a b c d e f g h i j k l m n o p q r s t u v w x y z

Cookie di Terza Parte

Vuoi vendere online?
Crea il tuo e-commerce con i nostri esperti qualificati!

Scopri come

Sono di terza parte i Cookie installati da un dominio amministrato da un soggetto diverso da quello che gestisce il dominio che il navigatore sta visitando.

Contenuti nascondi

I Cookie di terza parte in breve

Il concetto di Cookie di Terza Parte è di natura giuridica ed è stato introdotto dalla Legge sui Cookie.

I cookie di terza parte sono quelli installati visitando il nostro sito ma usando dei sistemi informatici di cui non abbiamo il controllo diretto e per scopi e modalità di trattamento sulle quali, allo stesso modo, non abbiamo controllo diretto.

Quando usiamo Google Analytics, il Pixel di Facebook, un sistema di behavioral analytics in SaaS, installiamo dei Cookie sui computer dei nostri visitatori ma lo facciamo:

  • Usando dei domini diversi dal nostro (e di cui non siamo titolari);
  • Inviando i dati a server diversi dal nostro;
  • Permettendo l’accesso ai dati ad altri soggetti oltre a noi (senza poter sapere con esattezza in ogni momento come vengono concretamente usati questi dati).

Google Analytics, per esempio, usa il dominio “google-analytics.com” per installare i Cookie e processa i dati sui suoi server.

Facebook, invece, installa Cookie che usa anche per studiare il comportamento dei navigatori fuori da Facebook.com, ma nessuno sa esattamente con quali modalità e con quali conseguenze (e ciò nonostante la normativa sui Cookie e, in generale, la normativa a tutela della privacy).

Quindi, ogni volta che usiamo un servizio gestito da qualcuno diverso da noi, stiamo usando un servizio terzo e i Cookie che queso servizio installa e usa è automaticamente qualificato come “Cookie di terza parte”.

Le regole che dobbiamo seguire sono semplici:

  1. Dobbiamo impedire che i Cookie di terza parte siano installati prima che il navigatore abbia acconsentito;
  2. Dobbiamo fornire un’Informativa Breve (quindi dobbiamo mostrare il Cookie Banner);
  3. Dobbiamo fornire una Cookie Policy;
  4. Dobbiamo permettere al navigatore di abilitare o disabilitare i Cookie attraverso la Cookie Policy.

La definizione giuridica di Cookie di Terza Parte

La definizione giuridica di Cookie di Terza Parte è contenuta nel regolamento per l’”Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei Cookie”, comunemente indicato anche come “Legge sui Cookie” o “Cookie Law”, emanato dal Garante per la Protezione dei Dati Personali l’8 maggio 2014.

Nella Premessa, nella Parte 2, “Soggetti coinvolti: editori e terze parti”, il Garante scrive che:

Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore“) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti“).

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 2. Soggetti coinvolti: editori e “terze parti”.

Cos’è un Cookie di Terza Parte

Un Cookie non è di “prima parte” o di “terza parte” in senso assoluto: esso assume l’una o l’altra qualificazione a seconda del punto di vista dal quale lo si analizza.

In modo molto più semplice: i Cookie di Facebook sono di prima parte quando vengono installati dal dominio facebook.com mentre sono considerati di terza parte quando installati da un qualunque altro dominio di cui Facebook non abbia il controllo.

Quando navighiamo su un qualunque sito diverso da facebook.com e troviamo il classico pulsante per lasciare un Like su Facebook, questo è ciò che succede:

  1. Sul dominio che stiamo visitando (diverso da facebook.com), viene caricato direttamente da facebook.com il codice del pulsante per lasciare il Like;
  2. Questo codice controlla se esiste un Cookie per identificare il navigatore:
    1. Se non esiste, lo installa (e il Cookie risulta installato dal dominio facebook.com, non dal dominio del sito che stiamo visitando – e quindi, rispetto al dominio che stiamo visitando, è un Cookie di terza parte);
    2. Se esiste, manda a facebook.com i dati che contiene (quindi dal dominio che stiamo visitando, diverso da facebook.com, i dati vengono mandati al dominio facebook.com – terza parte rispetto al dominio che stiamo visitando);
  3. Facebook, dal dominio facebook.com, cerca di riconoscerci:
    1. Se ci riesce, ci mostra il pulsante e magari ci mostra altre informazioni (per esempio, altri nostri amici che hanno eventualmente già lasciato il proprio Like);
    2. Se non ci riesce, ci mostra semplicemente il pulsante.

Senza i Cookie questo tipo di personalizzazione sarebbe semplicemente impossibile.

Quando si possono installare i Cookie di terze parti

Il momento in cui si possono installare i Cookie di terze parti non va individuato sulla base del criterio soggettivo (che distingue tra Cookie di prima e terza parte), bensì sulla base del criterio teleologico (che distingue tra Cookie di profilazione e Cookie tecnici).

Quindi, per capire quando possono essere installati dobbiamo identificare lo scopo: servono per far funzionare il sito (e allora sono Cookie tecnici) o servono per studiare il comportamento del navigatore specifico e individualmente considerato (e allora sono Cookie di profilazione)?

A seconda della risposta, cambia il momento a partire dal quale possiamo installare i Cookie di terza parte:

  • Se sono Cookie tecnici, possiamo installarli subito, anche senza aver ottenuto preventivamente il consenso;
  • Se sono Cookie di profilazione, possiamo installarli solo dopo aver ottenuto il consenso.

Chi è l’intermediario tecnico

I Cookie di terza parte sono quelli installati da domini diversi dal tuo e sui quali non hai alcun controllo diretto circa le modalità di trattamento dei dati.

Il Garante per la Protezione dei Dati Personali è consapevole della difficoltà concrete che esistono nel tenere traccia di ogni cambiamento operato della parte terza.

Questo è quanto recita la normativa sui Cookie:

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie.
Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 2. Soggetti coinvolti: editori e “terze parti”.

Le difficoltà individuate dal Garante sono essenzialmente quattro:

  1. L’editore spesso non ha i mezzi tecnici e economici per controllare l’operato della terza parte;
  2. L’editore spesso non conosce direttamente la terza parte (pensa a Google);
  3. Spesso ci sono degli intermediari;
  4. Spessissimo l’editore è la parte debole.

Alla luce di queste difficoltà pratiche, quindi, la normativa sui Cookie considera come un semplice intermediario tecnico chi concretamente conduce il sito che installa il Cookie di terza parte:

Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente – per le ragioni suesposte – tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste.
Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 2. Soggetti coinvolti: editori e “terze parti”.

Per tutti questi motivi, quando si installano Cookie di terza parte, non è nostra responsabilità l’uso che di essi fa chi li gestisce.

Il nostro ruolo consiste solo ed esclusivamente nell’informare il navigatore che il nostro sito installa Cookie di terze parti e rispettare gli obblighi previsti per farlo legittimamente.

Normativa sui Cookie di Terza Parte

il Garante Privacy è perfettamente consapevole che, da un punto di vista tecnico-informatico, è difficile, se non impossibile, controllare come usano i Cookie i servizi terzi che usiamo tutti i giorni sui nostri siti web. E si rende conto anche che usare questi strumenti è imprescindibile per chi gestisce un e-commerce o un qualunque altro sito (e anche per chi questi siti semplicemente li naviga).

Tuttavia, il Garante è anche consapevole della necessità di regolare in qualche misura, per quanto possibile, l’uso di questi Cookie che, va ricordato, hanno un potenziale potere profilante estremamente ampio.

Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online.

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 2. Soggetti coinvolti: editori e “terze parti”.

È proprio per questo che ha previsto questo terzo tipo di Cookie: il “Cookie di terza parte”, appunto, e lo ha assoggettato alle stringenti regole previste per i Cookie di profilazione.

La normativa cui sottostanno i Cookie di terza parte, quindi, è la stessa prevista per i Cookie di profilazione e a quella si rimanda per ulteriori dettagli.

Qui un breve elenco degli obblighi specifici previsti per i Cookie di terza parte:

  • Obbligo di mostrare l’informativa breve;
  • Obbligo di rispetto del principio dell’opt-in (consenso preventivo);
  • Obbligo di rispetto del principio della Privacy by default (caselle deselezionate: deve essere il navigatore, esplicitamente, a selezionarle);
  • Obbligo di rendere disponibile l’Informativa Estesa;
  • Obbligo di gestione granulare dei singoli Cookie o gruppi omogenei di essi.

Le sanzioni previste

Le sanzioni in caso di inottemperanza agli obblighi sono abbastanza salate:

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884], 7. Conseguenze del mancato rispetto della disciplina in materia di cookie.

Ovviamente, nel caso in cui i Cookie di terza parte fossero tecnici, non si incorrerebbe in alcuna sanzione, essendone ammessa l’installazione anche senza previo consenso (ma rimane comunque l’obbligo di mostrare l’Informativa Breve).

Vuoi vendere online?
Crea il tuo e-commerce con i nostri esperti qualificati!

Scopri come

Ti è piaciuto questo post?
Puoi ringraziarci con un semplicissimo Mi Piace 🙂

Commercianti.Online
Massimo un’email a settimana. NO SPAM. (Privacy policy)