PROVVEDIMENTO 8 maggio 2014 - Individuazione delle modalita' semplificative per l'informativa e l'acquisizione del consenso per l'uso dei cookie. (Provvedimento n. 229). (14A04066)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Visto il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012, n. 126);

Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice") e, in particolare, gli articoli 13, comma 3 e 122, comma 1;

Vista la precedente deliberazione del Garante recante "Avvio di una consultazione pubblica ai sensi dell'art. 122 volta ad individuare modalita' semplificate per l'informativa di cui all'art. 13, comma 3, del Codice in materia di protezione dei dati personali" (Del. n. 359 del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre 2012, n. 295);

Tenuto conto delle indicazioni fornite sul tema dal Gruppo di lavoro per la tutela dei dati personali ex art. 29, in particolare nella Opinion 04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e nel Working Document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2013/wp208_en.pdf);

Tenuto conto delle risultanze dei contributi pervenuti al Garante dai principali fornitori di servizi di comunicazione elettronica, nonche' dalle associazioni dei consumatori e delle categorie economiche coinvolte che hanno partecipato alla suindicata consultazione pubblica;

Considerati gli ulteriori elementi emersi in occasione degli incontri tenutisi a settembre 2013 e febbraio 2014 presso l'Autorita', nell'ambito del tavolo di lavoro avviato dalla stessa al fine di sollecitare un nuovo e piu' diretto confronto con i suindicati soggetti, nonche' con esponenti del mondo accademico e della ricerca che si occupano delle tematiche di interesse;

Ritenuto necessario adottare, ai sensi del combinato disposto degli articoli 13, comma 3, 122, comma 1 e 154, comma 1, lettera c), del Codice, un provvedimento di carattere generale, con il quale - oltre a individuare le modalita' semplificate per rendere l'informativa online agli utenti sull'archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati - si intende fornire idonee indicazioni sulle modalita' con le quali procedere all'acquisizione del consenso degli stessi, laddove richiesto dalla legge;

Considerato che la disciplina relativa all'uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l'identificazione dell'utente o del terminale e che quindi devono essere ricompresi nell'ambito del presente provvedimento;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

Relatore il dott. Antonello Soro;

Premessa. 1. Considerazioni preliminari. I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente puo' ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando. I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalita': esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc. Al fine di giungere a una corretta regolamentazione di tali dispositivi, e' necessario distinguerli ‑posto che...