


Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Approfondimenti nelle tematiche attinenti al GDPR e Cookie law
Tipologia: Guide, Progetti e Ricerche
1 / 4
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!



Nella giornata del 3 giugno 2015 è entrata in vigore in Italia la tanto discussa cookie law conformemente a quanto stabilito nel provvedimento del Garante per la protezione dei dati personali dell'8 maggio 2014, recante "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie".
Per iniziare è bene precisare che l'iniziativa del nostro Garante della Privacy non nasce dal nulla e non è altro che un atto dovuto di adeguamento della normativa Italiana a quanto disposto in sede europea: la cookie law , infatti, è un provvedimento nato a livello comunitario ( direttiva 2009/136/ CE ) con l'intento di arginare la diffusione dei cosiddetti cookie di profilazione e dei connessi rischi per la privacy degli utenti di Internet.
Ma andiamo per gradi e vediamo di partire dalle basi e di spiegare, anche se su queste pagine non dovrebbe essercene bisogno, cosa sono i cookie e come funzionano.
Un cookie è un piccolo file di testo che viene creato all'interno del computer di chi visualizza un sito web allo scopo di registrarvi alcune informazioni relative alla visita nonché di creare un sistema per riconoscere l'utente anche in momenti successivi; tale cookie, infatti, potrà non solo essere creato ma anche letto e modificato dallo stesso sito web che lo ha generato.
In pratica possiamo dire che i cookie sono una sorta di "memoria" attraverso la quale un sito web riesce a riconoscere uno specifico utente e ad associargli delle informazioni di varia natura e per differenti finalità.
E' bene precisare che un sito Web può impostare un cookie sul browser dell'utente solo ed esclusivamente se le preferenze configurate per quest'ultimo lo consentono e che il browser può consentire a un determinato sito Web di accedere solo ed esclusivamente ai cookie da esso impostati e non a quelli impostati da altri siti Web in quanto, come detto, il cookie è un sistema di collegamento tra uno specifico sito web ed uno specifico utente.
No. Assolutamente no.
I cookie sono uno strumento tecnico essenziale per il buono e corretto funzionamento di quasi tutti i siti web esistenti.
La capacità dei cookie di identificare un utente e di associargli delle informazioni, infatti, è stata concepita per finalità tecniche molto importanti e non certo per poter tracciare un profilo della personalità e delle abitudini dell'utente di Internet: quest'ultima finalità, in un certo senso, può e deve essere vista come l'eccezione alla regola, essendo i cookie uno strumento nato per tutt'altro scopo.
Fortunatamente è lo stesso Garante della Privacy a rendersi conto che "non tutti i cookie sono cattivi". Nel citato provvedimento dell'8 maggio 2014, infatti, il Garante identifica due macro categorie di cookie:
navigazione (ad esempio selezionare la lingua o memorizzare alcuni prodotti preferiti all'interno di un e-commerce).
Mentre per i cookie tecnici NON è richiesto alcun consenso preventivo da parte dell'utente (il sito web, cioè, può gestirli tranquillamente senza dover adempiere ad alcuna formalità), per i cookie di profilazione la normativa europea e italiana prevede che "l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso".
Un'altra importante distinzione riguarda il soggetto attivo, cioè colui il quale procede alla materiale trasmissione del cookie sul computer dell'utente. In questo senso si distingue tra i cosiddetti cookie di prime parti e di terze parti:
Come è facile immaginare, i cookie di terze parti sono quelli che suscitano le maggiori preoccupazioni in quanto, oltre ad essere incredibilmente diffusi, sono totalmente estranei alla gestione ed al controllo del titolare del sito che, spesso e volentieri, ne ignora le finalità se non addirittura l'esistenza.
Per fare un esempio, si pensi che qualunque sito abbia integrato un sistema di statistiche come quello di Google Analytics o un plugin sociale come quello di Facebook (si pensi al classico pulsante "Mi piace") trasmette, spesso senza nemmeno saperlo, dei cookie di terze parti ai propri utenti fungendo da tramite mediante le proprie pagine web.
La distinzione descritta tra cookie di prime e terze parti assume, come vedremo in seguito, particolare rilievo anche all'interno della cookie law.
Il Codice in materia di protezione dei dati personali (anche detto Codice della Privacy) prevede, all'articolo 122 comma 1, che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato (...)".
In altre parole possiamo dire che l'utilizzo dei cookie all'interno di un sito web deve essere preventivamente accettato dall'utente, il quale deve esprimere il proprio consenso informato (tale consenso, come già detto, NON è necessario qualora un sito utilizzi esclusivamente "cookie tecnici").
Particolarmente importante, nel contesto della normativa sui cookie, è il concetto di "informativa": abbiamo detto infatti che prima di poter prestare validamente il proprio consenso, l'utente deve essere adeguatamente informato circa l'utilizzo che il sito fa dei cookie. Ciò, sempre secondo le disposizioni del garante, deve avvenire in due fasi distinte.
nemmeno, ma i gestori di siti web sicuramente sì perché gli oneri previsti potrebbero essere tutt'altro che di semplice implementazione.
Sintetizzando, la situazione attuale è questa: il gestore di un sito web mostra un'informativa breve (all'interno di un banner) in cui informa l'utente circa l'utilizzo di cookie sul sito web. L'utente, in pratica, può solo accettare oppure andarsene.
Con l'avvento del GDPR questa prassi non sarà più legittima: in altre parole, il gestore di un sito web dovrà consentire agli utenti di effettuare una scelta, consapevole e informata, su quali cookie autorizzare e quali no e non potrà proibire l'accesso alle informazioni del sito per il solo fatto che l'utente rifiuti l'installazione di un cookie a meno che non sia idispensabile al funzionamento del sito. Il GDPR, inoltre, afferma chiaramente che l'interessato deve essere sempre in grado di revocare il consenso con la stessa facilità con cui lo ha prestato. Questo significa che l'utente dovrà essere in grado di revocare il consenso a tutti o a specifici cookie nello stesso modo e con la stessa semplicità di quando ha dato il consenso alla loro installazione. Ad esempio, se l'utente ha acconsentito facendo clic su alcune caselle, deve essere in grado di revocare il consenso nello stesso modo.
Un altro punto critico della normativa riguarda la compatibilità delle nuove direttive in tema di privacy con le esigenze di sicurezza dei sistemi informatici. In particolar modo, molti amministratori di sistema si stanno interrogando circa la compatibilità del GDPR con la registrazione di log all'interno dei web server.
Tutti i server web, come Apache o IIS ad esempio, registrano dei file - detti appunto log - in cui vengono scritte una serie di informazioni tra cui date, orari, indrizzi IP, risorse rischieste, ecc. Queste informazioni vengono salvate all'interno di grandi file di testo (access.log, error.log, ecc.) solitamente accessibili solo all'amministratore di sistema per finalità di monitoraggio.
Essendo registrate, all'interno dei vari log, alcune informazioni personali come, ad esempio, gli indirizzi IP dei visitatori, qualche osservatore in Rete ha obiettato circa la legittimità di tali operazioni in assenza di un preventivo consenso da parte dell'interessato.
Personalmente mi sento di obiettare in quanto, a mio avviso, le attività di log svolte dal web server sono ampiamente giustificate da un interesse legittimo del titolare del sito web ad assicurare il corretto funzionamento del sistema e la sua sicurezza.
Il GDPR, infatti, riconosce che il trattamento dei dati anche senza il preventivo consenso dell'interessato è lecito, tra le altre cose, quando è necessario "ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da un terzo" (Articolo 6, paragrafo 1, punto F).
Tra le premesse del nuovo regolamento, inoltre, si legge che "costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione" (p. 49).
Alla luce di ciò, non vedo come possa essere messa in dubbio la legittimità della registrazione dei log da parte dei web-server. Ciò non toglie che, sempre in virtù delle statuizioni del GDPR, tali informazioni debbano essere conservate e custodite in modo adeguato e cancellate dopo un certo periodo di tempo (cioè dopo che hanno potuto assolvere la loro funzione).