Sei sulla pagina 1di 6

ASSINEWS.

it
il quotidiano assicurativo

NORMATIVA SUI
COOKIE

Secondo l’art 83 comma 5, lett. a) e b) Reg. EU 2016/679 le sanzioni previste per chi non si adegua
o lo fa in modo erroneo o incompleto possono arrivare fino a 20 milioni di euro o il 4% del fatturato
NORMATIVA PRIVACY PRIMA DEL REGOLAMENTO EU. 2016/679
Il garante della Privacy nel regolamentare l’uso dei cookie li ha suddivisi in due macro categorie:
a. Cookie Tecnici (a loro volta suddivisi in Cookie di Navigazione o di Sessione e Cookie Ana-
lytic);
b. Cookie di Profilazione.
Tali categorie sono state elaborate seguendo quanto disposto dalla Direttiva 2009/136/CE (che ha ap-
portato modifiche alla precedente Direttiva 2002/58/CE), la quale ha introdotto l’obbligo di acquisire
il consenso preventivo e informato degli utenti all’istallazione di cookie utilizzati per finalità diverse da
quelle meramente tecniche (cf. art 1, c 5, lett. a del D.lgs 28 maggio 2012 n. 69, che ha così modificato
l’art 122 del codice).
Dunque, in considerazione di quanto disposto dalla Direttiva in parola per ciò che concerne l’istall-
azione dei Cookie Tecnici non è richiesto il preventivo consenso degli utenti, ma solo l’obbligo di dare
l’informativa ai sensi dell’art. 13 del Codice Privacy, che il gestore del sito web fornirà nel modo che
ritiene più idoneo.
Per ciò che, invece, riguarda Cookie di Profilazione questi, essendo utilizzati per scopi pubblicitari
inviati sulla base delle preferenze di ricerca effettuate dall’utente durante la navigazione su Internet,
oltre ad essere preceduti dall’informativa sul loro utilizzo devono essere preceduti anche dal consenso
da parte dell’utente prima che acceda al sito web.
È necessario il consenso dell’utente, preventivamente informato, anche in caso di archiviazione delle
informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già
archiviate.
Sono previste due tipologie di informative cookie:
1- L’ Informativa estesa: che è quella completa alla quale l’utente può accedere attraverso un
collegamento inserito nell’informativa breve e dalle singole pagine che compongono il sito web e di
e – commerce.
2- L’ Informativa breve: che è quella visibile all’utente nel momento in cui accede al sito e, per-
tanto, deve essere posta in home page o su altra pagina di accesso dell’utente.

NORMATIVA PRIVACY CON L’ENTRATA IN VIGORE DEL REGOLAMENTO EUROPEO


2016/679
Il nuovo Regolamento Europeo 2016/679 ha apportato alcune modifiche alla precedente normativa,
tutt’ora in vigore fino a nuova disposizione da parte del Garante privacy.
Tra le novità apportate dal Regolamento Europeo abbiamo:
- IL CONSENSO ESPLICITO
Al fine di garantire una maggiore trasparenza nel trattamento dei dati sensibili, la nuova normativa
privacy prevede l’obbligo di ottenere il consenso esplicito, in qualsiasi modo manifestato, da parte
degli utenti, dunque, non è obbligatoria la forma scritta; per i minori il consenso è ottenibile dai 16
anni in poi.
Pertanto, viene esclusa ogni forma di consenso tacito oppure raccolto attraverso la presentazione di

Cyber Security 03 / Cookie


ASSINEWS.it
il quotidiano assicurativo

opzioni già selezionate.


La sua revoca, può essere effettuata in ogni momento con la stessa semplicità e trasparenza di quanto
è stata concessa.
Il trattamento dei dati effettuato fino alla evoca rimane comunque legittimo.

NEL DETTAGLIO: La “Cookie Law”


Sempre con riferimento alla necessità di un consenso che sia esplicito, come previsto finora dal nostro
Codice Privacy, è necessario, tuttavia, evidenziare che il nostro ordinamento aveva già introdotto una
forma di manifestazione del consenso mediante comportamento concludente in occasione del recepi-
mento della c.d. Cookie Law (Provvedimento dell’8 maggio 2014 n. 229).
La normativa europea e italiana prevede, infatti, che l’utilizzo dei cookie di profilazione all’interno di
un sito web debba essere preventivamente accettato dall’utente, il quale deve esprimere il proprio
consenso informato.
In particolare, affinché il consenso sia considerato valido è sufficiente che esso sia prestato mediante
un comportamento concludente come, ad esempio, la prosecuzione della navigazione su altre pagine
del sito oppure mediante l’interazione con la stessa pagina (secondo un orientamento diffuso il sem-
plice scrolling della pagina equivale ad un comportamento concludente in tal senso).
Si evidenzia, tuttavia, che il GDPR potrebbe avere un impatto anche su tale normativa. La Cookie Law
prevede, infatti, che affinché il consenso sia informato è necessario che il banner di consenso sia ben
visibile e posizionato in modo tale da creare una sorta di discontinuità nella fruizione dei contenuti
della pagina web che si sta visitando. Il Considerando 32 del GDPR prevede, invece, che “se il con-
senso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta rimane chiara e concisa, ma
non dovrebbe interferire immotivatamente con il servizio per il quale lo stesso consenso è espresso”.
Tale previsione sembrerebbe, pertanto, autorizzare l’utilizzo di banner posizionati, a titolo esemplific-
ativo, anche in fondo alla pagina web. Ciò potrebbe comportare il rischio che gli utenti non vedano
i banner informativi e manifestino il proprio consenso tramite anche il solo scroll-on della pagina o
un click direttamente sul link di interesse (casi di azione concludente attualmente tra quelli previsti),
senza pertanto rendersene neanche conto.

CONSENSO

Cosa non cambia


Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile.
Non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

Cosa cambia
Il Codice Privacy non prevedeva una definizione di consenso, che è stata invece introdotta nel
GDPR.

Nel Codice Privacy, il consenso doveva essere necessariamente documentato per iscritto. Il
GDPR non prevede tale obbligo, né richiede la forma scritta: tale modalità, tuttavia, è la più idonea a
configurare l’inequivocabilità del consenso e il suo essere esplicito (per i casi di cui agli articoli 9, 22
e 49).
Il GDPR ha precisato che il titolare deve essere in grado di dimostrare che l’interessato ha
prestato il consenso a uno specifico trattamento, fornendo prova della validità di tale consenso.
Il GDPR ha previsto espressamente il diritto dell’interessato di revocare il proprio consenso.

Il GDPR ha introdotto delle limitazioni in caso di consenso prestato da minori. In particolare:


• il consenso dei minori è valido a partire dai 16 anni;
• prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Cyber Security 03 / Cookie


ASSINEWS.it
il quotidiano assicurativo

Il consenso è l’unica base giuridica che consente all’interessato di acquisire il diritto alla port-
abilità dei dati.

SANZIONI

Il mancato rispetto delle condizioni relative al consenso previste dagli articoli 6, 7 e 9 può comportare
le seguenti sanzioni:
- sanzioni amministrative pecuniarie sino all’importo di 20.000.000 Euro, o per le imprese, fino
al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (articolo 83, par. 5,
lett. a) GDPR);
- risarcimento del danno in favore dell’interessato (articolo 82 GDPR);
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di
non conformità (articolo 58, par. 2, lett. f) GDPR).
Il mancato rispetto dell’obbligo del titolare di cui all’articolo 8, può comportare le seguenti sanzioni:
- sanzioni amministrative pecuniarie sino all’importo di 10.000.000 Euro, o per le imprese, fino
al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
- risarcimento del danno in favore dell’interessato (articolo 82GDPR);
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non
conformità (articolo 58, par. 2, lett. f) GDPR).
Con riferimento alle sanzioni amministrative pecuniarie l’ammontare è quantificato in base ai criteri
definiti dall’articolo 83 par. 1 e 2. Di seguito sono riportati i criteri principali per la quantificazione
delle sanzioni:
- ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte siano
in ogni singolo caso effettivo, proporzionate e dissuasive;
- la natura, la gravità e la durata della violazione;
- il carattere doloso o colposo della violazione;
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare
il danno subito dagli interessati;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal re-
sponsabile del trattamento;
- il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e
attenuarne i possibili effetti negativi.

DIRITTO ALL’OBLIO

Il diritto all’oblio è il diritto dell’utente alla cancellazione dei propri dati personali, anche online, da
parte del titolare del trattamento, qualora si riscontrino determinate condizioni previste dal Regola-
mento, che sono:
a. Se i dati sono trattati solo sulla base del consenso;
b. Se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
c. Se i dati sono stati trattati illecitamente;
d. Se l’interessato si oppone legittimamente al loro trattamento.
Il diritto all’oblio, pertanto, può essere limitato solo in alcuni casi specifici quali:
a. Garantire l’esercizio della libertà di espressione;
b. Garantire il diritto alla difesa in sede giudiziaria;
c. Tutelare un interesse generale come potrebbe essere la salute pubblica;
d. Se i dati resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.

PORTABILITA’ DEI DATI

Al fine di garantire una maggiore fluidità del mercato digitale, è consentito il trasferimento dei dati

Cyber Security 03 / Cookie


ASSINEWS.it
il quotidiano assicurativo

raccolti dal titolare del trattamento ad un altro ed è possibile cambiare il provider di posta elettronica
senza perdere i contatti ed i messaggi salvati.

GARANZIE PER I MINORI

Fornitori di servizi internet ed i social media, possono richiedere il consenso ai genitori o a chi esercita
la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

INFORMATIVE

Alla luce della nuova normativa cookie 2018, il contenuto dell’informativa è stato esteso e deve essere
sempre indicato in maniera inequivocabile.
I dati da indicare obbligatoriamente sono indicati negli articoli 13 paragrafo 1 e 14, paragrafo 1, del
regolamento.

TEMPO E MODALITA’ DELL’INFORMATIVA

Sulla base di quanto disposto dall’art. 13 del Regolamento UE l’informativa deve essere fornita entro
un termine ragionevole che non può superare il mese.
L’informativa deve esse posta per iscritto e preferibilmente in formato elettronico.

VIOLAZIONI DELLA NORMATIVA PRIVACY (CODICE PRIVACY E REGOLAMENTO 2016/679)

Il sito web che non rispetta le suindicate disposizioni normative rischia le seguenti sanzioni:
a. Omessa informativa o informativa non adeguata a quanto prescritto dalla legge: multa da 6 mila
a 36 mila euro, art. 161 del Codice;
b. Istallazione cookie senza il consenso dell’utente: multa da 10.00 euro a 120 mila euro, art 162,
comma 2-bis del codice.
Dal 25 maggio 2018 con l’entrata in vigore del Regolamento Europeo 2016/679 le sanzioni previste per
chi non si adegua o lo fa in modo erroneo o incompleto, possono arrivare fino a 20 milioni di euro o
il 4% del fatturato totali ex art 83 comma 5, lett. a) e b) Reg. EU 2016/679.
c. Omessa o incompleta notificazione al Garante: sanzioni da 20.000 euro al 120 mila euro,
art.163 del Codice.
Tale ultima sanzione non è più applicabile poiché dal 25 maggio 2018 (data della entrata in vigore
del Regolamento EU 2016/679) è cessato l’obbligo di notifica previsto dall’art. 37, comma 4 del D.lgs
196/2003.

PROBLEMI DI SICUREZZA

I cookie NON sono virus. I cookie utilizzano un formato di testo normale. Non sono pezzi di codice
compilati in modo che non possano essere eseguiti né si auto-eseguono. Di conseguenza, non pos-
sono fare copie di sé stessi e diffondersi ad altre reti per eseguirle e replicarle di nuovo. Poiché non
possono eseguire queste funzioni, non rientrano nella definizione di virus standard.
I cookie, però, possono essere utilizzati per scopi dannosi, poiché memorizzano informazioni sulle
preferenze di navigazione e sulla cronologia di un utente, sia su un sito specifico che navigando tra
diversi siti. I cookie, così, possono essere utilizzati come una forma di spyware.

SUGGERIMENTI PER UNA NAVIGAZIONE WEB SICURA

A causa della loro flessibilità e del fatto che molti dei siti più grandi e più visitati utilizzano i cookie

Cyber Security 03 / Cookie


ASSINEWS.it
il quotidiano assicurativo

per impostazione predefinita, i cookie sono quasi inevitabili. La disabilitazione dei cookie, di fatto,
può bloccare l’utente da molti dei siti più utilizzati su Internet come Youtube, Gmail, Yahoo mail e
altri.
Pertanto, è necessario utilizzare alcuni accorgimenti, quali:
a. personalizzare le impostazioni dei cookie del proprio browser;
b. installare e mantenere sempre aggiornate le applicazioni antispyware;
c. assicurarsi che il proprio browser sia aggiornato: è consigliato impostare il browser per l’ag-
giornamento automatico. Ciò elimina le vulnerabilità di sicurezza causate da browser obsoleti.

APPROFONDIMENTI
Trattamento illecito di dati personali: la disciplina sanzionatoria
Per ciò che concerne la responsabilità civile
Il trattamento illecito di dati personali configura in capo al soggetto leso il diritto al risarcimento dei
danni, a meno che il titolare del trattamento non dimostri che l’evento dannoso non sia a lui imput-
abile.
L’art. 15 del Codice della Privacy richiama in tutto e per tutto la disciplina civilistica in materia di risar-
cimento del danno da illecito (art. 2050 c.c., assimilando la disciplina del trattamento dei dati personali
a quella dello svolgimento di attività pericolose). Tale disciplina riconosce in capo al soggetto leso il
diritto al risarcimento a prescindere dalla volontarietà del comportamento illecito, ovvero per il solo
fatto di aver subito un danno. Spetta, comunque, al titolare del trattamento dimostrare di aver adottato
tutte le misure idonee ad evitare il danno, che si è quindi verificato per caso fortuito o forza maggiore.
La responsabilità sorge in capo al titolare del trattamento, sia in caso di dolo che di colpa; in capo
al responsabile, nel caso in cui quest’ultimo ometta di vigilare sull’attività degli incaricati (o non im-
partisca le necessarie istruzioni), disattenda le direttive del titolare del trattamento o non adotti le
misure minime di sicurezza.
Per quanto riguarda gli illeciti amministrativi, si configura una responsabilità civile in caso di omessa o
inidonea informativa all’interessato, trattamento in assenza di consenso, cessione dei dati in violazione
delle norme.
Gli illeciti penali invece sono previsti dagli articoli 167-172 del Codice della Privacy.
In particolare, è punito con la reclusione da 6 a 18 mesi, il trattamento illecito di dati da cui derivi no-
cimento al titolare degli stessi, ovvero con la reclusione da 6 a 24 mesi, la comunicazione o diffusione
di dati illecitamente trattati, indipendentemente dal potenziale danno che derivi a terzi; salvo che il
fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri
un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17,
20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da
uno a tre anni. ex art 167 comma 1 e 2, codice della privacy.

Privacy: depenalizzare o no? la Cassazione sul trattamento illecito di dati personali.

Il reato di trattamento illecito di dati personali, previsto dall’art 167 del Codice privacy, sarebbe
oggetto di una depenalizzazione contenuta nel decreto legislativo di recepimento del Regolamento
Europeo privacy (GDPR) approvato in via preliminare dal Consiglio dei Ministri il 21 marzo 2018.
La norma però ha avuto una discreta fortuna in sede giurisprudenziale, come dimostra l’abbondante
produzione di precedenti richiamata anche dalla Corte di Cassazione in una sentenza della fine del
2017, ultimo provvedimento noto sul tema.
La formulazione normativa prevede che “Art. 167 Trattamento illecito di dati 1.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o
di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto
dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto

Cyber Security 03 / Cookie


ASSINEWS.it
il quotidiano assicurativo

deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione
o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o
di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto
dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con
la reclusione da uno a tre anni.”
La Corte si è trovata ad affrontare un caso nel quale tale trattamento illecito era stato posto in dubbio
dalla mancata diffusione o comunicazione dei dati illecitamente carpiti.
Il Supremo Collegio ha quindi ricordato che “come già affermato da questa Corte, il “nocimento”
previsto dall’art. 167, D.Lgs. n. 196 del 2003, indipendentemente dalla sua qualificazione in termini di
condizione obiettiva di punibilità ovvero di elemento costitutivo del reato, deve essere inteso come un
pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla
persona alla quale si riferiscono i dati o le informazioni protetti.”
E “Alla luce di tale inquadramento, ben può dunque rientrare, nel concetto di nocumento, nella specie
in particolare non patrimoniale, come ritenuto dalla sentenza impugnata, la forte preoccupazione per
la propria incolumità e per i propri beni derivante dalla comunicazione di dati personali a soggetti
sconosciuti in un contesto connotato dal rinvenimento, unitamente alle immagini stese, di un dossier
comprendente informazioni sulla propria vettura, già in precedenza oggetto di danneggiamento, e
della fotografia di casa con contrassegnati i vari punti di accesso.”
Ciò che, tuttavia, difetta, nella conclusione adottata dalla sentenza impugnata laddove la stessa ha
precisato essere stato dimostrato “il trattamento dei dati personali del XXXX, trattamento che com-
prende la raccolta, la conservazione, l’elaborazione e la comunicazione a terzi delle immagini della
persona offesa, per un fine di profitto e con causazione di un nocimento che non devono necessaria-
mente rivestire natura patrimoniale”, è l’accertamento, considerato correttamente necessario dal primo
motivo di ricorso, in particolare di una condotta di destinazione alla diffusione o alla comunicazione
sistematica senza le quali il trattamento stesso non potrebbe, infatti, ricadere nell’ambito della norm-
ativa in oggetto.”
Come infatti previsto dall’art. 5, comma 3, del d. Igs. n. 196 del 2003, “il trattamento di dati personali
effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente
codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione”; ed al riguardo,
precisa poi l’art.4, comma 1, lett. m) dello stesso d.lgs., dedicato alle definizioni, che la diffusione deve
intendersi come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione”. Sicché, in altri termini, affinché il reato
sia integrato, anche nella forma della trasmissione o consegna a soggetti determinati, è necessario che
i dati siano comunque destinati ad una diffusione”.
La conclusione della Cassazione è che per potersi avere il reato di trattamento illecito di dati sia ne-
cessario che tali dati vengano diffusi o comunicati in qualsiasi forma.
Le fattispecie di reato presuppongono il dolo specifico nonché, un preventivo trattamento dei dati
personali, effettuato però in violazione delle disposizioni contenute negli articoli 18, 19, 23, 123, 126
e 130 del Codice della Privacy.
Tra questi, una particolare attenzione merita la violazione dell’articolo 23. Si tratta del trattamento di
dati personali in assenza di consenso da parte dell’interessato: l’unica fattispecie di illecito penale con-
figurabile in capo a privati. La norma tuttavia prevede alcune “deroghe ed eccezioni quando si tratti
di far valere in giudizio il diritto di difesa” oppure di tutelare il diritto di cronaca o il diritto all’inform-
azione costituzionalmente garantito.

Cyber Security 03 / Cookie