references to their function.

In ogni caso, non è necessario menzionare i cookie uno per uno. In effetti, il documento fornisce anche un esempio di best practice in cui i cookie sono descritti solo per categorie (stesso punto di cui sopra).

L’opt-out per i cookie di terza parte deve essere fornito da tali terze parti?

Per quanto riguarda la revoca, il documento non è molto elaborato e dettagliato al riguardo, ma afferma solo che i proprietari del sito web devono fornire informazioni agli utenti su come revocare il consenso. Non indica nulla su quali strumenti siano ritenuti accettabili a tal fine, ma menziona ripetutamente le impostazioni del browser come un mezzo sufficiente per consentire la revoca del consenso.

Leggi anche