Privacy-Vinicio Salvatore Di Crescenzo

Privacy-Vinicio Salvatore Di Crescenzo

Vinicio Salvatore Di Crescenzo

Privacy

 Privacy Policy e trattamento dei dati personali

Informativa resa ai sensi dell'articolo 13 del D.lgs. n.196/2003 ai visitatori del sito Internet (viniciosalvatoredicrescenzo.it) e fruitori dei servizi offerti dallo stesso, a partire dall’indirizzo (http://www.viniciosalvatoredicrescenzo.it/), con l’esclusione dei link esterni.

I dati raccolti attraverso questo sito sono:

Dati forniti volontariamente dall’utente
L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.

Cookies
Nessun dato personale degli utenti viene in proposito acquisito dal sito. Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti. Ricordiamo che l'utente, tramite configurazione del proprio browser può in qualsiasi momento disabilitare l'operatività dei cookie o essere informato nel momento in cui riceve il cookies e negare il consenso all'invio.

Principi generali del trattamento di dati personali

 

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

 

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.” 

 

 

Assicurare la liceità del trattamento di dati personali

 

Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

 

- consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

 

Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo: 

  • l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale. 

 

 

Consenso

Quando il trattamento si fonda sul consenso dell’interessato, il titolare  deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso), che è valido se:

  • all'interessato è stata resa l'informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
  • è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica. 

 

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

 

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

 

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

 

Per approfondimenti: Linee-guida del WP29  sul consenso, qui disponibili: www.garanteprivacy.it/regolamentoue/consenso. Si segnalano anche le linee-guida in materia di profilazione e decisioni  automatizzate del Gruppo "Articolo 29" (WP 251), qui disponibili: www.garanteprivacy/regolamentoue/profilazione.

 

Interesse vitale di un terzo

 

Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

 

Interesse legittimo prevalente di un titolare o di un terzo

 

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679.

 

L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

 

Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

 

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

 

 

Trasparenza del trattamento: l’informativa agli interessati

 

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo). 

 

QUANDO

 

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento). 

 

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

 

COSA

 

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. 

 

In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

 

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

 

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

 

COME

 

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online:  articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1). 

 

Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.

 

In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

 

Per maggiori dettagli ed esempi di redazione di informative,  il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

 

 

 

Un approccio responsabile al trattamento: Accountability

 

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

 

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

 

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo "Articolo 29", qui disponibili: www.garanteprivacy.it/Regolamentoue/DPIA). (Vedi anche: il tutorial del Garante sul concetto di “rischio")

 

All’esito di questa valutazione di impatto, il titolare:

  • potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
  • dovrà consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più  previste

  • la notifica preventiva dei trattamenti all’autorità di controllo;
  • una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento). 

 

Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità. 

 

Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi

 

Rapporti contrattuali fra titolare e responsabile del trattamento

 

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

 

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare: 

  • la natura, durata e finalità del trattamento o dei trattamenti assegnati
  • le categorie di dati oggetto di trattamento
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

 

Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

  • la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2); 
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32); 
  • la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

 

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

 

Registro dei trattamenti

 

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

 

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. 

 

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

 

Misure di sicurezza

 

Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

 

Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l'efficacia delle misure di sicurezza adottate.

 

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). 

 

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

 

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

 

Notifica di una violazione dei dati personali

 

A partire dal 25 maggio 2018, tutti i titolari  dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare. 

 

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34. 

 

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

 

Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque,  adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

 

Si segnalano, al riguardo, le linee-guida in materia di notifica delle violazioni di dati personali del Gruppo "Articolo 29", qui disponibili: www.garanteprivacy/regolamentoue/databreach

 

Responsabile della protezione dei dati

 

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento. 

 

La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali:  articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

 

Si segnalano anche i materiali disponibili nella sezione “Responsabile della protezione dati” sul sito del Garante, che comprendono ulteriori FAQ sul punto (www.garanteprivacy/regolamentoue/rpd)

 

 

 

I diritti degli interessati

 

I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento

 

- In primo luogo, il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e) ).

 

- Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).

 

- Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

 

- La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

 

- Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se  si tratta di richieste manifestamente infondate o eccessive  - anche ripetitive (articolo12, paragrafo 5) - ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).

 

Trasferimento dei dati all’estero

 

Verso Paesi appartenenti all'Unione europea

 

Non possono esservi limitazioni né divieti alla libera circolazione dei dati personali nell’Unione europea per motivi attinenti alla protezione dei dati (Articolo 1, paragrafo 3 del Regolamento). Pertanto, non vi sono limiti di alcun genere per quanto riguarda i flussi di dati dall’Italia verso altri Stati membri dell’Ue (e dello Spazio Economico Europeo: Islanda, Norvegia, Liechtenstein).

 

Verso Paesi non appartenenti all'Unione europea

 

Il  trasferimento di dati personali verso Paesi non appartenenti all'Unione europea è vietato, in linea di principio.

 

Tale divieto può essere superato solo quando intervengano le seguenti specifiche garanzie (articoli da 44 a 49 del Regolamento UE 2016/679):

 

a) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

b) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d'impresa - BCR, e clausole contrattuali tipo);

c) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (articolo 49 del Regolamento).

 

Sono altresì vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell'esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (articolo 48 del Regolamento UE 2016/679). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all'articolo 49 del Regolamento medesimo. E' lecito trasferire dati personali verso un Paese terzo non adeguato "per importanti motivi di interesse pubblico", in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell'Unione europea (articolo 49, paragrafo 4) – e dunque non può essere fatto valere l'interesse pubblico dello Stato terzo ricevente.

 

Si segnalano le raccomandazioni del Comitato europeo per la protezione dei dati relative all’utilizzo delle “deroghe” per i trasferimenti di dati di cui all’Articolo 49 del Regolamento. 

 

 

Vedi anche la sezione del sito dedicata al tema

Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie - 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)

Registro dei provvedimenti
n. 229 dell´8 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

VISTA la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in  materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell´esecuzione della normativa a tutela dei consumatori;

VISTO il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell´esecuzione della normativa a tutela dei consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012 n. 126);

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice") e, in particolare, gli artt. 13, comma 3 e 122, comma 1;

VISTA la precedente deliberazione del Garante recante "Avvio di una consultazione pubblica ai sensi dell´art. 122 volta ad individuare modalità semplificate per l´informativa di cui all´art. 13, comma 3, del Codice in materia di protezione dei dati personali" (Del. n. 359 del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre 2012 n. 295);

TENUTO CONTO delle indicazioni fornite sul tema dal Gruppo di lavoro per la tutela dei dati personali ex art. 29, in particolare nella Opinion 04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e nel Working Document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf);

TENUTO CONTO delle risultanze dei contributi pervenuti al Garante dai principali fornitori di servizi di comunicazione elettronica, nonché dalle associazioni dei consumatori e delle categorie economiche coinvolte che hanno partecipato alla suindicata consultazione pubblica;

CONSIDERATI gli ulteriori elementi emersi in occasione degli incontri tenutisi a settembre 2013 e febbraio 2014 presso l´Autorità, nell´ambito del tavolo di lavoro avviato dalla stessa al fine di sollecitare un nuovo e più diretto confronto con i suindicati soggetti, nonché con esponenti del mondo accademico e della ricerca che si occupano delle tematiche di interesse;

RITENUTO necessario adottare, ai sensi del combinato disposto degli artt. 13, comma 3, 122, comma 1 e 154, comma 1, lett. c), del Codice, un provvedimento di carattere generale, con il quale  oltre a individuare le modalità semplificate per rendere l´informativa online agli utenti sull´archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati  si intende fornire idonee indicazioni sulle modalità con le quali procedere all´acquisizione del consenso degli stessi, laddove richiesto dalla legge;

CONSIDERATO che la disciplina relativa all´uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l´identificazione dell´utente o del terminale e che quindi devono essere ricompresi nell´ambito del presente provvedimento;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSA

1. Considerazioni preliminari.

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall´utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l´utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.

Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli  posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri  proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l´obbligo di acquisire il consenso preventivo e informato degli utenti all´installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l´art. 122 del Codice).

Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macro-categorie: cookie "tecnici" e cookie "di profilazione".

a. Cookie tecnici.

I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dall´abbonato o dall´utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all´utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l´acquisto) al fine di migliorare il servizio reso allo stesso.

Per l´installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l´obbligo di dare l´informativa ai sensi dell´art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

b. Cookie di profilazione.

I cookie di profilazione sono volti a creare profili relativi all´utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell´ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell´ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l´utente debba essere adeguatamente informato sull´uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l´art. 122 del Codice laddove prevede che "l´archiviazione delle informazioni nell´apparecchio terminale di un contraente o di un utente o l´accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l´utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all´articolo 13, comma 3" (art. 122, comma 1, del Codice).

2. Soggetti coinvolti: editori e "terze parti".

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell´utente, a seconda che si tratti dello stesso gestore del sito che l´utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell´informativa e all´acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all´editore l´obbligo di fornire l´informativa e acquisire il consenso all´installazione dei cookie nell´ambito del proprio sito anche per quelli installati dalle "terze parti".
In primo luogo, l´editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l´uso dei cookie. Ciò è reso assai arduo dal fatto che l´editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l´editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l´editore il controllo sull´attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l´editore ad inserire sull´home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell´informativa rilasciata dall´editore, rendendo nel contempo estremamente faticosa per l´utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l´intento di semplificazione previsto dall´art. 122 del Codice.

Analogamente, per quanto concerne l´acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte  tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l´accesso al relativo sito, assumono necessariamente una duplice veste.

Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall´altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell´informativa e all´acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

3. Impatto della disciplina in materia di cookie sulla rete.

I cookie svolgono diverse e importanti funzioni nell´ambito della rete. Qualunque decisione in merito alle modalità di informativa e consenso online, riguardando in pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impatto su un numero enorme di soggetti, che presentano peraltro, come si è detto, natura e caratteristiche profondamente diverse tra loro.

Il Garante, consapevole della portata della presente decisione, ritiene pertanto necessario che le misure prescritte nella stessa -ai sensi di quanto previsto dall´art. 122, comma 1, del Codice  siano, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull´installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (come previsto dall´art. 23 del Codice) e, dall´altro, presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.

Di tali opposte esigenze, emerse chiaramente anche in occasione della consultazione pubblica e degli incontri tenuti dall´Autorità, si tiene conto in primo luogo nella determinazione delle modalità con le quali rendere l´informativa in forma semplificata.

È peraltro convinzione del Garante che i due temi, dell´informativa e del consenso, vadano necessariamente trattati in maniera congiunta, onde evitare che il ricorso a modalità di espressione del consenso online che richiedano operazioni eccessivamente complesse da parte degli utenti vanifichino la semplificazione realizzata nell´informativa.

4. L´informativa con modalità semplificate e l´acquisizione del consenso online.

Ai fini della semplificazione dell´informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall´art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi.

Nel momento in cui l´utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l´utente può accedere al sito), integrata da un´informativa "estesa", alla quale si accede attraverso un link cliccabile dall´utente.

Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all´uso dei cookie sia inserita proprio nel banner contenente l´informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell´informativa estesa, la possibilità di esprimere scelte più specifiche.

4.1. Il banner contenente informativa breve e richiesta di consenso.

Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni  ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando  contenente le seguenti indicazioni:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall´utente nell´ambito della navigazione in rete;

b) che il sito consente anche l´invio di cookie "terze parti" (laddove ciò ovviamente accada);

c) il link all´informativa estesa, ove vengono fornite indicazioni sull´uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l´indicazione che alla pagina dell´informativa estesa è possibile negare il consenso all´installazione di qualunque cookie;

e) l´indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporta la prestazione del consenso all´uso dei cookie.

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l´informativa, seppur breve, deve essere parte integrante dell´azione positiva nella quale si sostanzia la manifestazione del consenso dell´utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell´esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell´utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l´acquisizione del consenso online all´uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall´art. 23, comma 3, del Codice.

In conformità con i principi generali, è necessario in ogni caso che dell´avvenuta prestazione del consenso dell´utente sia tenuta traccia da parte dell´editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale "documentazione" delle scelte dell´utente consente poi all´editore di non riproporre l´informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l´utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all´uso dei cookie da parte del sito, ad esempio tramite accesso all´informativa estesa, che deve essere linkabile da ogni pagina del sito.

4.2. L´informativa estesa.

L´informativa estesa deve contenere tutti gli elementi previsti dall´art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all´utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell´informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

All´interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l´editore ha stipulato accordi per l´installazione di cookie tramite il proprio sito. Qualora l´editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l´eventualità che tali collegamenti con le terze parti siano raccolti all´interno di un unico sito web gestito da un soggetto diverso dall´editore, come nel caso dei concessionari.

Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all´informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari).

Nel medesimo spazio dell´informativa estesa deve essere richiamata la possibilità per l´utente (alla quale fa riferimento anche l´art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all´uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall´utente, l´editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

5.  Notificazione del trattamento.

Si ricorda che l´uso dei cookie rientra tra i trattamenti soggetti all´obbligo di notificazione al Garante ai sensi dell´art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell´interessato, o ad analizzare abitudini o scelte di consumo, ovvero a  monitorare l´utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti".

L´uso dei cookie è, invece, sottratto all´obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli "relativi all´utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l´apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all´esclusivo  fine di agevolare l´accesso ai contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81).

Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all´obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento), non debbono essere notificati al Garante.

6. Tempi di adeguamento.

Come già evidenziato in precedenza, il Garante è consapevole dell´impatto, anche economico, che la disciplina sui cookie avrà sull´intero settore della società dei servizi dell´informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo.

In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate.

7. Conseguenze del mancato rispetto della disciplina in materia di cookie.

Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all´art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L´installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L´omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall´art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

TUTTO CIO´ PREMESSO IL GARANTE

1. ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice -ai fini dell´individuazione delle modalità semplificate per l´informativa che i gestori di siti web, come meglio specificati in premessa, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito  stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall´utente nell´ambito della navigazione in rete;

b) che il sito consente anche l´invio di cookie "terze parti" (laddove ciò ovviamente accada);

c) il link all´informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

•  uso dei cookie tecnici e analytics;

•  possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l´utente di manifestare le proprie opzioni in merito all´uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l´indicazione che alla pagina dell´informativa estesa è possibile negare il consenso all´installazione di qualunque cookie;

e) l´indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporta la prestazione del consenso all´uso dei cookie;

2. ai sensi dell´art. 154, comma 1, lett. c), del Codice  ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti  prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l´acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).

Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell´Ufficio pubblicazione leggi e decreti.

Roma, 8 maggio 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE