GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 8 maggio 2014 

Individuazione delle modalita'  semplificative  per  l'informativa  e
l'acquisizione del consenso per l'uso dei cookie.  (Provvedimento  n.
229). (14A04066) 
(GU n.126 del 3-6-2014)
 
 
 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti e del dott. Giuseppe Busia, segretario generale; 
  Vista la direttiva 2002/58/CE del 12 luglio  2002,  del  Parlamento
europeo e del Consiglio, relativa al trattamento dei dati personali e
alla tutela  della  vita  privata  nel  settore  delle  comunicazioni
elettroniche; 
  Vista la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento
europeo e del Consiglio, recante modifica della direttiva  2002/22/CE
relativa al servizio universale e ai diritti degli utenti in  materia
di reti e di servizi di comunicazione  elettronica,  della  direttiva
2002/58/CE relativa al trattamento dei dati personali e  alla  tutela
della vita privata nel settore delle comunicazioni elettroniche e del
regolamento (CE) n. 2006/2004 sulla  cooperazione  tra  le  autorita'
nazionali responsabili dell'esecuzione della normativa a  tutela  dei
consumatori; 
  Visto il decreto legislativo 28 maggio 2012, n.  69  "Modifiche  al
decreto legislativo 30 giugno 2003, n. 196, recante codice in materia
di protezione  dei  dati  personali  in  attuazione  delle  direttive
2009/136/CE, in materia di trattamento dei dati  personali  e  tutela
della vita privata nel settore delle  comunicazioni  elettroniche,  e
2009/140/CE in materia di reti e servizi di comunicazione elettronica
e del  regolamento  (CE)  n.  2006/2004  sulla  cooperazione  tra  le
autorita' nazionali responsabili dell'esecuzione  della  normativa  a
tutela dei consumatori" (pubblicato nella Gazzetta Ufficiale  del  31
maggio 2012, n. 126); 
  Visto il Codice in materia di protezione dei dati personali (d.lgs.
30 giugno 2003, n. 196, di seguito "Codice") e, in  particolare,  gli
articoli 13, comma 3 e 122, comma 1; 
  Vista la precedente deliberazione del Garante recante "Avvio di una
consultazione pubblica ai sensi dell'art. 122  volta  ad  individuare
modalita' semplificate per l'informativa di cui all'art. 13, comma 3,
del Codice in materia di protezione dei dati personali" (Del. n.  359
del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre 2012,  n.
295); 
  Tenuto conto delle indicazioni  fornite  sul  tema  dal  Gruppo  di
lavoro per la tutela dei dati personali ex art.  29,  in  particolare
nella Opinion 04/2012 on Cookie  Consent  Exemption,  adottata  il  7
giugno 2012, e nel Working Document  02/2013  providing  guidance  on
obtaining  consent  for  cookies,  adottato   il   2   ottobre   2013
(disponibili            rispettivamente            ai            link
http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2012/wp194_en.pdf                      e
http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2013/wp208_en.pdf); 
  Tenuto conto delle risultanze dei contributi pervenuti  al  Garante
dai principali fornitori di  servizi  di  comunicazione  elettronica,
nonche'  dalle  associazioni  dei  consumatori  e   delle   categorie
economiche  coinvolte   che   hanno   partecipato   alla   suindicata
consultazione pubblica; 
  Considerati  gli  ulteriori  elementi  emersi  in  occasione  degli
incontri  tenutisi  a  settembre  2013   e   febbraio   2014   presso
l'Autorita', nell'ambito del tavolo di lavoro avviato dalla stessa al
fine  di  sollecitare  un  nuovo  e  piu'  diretto  confronto  con  i
suindicati soggetti, nonche' con esponenti  del  mondo  accademico  e
della ricerca che si occupano delle tematiche di interesse; 
  Ritenuto necessario adottare, ai sensi del combinato disposto degli
articoli 13, comma 3, 122, comma 1 e 154, comma 1,  lettera  c),  del
Codice, un provvedimento di carattere generale, con il quale -  oltre
a individuare le modalita'  semplificate  per  rendere  l'informativa
online agli  utenti  sull'archiviazione  dei  c.d.  cookie  sui  loro
terminali da parte dei siti Internet visitati -  si  intende  fornire
idonee  indicazioni  sulle   modalita'   con   le   quali   procedere
all'acquisizione del consenso degli stessi, laddove  richiesto  dalla
legge; 
  Considerato che la disciplina  relativa  all'uso  dei  c.d.  cookie
riguarda  anche  altri  strumenti  analoghi  (come  ad  esempio   web
beacon/web bug, clear GIF o altri), che consentono  l'identificazione
dell'utente o del terminale e che  quindi  devono  essere  ricompresi
nell'ambito del presente provvedimento; 
  Viste  le  osservazioni  dell'Ufficio,  formulate  dal   segretario
generale ai sensi dell'art. 15 del regolamento n. 1/2000; 
  Relatore il dott. Antonello Soro; 
Premessa. 
1. Considerazioni preliminari. 
  I cookie sono stringhe di testo di piccole dimensioni  che  i  siti
visitati  dall'utente  inviano  al  suo  terminale  (solitamente   al
browser), dove vengono memorizzati per essere  poi  ritrasmessi  agli
stessi siti alla successiva visita del  medesimo  utente.  Nel  corso
della  navigazione  su  un  sito,  l'utente  puo'  ricevere  sul  suo
terminale anche cookie che vengono inviati da siti o  da  web  server
diversi (c.d. "terze parti"),  sui  quali  possono  risiedere  alcuni
elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a
pagine  di  altri  domini)  presenti  sul  sito  che  lo  stesso  sta
visitando. 
  I cookie, solitamente presenti nei browser degli utenti  in  numero
molto  elevato  e  a  volte  anche  con  caratteristiche   di   ampia
persistenza  temporale,  sono   usati   per   differenti   finalita':
esecuzione di autenticazioni informatiche, monitoraggio di  sessioni,
memorizzazione   di   informazioni   su   specifiche   configurazioni
riguardanti gli utenti che accedono al server, ecc. 
  Al fine  di  giungere  a  una  corretta  regolamentazione  di  tali
dispositivi, e' necessario distinguerli ‑posto che non vi sono  delle
caratteristiche tecniche che li differenziano gli  uni  dagli  altri‑
proprio sulla base delle finalita' perseguite da chi li utilizza.  In
tale direzione si e' mosso, peraltro, lo stesso legislatore, che,  in
attuazione delle disposizioni contenute nella direttiva  2009/136/CE,
ha  ricondotto  l'obbligo  di  acquisire  il  consenso  preventivo  e
informato degli utenti all'installazione  di  cookie  utilizzati  per
finalita' diverse da quelle meramente tecniche (cfr. art. 1, comma 5,
lettera a), del d. lgs. 28 maggio 2012,  n.  69,  che  ha  modificato
l'art. 122 del Codice). 
  Al riguardo, e ai fini del presente provvedimento,  si  individuano
pertanto  due  macro-categorie:  cookie  "tecnici"   e   cookie   "di
profilazione". 
  a. Cookie tecnici. 
  I cookie tecnici sono quelli utilizzati al solo fine di "effettuare
la trasmissione di una comunicazione su  una  rete  di  comunicazione
elettronica, o nella misura strettamente necessaria al  fornitore  di
un servizio della societa' dell'informazione esplicitamente richiesto
dall'abbonato o dall'utente a erogare tale servizio" (cfr. art.  122,
comma 1, del Codice). 
  Essi non vengono utilizzati per scopi ulteriori e sono  normalmente
installati direttamente dal titolare o gestore del sito web.  Possono
essere  suddivisi  in  cookie  di  navigazione  o  di  sessione,  che
garantiscono  la  normale  navigazione  e  fruizione  del  sito   web
(permettendo, ad esempio, di realizzare un  acquisto  o  autenticarsi
per accedere ad aree  riservate);  cookie  analytics,  assimilati  ai
cookie tecnici laddove utilizzati direttamente dal gestore  del  sito
per raccogliere informazioni, in forma aggregata,  sul  numero  degli
utenti  e  su  come  questi  visitano  il  sito  stesso;  cookie   di
funzionalita', che permettono all'utente la navigazione  in  funzione
di una serie  di  criteri  selezionati  (ad  esempio,  la  lingua,  i
prodotti  selezionati  per  l'acquisto)  al  fine  di  migliorare  il
servizio reso allo stesso. 
  Per l'installazione di tali cookie non e' richiesto  il  preventivo
consenso  degli  utenti,  mentre  resta  fermo  l'obbligo   di   dare
l'informativa ai sensi dell'art. 13 del Codice, che  il  gestore  del
sito, qualora utilizzi soltanto tali dispositivi, potra' fornire  con
le modalita' che ritiene piu' idonee. 
  b. Cookie di profilazione. 
  I cookie di profilazione  sono  volti  a  creare  profili  relativi
all'utente  e  vengono  utilizzati  al  fine  di   inviare   messaggi
pubblicitari in linea con  le  preferenze  manifestate  dallo  stesso
nell'ambito della navigazione in rete. In ragione  della  particolare
invasivita' che tali  dispositivi  possono  avere  nell'ambito  della
sfera privata degli utenti, la normativa europea e  italiana  prevede
che l'utente debba  essere  adeguatamente  informato  sull'uso  degli
stessi ed esprimere cosi' il proprio valido consenso. 
  Ad essi si riferisce l'art. 122  del  Codice  laddove  prevede  che
"l'archiviazione delle informazioni nell'apparecchio terminale di  un
contraente o di un utente o l'accesso a informazioni gia'  archiviate
sono consentiti unicamente a condizione che il contraente o  l'utente
abbia espresso il proprio consenso dopo essere stato informato con le
modalita' semplificate di cui all'art. 13, comma 3" (art. 122,  comma
1, del Codice). 
2. Soggetti coinvolti: editori e "terze parti". 
  Un ulteriore  elemento  da  considerare,  ai  fini  della  corretta
definizione della materia in esame, e'  quello  soggettivo.  Occorre,
cioe', tenere conto del differente soggetto che installa i cookie sul
terminale dell'utente, a seconda che si tratti dello  stesso  gestore
del sito che l'utente sta visitando (che puo'  essere  sinteticamente
indicato come "editore") o di un sito diverso che installa cookie per
il tramite del primo (c.d. "terze parti"). 
  Sulla base  di  quanto  emerso  dalla  consultazione  pubblica,  si
ritiene necessario che tale distinzione  tra  i  due  soggetti  sopra
indicati venga tenuta in debito conto anche al  fine  di  individuare
correttamente i rispettivi ruoli e le rispettive responsabilita', con
riferimento  al  rilascio  dell'informativa  e  all'acquisizione  del
consenso degli utenti online. 
  Vi sono molteplici motivazioni per le quali non  risulta  possibile
porre in  capo  all'editore  l'obbligo  di  fornire  l'informativa  e
acquisire il consenso all'installazione dei  cookie  nell'ambito  del
proprio sito anche per quelli installati dalle "terze parti". 
  In primo luogo, l'editore dovrebbe avere sempre gli strumenti e  la
capacita' economico-giuridica di farsi carico degli adempimenti delle
terze parti e dovrebbe quindi anche  poter  verificare  di  volta  in
volta la corrispondenza tra quanto dichiarato dalle terze parti e  le
finalita' da esse realmente perseguite con l'uso dei cookie. Cio'  e'
reso  assai  arduo  dal  fatto  che  l'editore  spesso  non   conosce
direttamente tutte le terze parti che installano  cookie  tramite  il
proprio sito  e,  quindi,  neppure  la  logica  sottesa  ai  relativi
trattamenti. Inoltre, non di rado tra l'editore e le terze  parti  si
frappongono  soggetti  che  svolgono  il  ruolo   di   concessionari,
risultando di  fatto  molto  complesso  per  l'editore  il  controllo
sull'attivita' di tutti i soggetti coinvolti. 
  I cookie terze parti potrebbero, poi, essere nel  tempo  modificati
dai terzi fornitori e  risulterebbe  poco  funzionale  chiedere  agli
editori di tenere traccia anche di queste modifiche successive. 
  Occorre tenere conto inoltre del fatto che spesso gli editori,  che
comprendono anche persone fisiche e piccole imprese,  sono  la  parte
piu' "debole" del  rapporto.  Laddove  invece  le  terze  parti  sono
solitamente  grandi  societa'   caratterizzate   da   notevole   peso
economico, servono normalmente una pluralita' di  editori  e  possono
essere, rispetto al singolo editore, anche molto numerose. 
  Si ritiene pertanto che, anche in ragione delle  motivazioni  sopra
indicate, non si possa obbligare l'editore ad inserire sull'home page
del proprio sito anche il testo delle informative relative ai  cookie
installati per il suo tramite dalle terze parti. Cio'  determinerebbe
peraltro  una  generale  mancanza   di   chiarezza   dell'informativa
rilasciata dall'editore, rendendo nel contempo estremamente  faticosa
per l'utente la lettura del documento e quindi la comprensione  delle
informazioni in esso contenute, con cio' vanificando anche  l'intento
di semplificazione previsto dall'art. 122 del Codice. 
  Analogamente, per quanto concerne l'acquisizione del consenso per i
cookie di profilazione, dovendo  necessariamente  -  per  le  ragioni
suesposte - tenere distinte le  rispettive  posizioni  di  editori  e
terze parti, si ritiene che gli  editori,  con  i  quali  gli  utenti
instaurano un rapporto diretto tramite l'accesso  al  relativo  sito,
assumono necessariamente una duplice veste. 
  Tali soggetti, infatti, da un lato sono  titolari  del  trattamento
quanto  ai  cookie  installati   direttamente   dal   proprio   sito;
dall'altro, non potendo ravvisarsi una contitolarita'  con  le  terze
parti per i cookie che le stesse installano per il loro  tramite,  si
ritiene corretto considerarli come una sorta di intermediari  tecnici
tra le stesse e gli utenti. Ed e', quindi, in tale veste che, come si
vedra'  piu'  avanti,  sono  chiamati  ad  operare   nella   presente
deliberazione,  con  riferimento  al  rilascio   dell'informativa   e
all'acquisizione del consenso degli utenti  online  con  riguardo  ai
cookie delle terze parti. 
3. Impatto della disciplina in materia di cookie sulla rete. 
  I cookie svolgono diverse e importanti funzioni  nell'ambito  della
rete. Qualunque decisione in merito alle modalita' di  informativa  e
consenso online,  riguardando  in  pratica  chiunque  abbia  un  sito
Internet, avra' quindi un fortissimo impatto su un numero  enorme  di
soggetti, che  presentano  peraltro,  come  si  e'  detto,  natura  e
caratteristiche profondamente diverse tra loro. 
  Il Garante, consapevole della  portata  della  presente  decisione,
ritiene pertanto necessario che le misure prescritte nella  stessa  -
ai sensi di quanto previsto dall'art. 122,  comma  1,  del  Codice  -
siano, da un lato, tali da consentire agli utenti di esprimere scelte
realmente  consapevoli  sull'installazione  dei  cookie  mediante  la
manifestazione di un consenso espresso  e  specifico  (come  previsto
dall'art. 23 del Codice) e, dall'altro, presentino il minore  impatto
possibile in termini di soluzione di  continuita'  della  navigazione
dei medesimi utenti e della fruizione, da  parte  loro,  dei  servizi
telematici. 
  Di tali opposte esigenze, emerse  chiaramente  anche  in  occasione
della consultazione pubblica e degli incontri tenuti  dall'Autorita',
si tiene conto in primo luogo nella  determinazione  delle  modalita'
con le quali rendere l'informativa in forma semplificata. 
  E'   peraltro   convinzione   del   Garante   che   i   due   temi,
dell'informativa e del consenso, vadano necessariamente  trattati  in
maniera congiunta,  onde  evitare  che  il  ricorso  a  modalita'  di
espressione   del   consenso   online   che   richiedano   operazioni
eccessivamente  complesse  da  parte  degli  utenti  vanifichino   la
semplificazione realizzata nell'informativa. 
4. L'informativa con  modalita'  semplificate  e  l'acquisizione  del
consenso online. 
  Ai fini della semplificazione dell'informativa, si ritiene che  una
soluzione efficace, che fa salvi i requisiti  previsti  dall'art.  13
del Codice (compresa la descrizione dei singoli cookie),  sia  quella
di impostare la stessa su due livelli di approfondimento successivi. 
  Nel momento in cui l'utente accede a un  sito  web,  deve  essergli
presentata una prima informativa "breve", contenuta in  un  banner  a
comparsa immediata sulla home page (o altra pagina tramite  la  quale
l'utente  puo'  accedere  al  sito),  integrata   da   un'informativa
"estesa",  alla  quale  si  accede  attraverso  un  link   cliccabile
dall'utente. 
  Affinche' la semplificazione sia effettiva, si  ritiene  necessario
che la richiesta di consenso all'uso dei cookie sia inserita  proprio
nel banner contenente l'informativa breve. Gli utenti che  desiderano
avere maggiori e piu' dettagliate  informazioni  e  differenziare  le
proprie scelte in merito ai diversi cookie archiviati tramite il sito
visitato, possono accedere ad  altre  pagine  del  sito,  contenenti,
oltre al testo dell'informativa estesa, la possibilita' di  esprimere
scelte piu' specifiche. 
4.1. Il banner contenente informativa breve e richiesta di consenso. 
  Piu' precisamente, nel momento in cui si accede alla home  page  (o
ad altra pagina) di un sito web,  deve  immediatamente  comparire  in
primo piano un banner di idonee dimensioni - ossia di dimensioni tali
da costituire una percettibile  discontinuita'  nella  fruizione  dei
contenuti della pagina web che  si  sta  visitando  -  contenente  le
seguenti indicazioni: 
    a) che il sito utilizza cookie di profilazione al fine di inviare
messaggi  pubblicitari  in  linea  con  le   preferenze   manifestate
dall'utente nell'ambito della navigazione in rete; 
    b) che il sito consente anche l'invio  di  cookie  "terze  parti"
(laddove cio' ovviamente accada); 
    c)  il  link  all'informativa   estesa,   ove   vengono   fornite
indicazioni sull'uso dei cookie tecnici e analytics,  viene  data  la
possibilita' di scegliere quali specifici cookie autorizzare; 
    d) l'indicazione  che  alla  pagina  dell'informativa  estesa  e'
possibile negare il consenso all'installazione di qualunque cookie; 
    e) l'indicazione che la prosecuzione della  navigazione  mediante
accesso ad altra area del sito  o  selezione  di  un  elemento  dello
stesso (ad  esempio,  di  un'immagine  o  di  un  link)  comporta  la
prestazione del consenso all'uso dei cookie. 
  Il  suindicato  banner,  oltre  a   dover   presentare   dimensioni
sufficienti a ospitare l'informativa, seppur breve, deve essere parte
integrante  dell'azione  positiva  nella  quale   si   sostanzia   la
manifestazione del consenso dell'utente. In altre parole,  esso  deve
determinare una discontinuita',  seppur  minima,  dell'esperienza  di
navigazione: il superamento della presenza del banner al  video  deve
essere possibile  solo  mediante  un  intervento  attivo  dell'utente
(appunto attraverso la  selezione  di  un  elemento  contenuto  nella
pagina sottostante il banner stesso). 
  Resta  ferma  naturalmente  la  possibilita'  per  gli  editori  di
ricorrere a modalita' diverse da quella descritta per  l'acquisizione
del consenso online all'uso dei cookie degli utenti, sempreche'  tali
modalita' assicurino il rispetto di  quanto  disposto  dall'art.  23,
comma 3, del Codice. 
  In conformita' con i principi generali, e' necessario in ogni  caso
che dell'avvenuta prestazione del  consenso  dell'utente  sia  tenuta
traccia da parte dell'editore, il quale potrebbe a tal fine avvalersi
di un apposito cookie tecnico, sistema che non sembra particolarmente
invasivo (in tal senso,  si  veda  anche  il  considerando  25  della
direttiva 2002/58/CE). 
  La presenza  di  tale  "documentazione"  delle  scelte  dell'utente
consente poi all'editore di non riproporre l'informativa  breve  alla
seconda visita del medesimo utente sullo stesso sito, ferma  restando
naturalmente la possibilita' per l'utente di negare il  consenso  e/o
modificare, in ogni momento e in maniera agevole, le proprie  opzioni
relative all'uso dei cookie da parte del  sito,  ad  esempio  tramite
accesso all'informativa estesa, che deve  essere  linkabile  da  ogni
pagina del sito. 
4.2. L'informativa estesa. 
  L'informativa estesa deve contenere  tutti  gli  elementi  previsti
dall'art. 13 del Codice, descrivere in maniera specifica e  analitica
le caratteristiche e le finalita' dei cookie installati  dal  sito  e
consentire all'utente di selezionare/deselezionare i singoli  cookie.
Deve essere raggiungibile mediante un link inserito  nell'informativa
breve, come pure attraverso un riferimento su ogni pagina  del  sito,
collocato in calce alla medesima. 
  All'interno di tale informativa, deve essere inserito anche il link
aggiornato alle informative e ai moduli di consenso delle terze parti
con le quali l'editore ha stipulato accordi  per  l'installazione  di
cookie tramite il proprio  sito.  Qualora  l'editore  abbia  contatti
indiretti con le terze parti, dovra' linkare i siti dei soggetti  che
fanno da intermediari tra lui e le stesse terze parti. Non si esclude
l'eventualita'  che  tali  collegamenti  con  le  terze  parti  siano
raccolti all'interno di un unico sito  web  gestito  da  un  soggetto
diverso dall'editore, come nel caso dei concessionari. 
  Al fine di mantenere distinta la responsabilita' degli  editori  da
quella delle terze parti  in  relazione  all'informativa  resa  e  al
consenso acquisito per i cookie di queste ultime tramite  il  proprio
sito, si ritiene necessario che gli editori stessi acquisiscano, gia'
in fase contrattuale, i suindicati link dalle terze parti  (con  cio'
intendendosi anche gli stessi concessionari). 
  Nel medesimo spazio dell'informativa estesa deve essere  richiamata
la possibilita' per l'utente (alla quale fa riferimento anche  l'art.
122, comma 2, del Codice) di manifestare le proprie opzioni in merito
all'uso dei cookie da parte del sito anche attraverso le impostazioni
del  browser,  indicando  almeno  la  procedura   da   eseguire   per
configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate
dal sito siano compatibili con la  versione  del  browser  utilizzata
dall'utente, l'editore potra' predisporre un collegamento diretto con
la sezione del browser dedicata alle impostazioni stesse. 
5. Notificazione del trattamento. 
  Si ricorda che l'uso dei cookie rientra tra i trattamenti  soggetti
all'obbligo di notificazione al Garante ai sensi dell'art. 37,  comma
1, lettera d), del  Codice,  laddove  lo  stesso  sia  finalizzato  a
"definire  il  profilo  o  la  personalita'  dell'interessato,  o  ad
analizzare  abitudini  o  scelte  di  consumo,  ovvero  a  monitorare
l'utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti  tecnicamente  indispensabili  per  fornire   i   servizi
medesimi agli utenti". 
  L'uso dei cookie e', invece, sottratto all'obbligo di notificazione
sulla base di quanto previsto dal provvedimento del  Garante  del  31
marzo  2004,  che  ha  inserito  espressamente,  tra  i   trattamenti
esonerati dal suindicato obbligo, quelli  "relativi  all'utilizzo  di
marcatori elettronici o di dispositivi  analoghi  installati,  oppure
memorizzati    temporaneamente,    e    non    persistenti,    presso
l'apparecchiatura terminale di  un  utente,  consistenti  nella  sola
trasmissione  di  identificativi  di  sessione  in  conformita'  alla
disciplina applicabile, all'esclusivo fine di agevolare l'accesso  ai
contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004,
pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81). 
  Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di
profilazione, i quali hanno caratteristiche di permanenza nel  tempo,
sono soggetti all'obbligo di notificazione, i cookie che invece hanno
finalita' diverse e che rientrano nella categoria dei cookie tecnici,
ai quali sono assimilabili anche i  cookie  analytics  (v.  punto  1,
lettera  a),  del  presente  provvedimento),   non   debbono   essere
notificati al Garante. 
6. Tempi di adeguamento. 
  Come gia' evidenziato in  precedenza,  il  Garante  e'  consapevole
dell'impatto, anche economico, che la  disciplina  sui  cookie  avra'
sull'intero settore della societa' dei servizi  dell'informazione  e,
quindi, del fatto che la realizzazione delle misure necessarie a dare
attuazione al presente provvedimento richiedera' un notevole impegno,
anche in termini di tempo. 
  In ragione di  cio',  si  ritiene  pertanto  congruo  prevedere  un
periodo transitorio di un anno  -  a  decorrere  dalla  pubblicazione
della presente decisione in Gazzetta Ufficiale -  per  consentire  ai
soggetti interessati dal presente provvedimento di  potersi  avvalere
delle modalita' semplificate ivi individuate. 
7. Conseguenze del mancato rispetto della disciplina  in  materia  di
cookie. 
  Si ricorda che per il caso di omessa informativa o  di  informativa
inidonea, ossia che non presenti gli  elementi  indicati,  oltre  che
nelle  previsioni  di  cui  all'art.  13  del  Codice,  nel  presente
provvedimento, e' prevista la sanzione amministrativa  del  pagamento
di una somma da seimila a trentaseimila euro (art. 161 del Codice). 
  L'installazione di cookie sui terminali degli utenti in assenza del
preventivo consenso degli stessi comporta, invece,  la  sanzione  del
pagamento di una somma da diecimila a centoventimila euro (art.  162,
comma 2-bis, del Codice). 
  L'omessa o incompleta notificazione al Garante, infine, ai sensi di
quanto previsto dall'art. 37, comma 1, lettera  d),  del  Codice,  e'
sanzionata  con  il  pagamento  di   una   somma   da   ventimila   a
centoventimila euro (art. 163 del Codice). 
 
                         Tutto cio' premesso 
 
 
                             il Garante: 
 
  1. ai sensi degli articoli 122, comma 1 e 154, comma 1, lettera h),
del Codice - ai fini dell'individuazione delle modalita' semplificate
per l'informativa che i gestori di siti web, come meglio  specificati
in premessa, sono tenuti a fornire agli utenti in relazione ai cookie
e agli altri dispositivi installati da o per il tramite  del  proprio
sito - stabilisce che nel momento in cui si accede alla home page  (o
ad altra pagina) di un sito web,  deve  immediatamente  comparire  in
primo piano un banner di idonee  dimensioni  contenente  le  seguenti
indicazioni: 
    a) che il sito utilizza cookie di profilazione al fine di inviare
messaggi  pubblicitari  in  linea  con  le   preferenze   manifestate
dall'utente nell'ambito della navigazione in rete; 
    b) che il sito consente anche l'invio  di  cookie  "terze  parti"
(laddove cio' ovviamente accada); 
    c) il link all'informativa estesa, che deve contenere le seguenti
ulteriori indicazioni relative a: 
      uso dei cookie tecnici e analytics; 
      possibilita' di scegliere quali specifici cookie autorizzare; 
      possibilita' per l'utente di manifestare le proprie opzioni  in
merito all'uso dei cookie da  parte  del  sito  anche  attraverso  le
impostazioni del browser, indicando almeno la procedura  da  eseguire
per configurare tali impostazioni; 
    d) l'indicazione  che  alla  pagina  dell'informativa  estesa  e'
possibile negare il consenso all'installazione di qualunque cookie; 
    e) l'indicazione che la prosecuzione della  navigazione  mediante
accesso ad altra area del sito  o  selezione  di  un  elemento  dello
stesso (ad  esempio,  di  un'immagine  o  di  un  link)  comporta  la
prestazione del consenso all'uso dei cookie; 
  2. ai sensi dell'art. 154, comma 1, lettera c),  del  Codice  -  ai
fini di mantenere distinta la responsabilita'  dei  gestori  di  siti
web, come meglio specificati in motivazione, da  quella  delle  terze
parti - prescrive ai medesimi  gestori  di  acquisire  gia'  in  fase
contrattuale i collegamenti (link)  alle  pagine  web  contenenti  le
informative e i moduli per l'acquisizione del  consenso  relativo  ai
cookie  delle  terze   parti   (con   cio'   intendendosi   anche   i
concessionari). 
  Si dispone che copia del presente provvedimento  sia  trasmessa  al
Ministero della giustizia  ai  fini  della  sua  pubblicazione  sulla
Gazzetta Ufficiale della  Repubblica  italiana  a  cura  dell'Ufficio
pubblicazione leggi e decreti. 
    Roma, 8 maggio 2014 
 
                      Il presidente e relatore 
                                Soro 
 
 
                       Il segretario generale 
                                Busia