mappa-cookie-law

Cookie law: come è nel resto d’Europa

La cookie law è una norma prevista nella direttiva 2009/136/CE, che modifica la direttiva 2002/58/CE, la quale norma stabilisce:

Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Al considerando 66 si precisa ulteriormente:

Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE. L’esecuzione di detti requisiti dovrebbe essere resa più efficace tramite i maggiori poteri conferiti alle autorità nazionali competenti”.

Tale normativa viene recepita dall'art. 122 del Codice Privacy italiano.

La normativa europea, che avrebbe dovuto essere recepita entro il 25 maggio del 2011 nelle legislazioni nazionali, rimanda eventualmente ad una regolamentazione di dettaglio dei Garanti nazionali. Questo perché la direttiva non spiega come dovrebbe essere fornita l'informativa né come dovrebbe configurarsi il consenso, precisando solo alcuni dettagli. Ciò comporta una frammentazione della legislazione, in quanto i singoli Garanti possono prevedere modalità attuative differenti da Stato a Stato. Ovviamente ogni cittadino dovrà necessariamente adeguarsi ai dettami del proprio Garante di riferimento, senza considerare l'implementazione in altri Stati.

La premessa è d'obbligo, la seguente analisi può presentare imprecisioni data la complessità della verifica. La base di partenza è il sito Cookipedia, integrato con numerose altre fonti (normative, tradotte con Google Translate) e controlli effettuati personalmente o a mezzo terzi.

BELGIO
Legge di recepimento: Emendamento all'art. 129 dell'Electronic Communications Act del 2005.
Entrata in vigore: 28 giugno 2012.
Regolamentazione Garante: bozza sottoposta a consultazione. Testo finale previsto entro il 2015.
Consenso: preventivo anche se implicito, non necessario per i cookie tecnici.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: non ammesso.

BULGARIA
Legge di recepimento: Electronic Commerce Act.
Entrata in vigore: 29 dicembre 2011.
Regolamentazione Garante: no.
Consenso: preventivo. Informativa chiara della presenza e finalità dei cookie, e indicazione delle modalità di disabilitazione.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: non ammesso.

CROAZIA
Legge di recepimento: emendamento all'Electronic Telecommunications Act.
Entrata in vigore: 10 agosto marzo 2011.
Regolamentazione Garante: no.
Entrata in vigore:
Consenso: opt in.
Rispetto rigoroso opt in: si.

DANIMARCA
Legge di recepimento: legge 169 del 3 marzo 2011 che rimanda a regolamentazione del Garante.
Entrata in vigore: 3 marzo 2011.
Regolamentazione Garante: Executive Order 1148 (Information and Consent Required in Case of Storing and Accessing Information in End-User Terminal Equipment).
Entrata in vigore: 14 dicembre 2011.
Consenso: opt out. Informativa chiara e comprensibile.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: non ammesso.
Note: il Garante nazionale sostiene che la loro attuazione è rigorosamente basata sulla normativa europea.

ESTONIA
Legge di recepimento: no. Il governo ha sostenuto che l'art. 102 dell'Electronic Communications Act implementa già la direttiva.
Entrata in vigore: 25 maggio 2011.
Regolamentazione Garante: no.
Consenso: opt out. Il consenso non è richiesto, si prevede l'informativa e l'indicazione delle modalità di disabilitazione dei cookie.
Rispetto rigoroso opt in: no.

FINLANDIA
Legge di recepimento: emendamento all'Act on Protection of Privacy in Electronic Communications.
Entrata in vigore: 25 maggio 2011.
Regolamentazione Garante: no.
Consenso: opt out.
Consenso tramite impostazioni del browser: ammesso.
Rispetto rigoroso opt in: no.

FRANCIA
Legge di recepimento: articolo 32 II della legge 78-17 del 6 gennaio 1978.
Entrata in vigore: 27 agosto 2011.
Regolamentazione Garante: tre pareri del Garante (CNIL), l'ultimo dei quali ritiene conforme il consenso implicito.
Consenso: espresso e informato (opt in valido per 13 mesi) tranne per i cookie tecnici. Per quelli di analytics è sufficiente l'opt out se c'è informativa chiara con istruzioni per la disabilitazione. Il consenso può essere anche implicito (con la prosecuzione della navigazione).

Nota: il CNIL offre esercitazioni pratiche per impostare i siti web in conformità con la normativa, uno strumento per verificare se e quali cookie un sito veicola (CookieViz), e menziona un plugin per i social button (Panzi su GitHub).
Rispetto rigoroso opt in: no.

GERMANIA
Legge di recepimento: nessuna, il governo ritiene che l'attuale normativa (legge Telemedia, sezione 15) sia conforme. La Commissione europea ha confermato la conformità. Esistono solo specifiche regole per casi particolari (profilazione). Comunque la struttura federale dello Stato prevede che ogni Land ha un proprio Garante, che può imporre regole diverse.
Consenso: il Garante federale ha precisato che occorre informare gli utenti in caso di profilazione, e che il trattamento di IP è da considerarsi tale.
Rispetto rigoroso opt in: si.

GRECIA
Legge di recepimento: legge n. 4070 del 2012.
Entrata in vigore: 10 aprile 2012.
Regolamentazione Garante: no.
Consenso: non si richiede che sia esplicito o preventivo.
Consenso tramite impostazioni browser: si.
Rispetto rigoroso opt in: no.

ISLANDA
Legge di recepimento: nessuna. Vi è una proposta di legge che prevede consenso anche tramite impostazioni del browser.
Consenso tramite impostazioni browser: si.
Rispetto rigoroso opt in: no.

IRLANDA
Legge di recepimento: Statutory Instruments 336/2011.
Entrata in vigore: 1 luglio 2011.
Regolamentazione Garante: no.
Consenso: non sono specificate le modalità, ma solo che dovrebbe essere “user friendly”. È richiesta l'informativa.
Consenso tramite impostazioni del browser: ammesso.
Rispetto rigoroso opt in: no.

ITALIA
Legge di recepimento: D. Lgs 69 del 2012 che modifica l'art. 122 del Codice Privacy.
Regolamentazione Garante: provvedimento dell'8 maggio 2014.
Entrata in vigore: 3 giugno 2015
Consenso: preventivo (opt in) tranne per i soli cookie tecnici.
Informativa: banner con informativa breve e link all'informativa estesa dove sono presenti le modalità di disabilitazione di cookie di terze parti.
Rispetto rigoroso opt in: si.
Note: i cookie devono essere bloccati se di terze parti, compreso quelli di analytics (a meno di anonimizzazione e blocco dell'incrocio dei dati con altri servizi). Prevista la notifica del trattamento in caso di profilazione.

OLANDA
Legge di recepimento: articolo 11.7 del Telecommunications Act come modificato nel 2012.
Entrata in vigore: 5 giugno 2012.
Consenso: opt in. Il consenso deve essere espresso e preventivo. Se l'utente non fornisce il consenso può essere negato l'accesso al sito.
Rispetto rigoroso opt in: si.
Note: la normativa olandese è tra le più restrittive d'Europa. Dal gennaio 2013 una modifica prevede che sia il responsabile del sito a provare che il sito non fa uso di tracking cookie. Il Garante (ACM) sta predisponendo metodi automatizzati di controllo.
Nel febbraio 2013, in considerazione dell'impatto di una rigorosa applicazione dell'opt in, ha annunciato una revisione della regolamentazione, con consenso implicito.

NORVEGIA
Legge di recepimento: sezione 2, 7b dell'Electronic Communications Act.
Entrata in vigore: 1 luglio 2013.
Regolamento del Garante: si.
Consenso: preventivo ma anche implicito.
Rispetto rigoroso opt in: no.
Consenso tramite impostazione del browser: ammesso anche se si tratta delle impostazioni di default.

POLONIA
Legge di recepimento: legge del 16 novembre 2012 che emenda il Telecommunications Act.
Entrata in vigore: 22 marzo 2013.
Consenso: preventivo ma implicito. Richiesta l'informativa chiara e comprensibile.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: ammesso.

PORTOGALLO
Legge di recepimento: legge n. 46 del 2012 che emenda la legge 41 del 2004.
Entrata in vigore: 30 agosto 2012.
Regolamentazione Garante: no.
Consenso: preventivo, tranne cookie tecnici, ed informato. Il consenso implicito non dovrebbe essere conforme.
Rispetto rigoroso opt in: si.
Consenso tramite impostazioni del browser: nessuna indicazione in merito.

REGNO UNITO
Legge di recepimento: Privacy and electronic communications regulations del 2011
Entrata in vigore: 26 maggio 2012
Regolamentazione Garante: maggio 2011 e maggio 2012 (introduzione del consenso implicito).
Consenso: preventivo. Occorre informativa chiara della presenza dei cookie e di come disabilitarli. È ammesso il consenso implicito, basato su specifica azione dell'utente.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: non ammesso.

Il sito del Garante (ICO) presenta un banner con richiesta consenso e link all'informativa estesa, ma non blocca i cookie. Il sito prevede espressamente l'opt out. Dopo un primo periodo nel quale il Garante prevedeva un meccanismo sostanzialmente identico a quello attuale italiano, poi si è orientato verso il consenso implicito, senza alcun blocco dei cookie (“We have placed cookies on your device to help make this website better. You can use this tool to change your cookie settings. Otherwise, we’ll assume you’re OK to continue”). Attualmente non è previsto alcun blocco dei cookie, se l'utente, dopo aver ricevuto l'informativa, continua a navigare il sito è considerato consenso implicito.

REPUBBLICA CECA
Legge di recepimento: Legge 468 del 2011 che emenda la legge 127 del 2005 sulle Comunicazioni elettroniche.
Entrata in vigore:1 gennaio 2012.
Regolamentazione Garante: no.
Consenso: informativa con indicazione delle modalità di disabilitazione dei cookie e consenso successivo (opt out).
Rispetto rigoroso opt in: no.
Note: le autorità mantengono una posizione non ufficiale in merito alla necessità di un opt in.

ROMANIA
Legge di recepimento: legge n. 506 del 2004 modificata nel 2012.
Entrata in vigore: 21 giugno 2012.
Regolamentazione Garante: no.
Consenso: espresso. Può anche essere implicito.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: ammesso.

SLOVACCHIA
Legge di recepimento: emendamento all'Electronic Communications Act.
Entrata in vigore: 1 ottobre 2011.
Regolamentazione Garante: no.
Consenso: informato e implicito.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: ammesso.

SLOVENIA
Legge di recepimento: emendamento all'Electronic Communications Act.
Entrata in vigore: 15 giugno 2013.
Regolamentazione Garante: no.
Consenso: informato e implicito.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: ammesso.

SPAGNA
Legge di recepimento: legge 34 del 2002, Information Society Services and Electronic Commerce.
Regolamento del Garante: del 2013 (AEPD).
Entrata in vigore: 29 aprile 2013.
Consenso: richiesta informativa chiara e visibile. È ritenuto conforme il consenso implicito, purché sia legato ad una specifica azione dell'utente. Il gestore del sito deve chiedere il consenso anche per i cookie di terze parti.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: ammesso.

La Spagna è stato il primo paese ad imporre una multa (3.500 euro) per violazione della cookie law, perché le informazioni presenti sul sito non erano sufficienti. Nel caso specifico comunque il giudice ha ammesso che il cookie non aveva un impatto di rilievo sulla privacy degli utenti.

SVEZIA
Legge di recepimento: legge del 2011 che emenda l'Electronic Communications Act del 2003.
Entrata in vigore: 1 luglio 2011.
Consenso: il Garante e l'Autorità di Telecomunicazioni non hanno fornito prescrizione su come ottenere il consenso, lasciando la scelta ai gestori dei siti.
Rispetto rigoroso opt in: no.
Consenso tramite impostazioni del browser: sembrerebbe ammesso.

UNGHERIA
Legge di recepimento: Emendamento 155.4 alla Legge del 2003 sulle Comunicazioni Elettroniche.
Entrata in vigore: 3 luglio 2011.
Regolamento Garante: no.
Consenso: opt out. La prima legge attuativa prevedeva il consenso preventivo, la nuova legge non prevede più il consenso preventivo.
Consenso tramite impostazioni del browser: ammesso.
Rigoroso rispetto opt in: no.

Osservazioni

L'attuazione della cosiddetta cookie law varia da Stato a Stato. Per alcuni non è possibile avere certezze rispetto alle modalità di consenso ammesse, specialmente in assenza di pareri o regolamentazioni dei Garanti nazionali.
Quasi tutti gli Stati richiedono il consenso preventivo (opt in), però molti di loro si sono orientati (l'ICO in un secondo momento, altri Garanti stanno preparando nuove regolamentazione in tal senso) verso un consenso implicito, che in genere è da intendere come l'assenza di un obbligo di blocco preventivo dei cookie. In questi casi è obbligatoria una chiara informativa e l'indicazione delle modalità di disabilitazione dei cookie.

I Garanti hanno chiarito l'importanza di una chiara e completa informativa rispetto all'uso dei cookie da parte del sito, con specifica indicazione delle istruzioni su come disabilitare i cookie (eventualmente anche con link a risorse esterne). L'ICO, nel passare dal consenso esplicito a quello implicito, ha detto che tale decisione dipende dal fatto che dopo una prima fase appare una maggiore consapevolezza degli utenti in merito alla loro privacy e l'uso dei cookie.

I Garanti nazionali generalmente convengono che il consenso dato tramite le impostazioni del browser non sia conforme alla normativa, nonostante il considerando 66 della direttiva europea menzioni teoricamente questa possibilità. Si rileva infatti che le impostazioni di default dei browser sono per l'accettazione di tutti i cookie. Inoltre, come rileva infatti il Garante danese, l'attuale tecnologia non consente di distinguere adeguatamente tra i cookie, per cui un consenso via browser implicherebbe l'accettazione o il rifiuto di tutti i cookie, con evidenti ricadute sull'uso dei servizi online.

LINEE GUIDA AI COMMENTI