Sono passati pochi giorni dall’entrata in vigore del D.Lgs. 69/12 che, in attuazione delle direttive 2009/136/CE e 2009/140/CE, ha modificato in modo sensibile gli articoli del Codice Privacy relativi ai servizi di comunicazione elettronica accessibili al pubblico.
A far maggiormente discutere (e a spaventare tutti gli operatori del settore…) sono state le modifiche che hanno riguardato i c.d. cookies ossia quelle “stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server – senza subire modifiche – ogni volta che il client accede allo stessa porzione dello stesso dominio.” (def. tratta da wikipedia.it)
Di regola sono usati per rendere più piacevole e semplice la navigazione dell’utente, ma si tratta senza dubbio di strumenti che possono essere utilizzati per finalità ulteriori, idonee a ledere la riservatezza di chi naviga sul web.
Il D.Lgs 69/12 ha così modificato il testo dell’articolo 122 del D.Lgs. 196/03:
Art. 122. Informazioni raccolte nei riguardi del contraente o dell’utente
1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.
Come si può desumere dal primo comma, la nuova stesura dell’articolo 122 introduce per quanto riguarda i cookies il definitivo passaggio dal regime dell’ OPT OUT a quello – ben più severo e di difficile attuazione – dell’OPT IN – che prevede la necessità per il titolare di ottenere il consenso preventivo da parte dell’utente. In altre parole, l’utente dovrà essere informato in modo chiaro e completo in merito a finalità e modalità del trattamento dei propri dati, per poi esprimere il proprio consenso affinché i cookies vengano attivati durante la navigazione.
Questa novità ha destato molto scalpore e da più parti si sono levate grida d’allarme e di protesta nei confronti di una norma che avrebbe portato alla fine della navigazione in rete così come la conosciamo.
Pur riconoscendo la complessità dell’argomento e la stesura non particolarmente chiara dell’articolo in questione, bisogna però notare come questi primi commenti non hanno interpretato correttamente il nuovo disposto normativo. Se da una parte viene introdotto il regime del consenso preventivo per i cookies, dall’altra vengono indicati due casi esenzione (per i quali permane il regime dell’OPT OUT).
Non sono vietate l’eventuale archiviazione tecnica e/o l’accesso alle informazioni già archiviate
A) se finalizzate unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica,
oppure
B) nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio
Nella seconda parte dell’articolo cercheremo di spiegare concretamente quando si rientra nelle due ipotesi di esenzione, analizzando anche gli esempi e i chiarimenti forniti nell’”Opinion 4/12 on Cookie Consent Exemption” dei Garanti Europei WP 29.
CINDI 
Pingback: Cookies a prova di privacy: i criteri di esenzione dal consenso preventivo (2^ Parte) | CINDI
Pingback: Cookies a prova di privacy: esempi pratici (3^ Parte) | CINDI
Pingback: Quadro Normativo Su Privacy Online E Cookies