In data 26 novembre 2020, il Garante Privacy aveva dato avvio alla pubblica consultazione sulle nuove “Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento”. La consultazione, conclusasi in data 10 gennaio 2021 è divenuta operativa in data 10 giugno 2021. L’esigenza nasce dall’esperienza che il Garante ha maturato circa gli effetti riscontrati sulle esperienze di navigazione, sui diritti e sulle tutele degli interessati e sulla ormai crescente diffusione di nuove tecnologie che spingono gli utenti a moltiplicare le proprie identità digitali con il rischio che le informazioni che rendiamo disponibili nel web vengano raccolte anche attraverso l’incrocio di dati che pian piano permettono di creare profili sempre più dettagliati. Come spiega lo stesso Garante, se da un lato è tramite i cookie che è possibile consentire alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.
Il quadro giuridico
Come indicato dal Garante il quadro giuridico di riferimento è disciplinato:
- dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva e-Privacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del D.lgs. 196/2003 il quale prevede che “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate”;
- dal Regolamento europeo per ciò che concerne la nozione di consenso (che deve essere libero, specifico, informato, inequivocabile) di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali il 25 maggio 2018 e sostituite, da ultimo, dalle “Guidelines 05/2020 on consent under Regulation 2016/679” adottate il 4 maggio 2020.
I cookie, cosa sono, varie tipologie
I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”). Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi” come il fingerprinting), consentono di effettuare trattamenti analoghi. La differenza sta nel fatto che mentre nel primo caso l’utente, che non intende essere profilato, oltre a poter rifiutare il proprio consenso ha la possibilità pratica di rimuovere direttamente i cookie, nel secondo caso si fa uso ad una tecnica di accesso che presuppone la mera lettura delle configurazioni del dispositivo, rendendolo identificabile, ma il cui esito si sostanzia in un profilo che resta nella sola disponibilità del Titolare, ed a cui l’interessato non ha accesso libero e diretto.
Vediamo di schematizzare le principali novità in questa tabella
Cookie tecnici | Non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa. Laddove sia prevista la sola presenza di questi, di essi potrà essere data informazione nella home page o nell’informativa generale senza l’esigenza di appore specifici banner da rimuovere a cura dell’utente del sito o dell’App. |
Cookie analytics prime e terze parti | Sono equiparabili ai cookie e agli altri identificatori tecnici e quindi non è richiesto il consenso, solo se (i) vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o App; (ii) viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP; (iii) Le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni o dal trasmetterli ad ulteriori terzi, pena l’inaccettabile incremento delle potenzialità e dunque dei rischi di identificazione dell’utente. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o App che siano riconducibili al medesimo publisher o gruppo imprenditoriale. |
Cookie di profilazione | Sono utilizzabili previa acquisizione del consenso, comunque informato. Il consenso informato costituisce l’unica base giuridica legittimante il loro utilizzo, con conseguente esclusione e inapplicabilità di ulteriori basi giuridiche. |
In tutti i casi devono essere rispettati i principi di accountability ed i principi di privacy by design e by default; in quest’ultimo caso per impostazione predefinita, devono infatti essere tracciati solo i dati personali necessari per ciascuna specifica finalità.
Cookie: le principali novità introdotte sull’informativa
Tali indicazioni possono essere utilizzate ai fini della progettazione quali elementi necessari in presenza di un sito o di un’App che prevede l’utilizzo di cookie. L’informativa deve avere un linguaggio semplice, accessibile e fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari. Devono essere specificati i tempi di conservazione dei dati e laddove serve il consenso questi deve essere “inequivocabile”.
Se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale mentre, se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:
a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c) l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
Necessaria sarà poi la data di aggiornamento dell’informativa.
Le principali novità introdotte sul consenso
Ai fini dell’acquisizione del consenso, il banner dovrà contenere:
- il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
- un comando per accettare tutti i cookie o altre tecniche di tracciamento;
- il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento sulla base del principio di granulosità del consenso;
- per installare tutte le altre tipologie di cookie è necessaria un’azione positiva e inequivocabile dell’utente quale manifestazione di consenso.
Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio e dovrà essere sempre oggetto di possibile modifica da parte dell’utente.
No alla reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne (i) se mutano significativamente le condizioni del trattamento, (ii) se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo e (iii) se sono trascorsi almeno sei mesi dalla precedente presentazione del banner.
Nel caso di utenti provvisti di account (cd. utenti autenticati), vige il divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso.
Il consenso deve essere sempre libero e quindi non “preflaggato”: solo l’utente potrà fare un’azione positiva per dare il proprio consenso.
Vengono infine vietate le procedure di scrolling (la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento) ed il c.d. cookie wall (meccanismi di take it or leave it con i quali l’utente è obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito, salvo che il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, a un contenuto o a un servizio equivalenti.
Conclusioni
Tali indicazioni riusciranno a mettere ordine impedendo che gli utenti meno esperti cadano nelle trappole della rete? Lo capiremo solo strada facendo. Oggi visitando diversi siti alcune indicazioni non sono ancora sempre rispettate ma per questo c’è ancora tempo fino all’8 gennaio 2022.