I cookie ci aiutano a offrire servizi di qualità. Utilizzando i nostri servizi, l'utente accetta le nostre modalità d'uso dei cookie.

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
Simplified Arrangements to Provide Information and Obtain Consent Regarding Cookies - 8 may 2014 THE ITALIAN DATA PROTECTION AUTHORITY Having convened today, in the presence of Mr. Antonello Soro, President, Ms. Augusta Iannini, Vice-President, Ms. Giovanna Bianchi-Clerici and Prof. Licia Califano, Members, and Mr. Giuseppe Busia, Secretary General; Having regard to Directive 2002/58/EC of 12 July 2002, of the European Parliament and of the Council, concerning the processing of personal data and the protection of privacy in the electronic communications sector; Having regard to Directive 2009/136/EC of 25 November 2009, of the European Parliament and of the Council, amending Directive 2002/22/EC on universal service and users' rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws; Having regard to legislative decree No. 69 of 28 May 2012 concerning "Amendments to legislative decree No. 196 of 30 June 2003, containing the personal data protection Code, in pursuance of Directives 2009/136/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector, and 2009/140/EC concerning electronic communications networks and services and of Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws" as published in the Official Journal No. 126 of 31 May 2012; Having regard to the personal data protection Code (legislative decree No. 196 of 30 June 2003, hereinafter the "Code"), in particular to Sections 13(3) and 122(1) thereof; Having regard to the previous resolution by this DPA concerning "Start of a public consultation under Section 122 to devise simplified arrangements for providing the information mentioned in Section 13(3) of the personal data protection Code" (No. 359 of 22 November 2012, published in Italy's Official Journal No. 295 of 19 December 2012); Taking account of the guidance provided by the Article 29 Working Party, in particular via its Opinion 4/2012 on Cookie Consent Exemption as adopted on 7 June 2012 as well as via its Working Document 2/2013 providing guidance on obtaining consent for cookies as adopted on 2 October 2013; Taking account of the contributions submitted to the Garante by the main electronic communication service providers as well as by the consumer associations and the industry sectors involved that have participated in the aforementioned public consultation; Considering the additional inputs provided on the occasion of the meetings held in September 2013 and February 2014 at the Garante within the framework of the working group started by the Garante in order to foster further, more direct exchanges of views with the above stakeholders as well as with representatives from academia and research dealing with the topics at issue; Whereas it is necessary to adopt, under the terms of Section 13(3) as applied jointly with Sections 122(1) and 154(1)c) of the Code, a decision of a general nature to set out the simplified arrangements to inform users online regarding the storage of cookies on their terminal equipment by the websites they visit as well as to provide appropriate guidance on the mechanisms to obtain the users' consent where this is required under the law; Whereas the provisions on the use of cookies also apply to similar tools such as web beacons, web bugs, clear GIFs or others, which allow identifying users or terminals and fall accordingly under the scope of this decision; Having regard to the considerations by the Office as submitted by the Secretary General under Article 15 of the Garante's Rules of Procedure No. 1/2000; Acting on the report submitted by Mr. Antonello Soro; PREAMBLE 1. Preliminary Remarks Cookies are small text files that are sent to the user's terminal equipment (usually to the user's browser) by visited websites; they are stored in the user's terminal equipment to be then re-transmitted to the websites on the user's subsequent visits to those websites. When navigating a website, a user may happen to receive cookies from other websites or web servers, which are the so-called "third party" cookies. This happens because the visited website may contain items such as images, maps, sound files, links to individual web pages on different domains that are located on servers other than the one where the page being visited is stored. Cookies are present as a rule in substantial numbers in each user's browser and at times they remain stored for long. They are used for several purposes ranging from IT authentication to the monitoring of browsing sessions up to the storage of specific information on user configurations in accessing a given server, and so on. In order to appropriately regulate these devices, it is necessary to distinguish them by having regard to the purposes sought by the entities relying on them, as there are no technical features that allow differentiating them. This is actually the approach followed by Parliament, which provided for the obligation to obtain the users' prior informed consent to the installation of cookies for purposes other than those of a merely technical nature – pursuant to EC directive 2009/136 (see Section 1(5), letter a), of legislative decree No. 69 of 28 May 2012, which amended Section 122 of the Code). From this standpoint and for the purposes of this decision, cookies may be distinguished into two major group: "technical" cookies and "profiling" cookies. a. Technical Cookies Technical cookies are those used exclusively with a view to "carrying out the transmission of a communication on an electronic communications network, or insofar as this is strictly necessary to the provider of an information society service that has been explicitly requested by the contracting party or user to provide the said service." (see Section 122(1) of the Code). They are not used for further purposes and are usually installed directly by the data controller or the website manager. They can be grouped into browsing or session cookies, which allow users to navigate and use a website (e.g. to purchase items online or authenticate themselves to access certain sections); analytics cookies, which can be equated to technical cookies insofar as they are used directly by the website manager to collect aggregate information on the number of visitors and the pattern of visits to the website; functional cookies, which allow users to navigate as a function of certain pre-determined criteria such as language or products to be purchased so as to improve the quality of service Users' prior consent is not necessary to install these cookies, whilst information under Section 13 of the code has to be provided in the manner considered to be most appropriate by the website manager – if only such cookies are relied upon b.Profiling Cookies Profiling cookies are aimed at creating user profiles. They are used to send ads messages in line with the preferences shown by the user during navigation. In the light of the highly invasive nature of these cookies vis-à-vis users' private sphere, Italian and European legislation requires users to be informed appropriately on their use so as to give their valid consent. These cookies are referred to in Article 122(1) of the Code where it is provided that "Storing information, or accessing information that is already stored, in the terminal equipment of a contracting party or user shall only be permitted on condition that the contracting party or user has given his consent after being informed in accordance with the simplified arrangements mentioned in section 13(3)." 2. Entities involved: Publishers and "Third Parties" An additional element to be taken into account in order to put this issue against the appropriate backdrop has to do with the entities involved. That is to say, account should be taken of the entity installing cookies on the user's terminal, which may be the manager of the website visited by the user – which can be referred to as the "publisher" for the sake of convenience – or the manager of another website that installs the cookies by way of the former – which is a so-called "third party". Based on the contributions from the public consultation, it is considered necessary for the above distinction to be taken into due account also in order to appropriately outline the respective roles and responsibilities as for providing information to and obtaining consent from users online. There are several reasons why it would appear impossible to require a publisher to provide information on and obtain consent for the installation of cookies on his own website also with regard to those installed by "third parties". In the first place, a publisher would be required to always be equipped with the tools and the legal and business skills to take upon himself the obligations of third parties – thus, the publisher would be required to check, from time to time, that what is declared by the third parties corresponds to the purposes they are actually aiming at via their cookies. This is a daunting task because a publisher often has no direct contacts with all the third parties installing cookies via his website, nor does he know the logic underlying the respective processing. Furthermore, it is not seldom the case that licensees step in between a publisher and the said third parties, which makes it ultimately highly difficult for the publisher to keep track of the activities of all the stakeholders. Secondly, third parties' cookies might be modified by the third parties with time, and it would prove rather dysfunctional to require publishers to keep track also of these subsequent changes. Furthermore, one should also consider that publishers – a category including natural persons and SMEs – are often the "weaker" party in this context. Conversely, third parties are usually large companies of substantial economic import that work as a rule with several publishers, so that one publisher may often have to do with a considerable number of third parties. For all of the above reasons, this DPA is of the opinion that publishers may not be required to include, on the home page of their websites, also the notices relating to the cookies installed by third parties via the publishers' websites. In fact, this would make the information notice provided by a publisher highly ambiguous and would make it difficult for users to read and understand the information contained in such a notice – which would be ultimately prejudicial to the simplification objective set out in Section 122 of the Code. A similar reasoning applies to the consent required for profiling cookies. Being it necessary to keep separate – for the above reasons – the roles played by publishers and third parties, this DPA is of the opinion that publishers' role cannot but be two-fold as users are directly in contact with them when they visit the respective websites. Indeed, publishers are, on the one hand, data controllers in respect of the cookies installed directly by their websites; on the other hand, they may be regarded more appropriately as a sort of technical intermediaries between third parties and users since they may hardly be considered to act as joint controllers with the said third parties in respect of the cookies the latter install by way of the publishers. It is accordingly in this capacity that they are called upon to step in pursuant to this decision (see below) regarding information to and consent from online users as for third parties' cookies. 3. Impact of Cookie-Related Measures on the Net Cookies perform several important functions on the Internet. Any decisions on regulating information and consent online will concern practically every website and are bound to impact substantially on a huge number of entities, which are actually (as shown above) very much different from one another. Being aware of the import of this decision, the Garante considers it necessary for the measures set forth herein under Section 122(1) of the Code to be, on the one hand, such as to allow users to make fully informed choices on cookies installation by giving their explicit as well as specific consent (pursuant to Section 23 of the Code) and, on the other hand, as low-impact as possible in terms of interfering with users' seamless navigation experience and the provision of IT services. These two opposing requirements were highlighted quite clearly also by the public consultation and the meetings held by the DPA and will be taken into account first and foremost in determining the mechanisms for providing simplified information notices. In fact, the Garante is convinced that these two issues, i.e. information and consent, have to be tackled jointly to prevent the use of excessively complex online consent mechanisms from ultimately voiding the benefits of a simplified information notice. 4. Providing Information Via Simplified Mechanisms and Obtaining Consent Online With a view to simplifying information arrangements, the DPA considers that an effective solution – i.e. one that leaves unprejudiced the requirements of Section 13 of the Code including the description of the individual cookies – consists in envisaging a two-tiered approach. On accessing a website, users must be shown an initial "short" notice in an overlay banner on the home page (or on any other landing page). This short notice must be supplemented by an "extended" notice to be accessed via a clickable hyperlink. To achieve meaningful simplification, it is necessary that the consent request to the use of cookies is included in the banner displaying the short information notice. If a user wishes to get additional, more detailed information and make more granular choices with regard to the individual cookies stored by the website being visited, he or she can access other website pages providing tools to make more specific selections in addition to the extended information notice. 4.1. The banner containing the short information notice and the consent request More specifically, on accessing the home page (or any other landing page) of a website, the user must be shown immediately a suitably sized banner – that is to say, the size of the banner must be such as to cause a perceptible discontinuity in the user's experience of the visited webpage. The banner must include the following information: a) That the website uses profiling cookies to send advertising messages in line with the user's online navigation preferences; b) That the website allows sending third-party cookies as well (of course, if this is actually the case); c) A clickable link to the extended information notice, where information on technical and analytics cookies must be provided along with tools to select the cookies to be enabled; d) That on the extended information notice page the user may refuse to consent to the installation of whatever cookies; e) That if the user continues browsing by accessing any other section or selecting any item on the website (e.g. by clicking a picture or a link), he or she signifies his or her consent to the use of cookies. As well as being of a sufficient size to accommodate the information notice, short as it may be, the banner in question must be an integral part of the action through which the user signifies consent. In other words, the banner must give rise to a discontinuity, albeit a minimal one, in the browsing experience: the banner will only cease being displayed on screen if the user takes action – by selecting any item on the page underneath the banner. Publishers are obviously free to rely on other mechanisms in order to obtain users' consent to online cookies, providing such mechanisms can ensure compliance with the requirements of Section 23(5) of the Code. In line with the general principles of data protection, the publisher must in any case keep track of the user's consent. To that end, an ad-hoc technical cookie might be relied upon, which would not appear to be especially privacy-intrusive as a tool – in this connection, see also Recital 25 in Directive 2002/58/EC. The availability of this type of "documentation" of the user's preferences will enable the publisher not to display the information notice on subsequent visits made by that user to the website. This is without prejudice to the user's right to refuse consent and/or change the relevant cookie options at any time and in accordance with user-friendly mechanisms – for instance by accessing the extended information notice, which must be linkable from every website page. 4.2 Extended Information Notice The extended information notice must include all the items mentioned in Section 13 of the Code, describe the detailed features and purposes of the cookies installed by the website, and allow users to select/deselect the individual cookies. It must be linkable from the short version notice as well as from a hyperlink in the bottom section of each website page. The notice must also contain an updated link to the information notices and consent forms of the third parties the publisher has agreed to let install cookies via his own website. If the publisher is not directly in touch with third parties, he will have to include the links to the websites of the intermediaries or brokers between him and those third parties. It is conceivable that these links with third-party websites can be collected in a single website managed by an entity other than the publisher, for instance a licensee's website. In order to keep publishers' responsibilities separate from those vested in third parties as regards the information provided and the consent obtained via the publishers' websites for the said third parties' cookies, it is considered necessary for the publishers to acquire the aforementioned links from the third parties (including licensees, if any) at the time of entering into the respective agreements. The extended information notice must also refer to the possibility (which is mentioned in Section 122(2) of the Code) for users to signify their choices on the use of cookies by way of browser settings. To that end, at least the procedure to be followed to configure those settings will have to be described. If the technology underlying the website is compatible with the user's browser version, the publisher may make available a direct link with the settings configuration section in the browser. 5. Notification of Processing It should be recalled that the use of cookies falls under the scope of notification obligations pursuant to Section 37(1), letter d), of the Code if it is aimed at "profiling the data subject and/or his/her personality, analysing consumption patterns and/or choices, or monitoring use of electronic communications services except for such processing operations as are technically indispensable to deliver said services to users." On the other hand, the use of cookies was exempted from notification obligations by a decision of the DPA of 31 March 2004 whereby notification was ruled out with regard to processing "that is related to the use of electronic markers or similar devices whether installed or temporarily stored, in a non-persistent manner, on an user's terminal equipment, as consisting exclusively in the transmission of session IDs pursuant to the applicable regulations for the sole purpose of facilitating access to the contents of Internet sites" (decision No. 1 of 31 march 2004 as published in the Official Journal No. 81 of 6 April 2004). Based on the above premises, it can be concluded that profiling cookies, which are persistent in nature, have to be notified to the DPA; conversely, the cookies pursuing different purposes and falling within the scope of technical cookies, including analytics cookies (see paragraph 1, letter a), of this decision), do not have to be notified to the DPA. 6. Deadline for Compliance As already pointed out, the Garante is aware of the impact – not only in financial terms – that cookie-related measures are bound to produce on the whole IT services sector; this includes the need for substantial resources and time to implement the measures set out herein. This is why it is considered appropriate to lay down a one-year term as from publication of this decision in the Official Journal in order to enable the entities concerned to avail themselves of the simplified arrangements described herein. 7. Consequences in Case of Non-Compliance with Cookie-Related Measures It should be recalled that the failure to provide information or the provision of inadequate information, i.e. information that does not include the items specified in this decision as well as in Section 13 of the Code, carry administrative sanctions consisting in payment of a fine ranging from six thousand to thirty-six thousand Euro (Section 161 of the Code). Conversely, installing cookies on users' terminal equipment without the users' prior consent carries an administrative sanction consisting in payment of a fine ranging from ten thousand to one hundred and twenty thousand Euro (Section 162, paragraph 2 a of the Code). Finally, the failure to notify processing operations to the DPA or the provision of an incomplete notification to the DPA under the terms of Section 37(1), letter d) of the Code carry an administrative sanction consisting in payment of a fine ranging from twenty thousand to one hundred and twenty thousand Euro (Section 163 of the Code). BASED ON THE ABOVE PREMISES, THE ITALIAN DATA PROTECTION AUTHORITY 1. Under Section 122(1) and Section 154(1), letter h), of the Code and in order to determine the simplified arrangements for the information to be provided to users by website managers (as defined in the Preamble) regarding cookies and other devices installed by or through their websites, provides that a suitably sized banner is to be displayed on screen immediately a user accesses the home page or any other page of a website, and that such banner is to contain the information listed below: a. That the website uses profiling cookies to send advertising messages in line with the user's online navigation preferences; b. That the website allows sending third-party cookies as well (of course, if this is actually the case); c. A clickable link to the extended information notice, where additional information must be available on the following: i. Use of technical and analytics cookies; ii. Tools available to select the cookies to be enabled; iii. Possibility for the user to configure browser settings as a further mechanism to select the preferred use of cookies by the website, including at least a reference to the procedure to be followed to configure those settings; d. That on the extended information notice page the user may refuse to consent to the installation of whatever cookies; e. That if the user continues browsing by accessing any other section or selecting any item on the website (e.g. by clicking a picture or a link), he or she signifies his or her consent to the use of cookies; 2. Under Section 154(1), letter c), of the Code and in order to keep the responsibilities vested in website managers (as defined in the Preamble) separate from those vested in third parties, requires the said managers to acquire the links to the webpages containing the information and consent forms relating to third parties' cookies (including licensees, if any) at the time of entering into the respective agreements. A copy of this decision shall be transmitted to the Ministry of Justice in order for it to be published in the Official Journal of the Italian Republic under the responsibility of the Ufficio pubblicazione leggi e decreti. Done in Rome, this 8th day of the month of May 2014 THE PRESIDENT Soro THE RAPPORTEUR Soro THE SECRETARY GENERAL Busia

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014) Registro dei provvedimenti n. 229 dell'8 maggio 2014 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; VISTA la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori; VISTO il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012 n. 126); VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice") e, in particolare, gli artt. 13, comma 3 e 122, comma 1; VISTA la precedente deliberazione del Garante recante "Avvio di una consultazione pubblica ai sensi dell'art. 122 volta ad individuare modalità semplificate per l'informativa di cui all'art. 13, comma 3, del Codice in materia di protezione dei dati personali" (Del. n. 359 del 22 novembre 2012, in Gazzetta Ufficiale del 19 dicembre 2012 n. 295); TENUTO CONTO delle indicazioni fornite sul tema dal Gruppo di lavoro per la tutela dei dati personali ex art. 29, in particolare nella Opinion 04/2012 on Cookie Consent Exemption, adottata il 7 giugno 2012, e nel Working Document 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf); TENUTO CONTO delle risultanze dei contributi pervenuti al Garante dai principali fornitori di servizi di comunicazione elettronica, nonché dalle associazioni dei consumatori e delle categorie economiche coinvolte che hanno partecipato alla suindicata consultazione pubblica; CONSIDERATI gli ulteriori elementi emersi in occasione degli incontri tenutisi a settembre 2013 e febbraio 2014 presso l'Autorità, nell'ambito del tavolo di lavoro avviato dalla stessa al fine di sollecitare un nuovo e più diretto confronto con i suindicati soggetti, nonché con esponenti del mondo accademico e della ricerca che si occupano delle tematiche di interesse; RITENUTO necessario adottare, ai sensi del combinato disposto degli artt. 13, comma 3, 122, comma 1 e 154, comma 1, lett. c), del Codice, un provvedimento di carattere generale, con il quale oltre a individuare le modalità semplificate per rendere l'informativa online agli utenti sull'archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati si intende fornire idonee indicazioni sulle modalità con le quali procedere all'acquisizione del consenso degli stessi, laddove richiesto dalla legge; CONSIDERATO che la disciplina relativa all'uso dei c.d. cookie riguarda anche altri strumenti analoghi (come ad esempio web beacon/web bug, clear GIF o altri), che consentono l'identificazione dell'utente o del terminale e che quindi devono essere ricompresi nell'ambito del presente provvedimento; VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; RELATORE il dott. Antonello Soro; PREMESSA 1. Considerazioni preliminari. I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando. I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc. Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l'obbligo di acquisire il consenso preventivo e informato degli utenti all'installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l'art. 122 del Codice). Al riguardo, e ai fini del presente provvedimento, si individuano pertanto due macro-categorie: cookie "tecnici" e cookie "di profilazione". a. Cookie tecnici. I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso. Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee. b. Cookie di profilazione. I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso. Ad essi si riferisce l'art. 122 del Codice laddove prevede che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3" (art. 122, comma 1, del Codice). 2. Soggetti coinvolti: editori e "terze parti". Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti"). Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online. Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti". In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti. I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive. Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose. Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice. Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste. Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti. 3. Impatto della disciplina in materia di cookie sulla rete. I cookie svolgono diverse e importanti funzioni nell'ambito della rete. Qualunque decisione in merito alle modalità di informativa e consenso online, riguardando in pratica chiunque abbia un sito Internet, avrà quindi un fortissimo impatto su un numero enorme di soggetti, che presentano peraltro, come si è detto, natura e caratteristiche profondamente diverse tra loro. Il Garante, consapevole della portata della presente decisione, ritiene pertanto necessario che le misure prescritte nella stessa -ai sensi di quanto previsto dall'art. 122, comma 1, del Codice siano, da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (come previsto dall'art. 23 del Codice) e, dall'altro, presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici. Di tali opposte esigenze, emerse chiaramente anche in occasione della consultazione pubblica e degli incontri tenuti dall'Autorità, si tiene conto in primo luogo nella determinazione delle modalità con le quali rendere l'informativa in forma semplificata. È peraltro convinzione del Garante che i due temi, dell'informativa e del consenso, vadano necessariamente trattati in maniera congiunta, onde evitare che il ricorso a modalità di espressione del consenso online che richiedano operazioni eccessivamente complesse da parte degli utenti vanifichino la semplificazione realizzata nell'informativa. 4. L'informativa con modalità semplificate e l'acquisizione del consenso online. Ai fini della semplificazione dell'informativa, si ritiene che una soluzione efficace, che fa salvi i requisiti previsti dall'art. 13 del Codice (compresa la descrizione dei singoli cookie), sia quella di impostare la stessa su due livelli di approfondimento successivi. Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa "estesa", alla quale si accede attraverso un link cliccabile dall'utente. Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all'uso dei cookie sia inserita proprio nel banner contenente l'informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell'informativa estesa, la possibilità di esprimere scelte più specifiche. 4.1. Il banner contenente informativa breve e richiesta di consenso. Più precisamente, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando contenente le seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete; b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada); c) il link all'informativa estesa, ove vengono fornite indicazioni sull'uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare; d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie; e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie. Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l'informativa, seppur breve, deve essere parte integrante dell'azione positiva nella quale si sostanzia la manifestazione del consenso dell'utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso). Resta ferma naturalmente la possibilità per gli editori di ricorrere a modalità diverse da quella descritta per l'acquisizione del consenso online all'uso dei cookie degli utenti, sempreché tali modalità assicurino il rispetto di quanto disposto dall'art. 23, comma 3, del Codice. In conformità con i principi generali, è necessario in ogni caso che dell'avvenuta prestazione del consenso dell'utente sia tenuta traccia da parte dell'editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE). La presenza di tale "documentazione" delle scelte dell'utente consente poi all'editore di non riproporre l'informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l'utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all'uso dei cookie da parte del sito, ad esempio tramite accesso all'informativa estesa, che deve essere linkabile da ogni pagina del sito. 4.2. L'informativa estesa. L'informativa estesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima. All'interno di tale informativa, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti. Non si esclude l'eventualità che tali collegamenti con le terze parti siano raccolti all'interno di un unico sito web gestito da un soggetto diverso dall'editore, come nel caso dei concessionari. Al fine di mantenere distinta la responsabilità degli editori da quella delle terze parti in relazione all'informativa resa e al consenso acquisito per i cookie di queste ultime tramite il proprio sito, si ritiene necessario che gli editori stessi acquisiscano, già in fase contrattuale, i suindicati link dalle terze parti (con ciò intendendosi anche gli stessi concessionari). Nel medesimo spazio dell'informativa estesa deve essere richiamata la possibilità per l'utente (alla quale fa riferimento anche l'art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall'utente, l'editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse. 5. Notificazione del trattamento. Si ricorda che l'uso dei cookie rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti". L'uso dei cookie è, invece, sottratto all'obbligo di notificazione sulla base di quanto previsto dal provvedimento del Garante del 31 marzo 2004, che ha inserito espressamente, tra i trattamenti esonerati dal suindicato obbligo, quelli "relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet" (deliberazione n. 1 del 31 marzo 2004, pubblicato in Gazzetta Ufficiale del 6 aprile 2004 n. 81). Dal quadro sopra delineato, emerge pertanto che, mentre i cookie di profilazione, i quali hanno caratteristiche di permanenza nel tempo, sono soggetti all'obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics (v. punto 1, lett. a), del presente provvedimento), non debbono essere notificati al Garante. 6. Tempi di adeguamento. Come già evidenziato in precedenza, il Garante è consapevole dell'impatto, anche economico, che la disciplina sui cookie avrà sull'intero settore della società dei servizi dell'informazione e, quindi, del fatto che la realizzazione delle misure necessarie a dare attuazione al presente provvedimento richiederà un notevole impegno, anche in termini di tempo. In ragione di ciò, si ritiene pertanto congruo prevedere un periodo transitorio di un anno a decorrere dalla pubblicazione della presente decisione in Gazzetta Ufficiale per consentire ai soggetti interessati dal presente provvedimento di potersi avvalere delle modalità semplificate ivi individuate. 7. Conseguenze del mancato rispetto della disciplina in materia di cookie. Si ricorda che per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice). L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice). L'omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice). TUTTO CIO' PREMESSO IL GARANTE 1. ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice -ai fini dell'individuazione delle modalità semplificate per l'informativa che i gestori di siti web, come meglio specificati in premessa, sono tenuti a fornire agli utenti in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito stabilisce che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni: a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete; b) che il sito consente anche l'invio di cookie "terze parti" (laddove ciò ovviamente accada); c) il link all'informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a: • uso dei cookie tecnici e analytics; • possibilità di scegliere quali specifici cookie autorizzare; • possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni; d) l'indicazione che alla pagina dell'informativa estesa è possibile negare il consenso all'installazione di qualunque cookie; e) l'indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie; 2. ai sensi dell'art. 154, comma 1, lett. c), del Codice ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari). Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti. Roma, 8 maggio 2014 IL PRESIDENTE Soro IL RELATORE Soro IL SEGRETARIO GENERALE Busia

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva

 There are lots of places you can get help with Joomla!. In many places in your site administrator you will see the help icon. Click on this for more information about the options and functions of items on your screen. Other places to get help are:

Contattaci

CENTRO CLINICO ASTREA
Via Giovanni Gentile, 8, Roma, 00136 RM  
www.centroclinicoastrea.it
assastreasegreteria@gmail.com
Tel +39 06 37513160
Cell +39 3516160286
Il centro Centro Clinico Astrea si trova a Roma, esattamente nel quartiere Prati.

Orari di apertura

Il centro è aperto dal lunedì al venerdì dalle 21.00 alle 21.00 si riceve solo su appuntamento.
Chiamare in orari di segreteria dalle 15.30 19.30 Lunedi-Venerdi

Dove Siamo