Le nuove “Linee Guida sui Cookie” del Garante. Cosa cambia?

di Alessandro Amoroso e Elena Paggi


Il 9 gennaio 2022[1] è terminato il periodo per adeguarsi alle nuove “Linee guida cookie e altri strumenti di tracciamento” (il “Provvedimento”) emanate dal Garante per la Protezione dei Dati Personali (il “Garante”) in data 10 giugno 2021. Il Provvedimento, da una parte, rappresenta una linea di continuità con la normativa passata, dall’altra, fornisce alcuni elementi interpretativi nuovi al fine di permettere, tra gli altri, la piena attuazione del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati personali o “GDPR”).

Come è noto a tutti, la prassi quotidiana dimostra che sono ad oggi presenti su internet molti siti che non hanno correttamente implementato la normativa applicabile[2]; resterà da scoprire cosa accadrà dopo l’entrata in vigore di questo Provvedimento.

Lo scopo di questo articolo è, nel cogliere l’occasione di tale importante momento e nel richiamare alcuni contenuti ivi previsti, sintetizzare, anche più in generale, il quadro normativo applicabile[3] agli strumenti di tracciamento online, attivi e passivi[4].

1.1 Classificazione dei cookie

 

(i) Per “cookie tecnici” si intendono quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione di erogare tale servizio al contraente o utente richiedente;

(ii) per “cookie di profilazione” si intendono quelli utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte, al fine del raggruppamento dei diversi profili all’interno di gruppi omogenei di diversa ampiezza, in modo che sia possibile, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

(iii) per cookie analitici, si intendono quelli che servono a monitorare l’uso del sito ed a misurare il numero dei relativi utenti per finalità di ottimizzazione del sito stesso.

1.2 Cookie analitici equiparabili a cookie tecnici

 

I cookie analitici di prima parte sono equiparabili ai cookie tecnici laddove siano realizzati e utilizzati al fine di consentire al gestore del sito di produrre, in proprio, statistiche in relazione alle modalità di utilizzo del sito web stesso. Per tali finalità, il gestore del sito può utilizzare anche dati in chiaro.

Al contrario, nel caso di cookie analitici di terza parte, questi sono equiparabili ai cookie tecnici quando, oltre che rispettare il suddetto vincolo di finalità, siano adottati strumenti idonei a ridurre il potere identificativo degli stessi. A tal fine il Garante ha chiarito che è necessario che:

(a) sia previsto il mascheramento almeno della quarta componente dell’indirizzo IP;

(b) le terze parti siano vincolate contrattualmente a non combinare i dati[5], anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, ma ad utilizzarli solo per la fornitura del servizio;

 

I cookie di terze parti devono essere utilizzati in relazione ad un singolo sito o una sola applicazione mobile, ma è consentita, tanto alla prima parte, quanto alla terza che agisca su mandato della prima, la produzione di statistiche che interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale, purché con finalità di mero conteggio statistico.

1.3 Consenso

 

Tutti i cookie non tecnici o equiparabili richiedono il previo consenso dell’utente. Al momento del primo accesso dell’utente non deve essere posizionato nessun cookie o strumento di tracciamento non tecnico, né può essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento. Inoltre:

  • non costituiscono validi meccanismi di ottenimento del consenso il silenzio l’inattività o la preselezione di caselle, tutte le scelte devono essere preimpostate sul diniego;
  • lo scroll down del cursore non costituisce di per sé un meccanismo adeguato ai fini della raccolta del consenso dell’interessato[6];
  • il consenso deve essere specifico e granulare;
  • è vietato l’utilizzo di cookie wall (“take it or leave it”) (salvo nel caso in cui sia offerto un contenuto o un servizio equivalenti senza l’utilizzo di tali strumenti);
  • per la dimostrazione e memorizzazione delle scelte il gestore può avvalersi di appositi cookie tecnici o di altre tecnologie disponibili.

1.4 Banner

 

Il banner è obbligatorio nel caso di cookie che richiedono il consenso. Nel caso di soli cookies tecnici o ad essi assimilabili, invece, di essi potrà essere data informazione nella homepage o nell’informativa generale.

Caratteristiche del banner:

  • le dimensioni del banner devono essere sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina, ma anche tali da evitare il rischio che l’utente possa compiere scelte indesiderate o inconsapevoli (anche tenendo conto dei diversi dispositivi utilizzabili dall’utente);
  • il banner deve presentare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare;
  • deve essere riproposto: (a) quando mutano uno o più condizioni del trattamento (ad esempio mutamento delle parti terze, mutamento degli strumenti di tracciamento utilizzati); (b) quando è impossibile avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo in occasione di una successiva visita del medesimo utente (ad esempio per cancellazione dei cookie tramite browser da parte dell’utente); (c) quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

Il Garante indica altresì di adottare elementi per la fruibilità da parte dei disabili, in linea con quanto previso dalla legge 9 gennaio 2004, n. 4.

Il banner deve contenere:

  • un comando per esprimere, mediante un’azione positiva di manifestazione di consenso (comportamento attivo, consapevole ed inequivocabile), l’accettazione al posizionamento di tutti i cookie di natura non tecnica o all’impiego di altri strumenti di tracciamento;
  • in alto a destra una X che consenta all’utente di ignorare il banner e non prestare il proprio consenso accedendo ad altre parti del sito web, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate, con l’avvertenza che la chiusura del banner mediante selezione della X comporta la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici (ed analitici assimilabili ai tecnici);
  • un’informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e/o che potrà, previo consenso, utilizzare anche cookie di profilazione (specificando che sono anche di terze parti – laddove ciò ovviamente accada) o altri strumenti di tracciamento con finalità che vanno al di là di quanto strettamente necessario all’erogazione del servizio;
  • il link alla cookie policy estesa, accessibile con un solo clic;
  • il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico e granulare, le funzionalità, i soggetti cd. terze parti, ed i cookie cui l’utente scelga di acconsentire (anche eventualmente raggruppati per categorie omogenee).

1.5 Gestione delle preferenze

 

Al fine di garantire la consapevolezza delle scelte effettuate dall’utente, nel Provvedimento il Garante richiede di adottare le seguenti misure:

  • gli utenti dovranno essere posti in condizione di modificare in ogni momento le scelte compiute (in relazione ai cookie sia di prima che di terza parte) – sia prestando un consenso negato o revocando un consenso prestato – e ciò in maniera semplice, immediata e intuitiva attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga;
  • costituisce buona prassi il posizionamento, in ciascuna pagina del dominio, eventualmente pure accanto al link all’area dedicata alle scelte, di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi (i.e., consenso prestato per tutti i cookie di profilazione/altri strumenti di tracciamento, consenso prestato solo per alcuni cookie di profilazione/altri strumenti di tracciamento, consenso prestato per nessun cookie di profilazione/strumento di tracciamento).

1.6 La cookie policy

 

L’informativa estesa sui cookie dovrà contenere naturalmente tutti gli elementi previsti dall’articolo 13 del GDPR e ulteriori aspetti volti a fornire specifiche informazioni su tali strumenti. Tra gli altri, deve:

  • includere l’identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante;
  • includere, ove applicabile, i dati di contatto del responsabile della protezione dei dati;
  • descrivere in maniera specifica e analitica le caratteristiche e le finalità del trattamento dei cookie installati dal sito e la base giuridica, specificando la possibilità di revoca del consenso ove previsto e/o le possibili conseguenze nel caso in cui siano disattivati (si pensi ai cookie tecnici);
  • contenere un collegamento (o un’interfaccia) all’area “rivedi le tue scelte sui cookie” o analoga (cfr. paragrafo 1.5), e un rinvio tramite link aggiornati alle informative delle terze parti nonché i moduli di consenso delle terze parti con le quali ha stipulato accordi;
  • essere accessibile dal banner (ove presente) ma in ogni caso anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del sito;
  • contenere l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali e informazioni dettagliate circa eventuali trasferimenti al di fuori dello Spazio Economico Europeo;
  • descrivere i tempi di conservazione delle informazioni;
  • indicare i diritti degli interessati e descrivere come si possono esercitare tali diritti;
  • indicare la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tale impostazione (e, se possibile, un collegamento diretto alle stesse);
  • rendere manifesti almeno i criteri di codifica degli identificatori o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analitici e da quelli di profilazione. (cioè fornire informazioni sui criteri seguiti dal gestore del sito ai fini della classificazione dei cookie installati);
  • in caso di utenti cd. autenticati, includere una funzionalità idonea a consentire all’utente cd. autenticato di accettare o meno l’incrocio delle informazioni raccolte tramite diversi device ed allo stesso riferibili.

1.7 Conclusione

 

L’entrata in vigore del GDPR impone un importante cambio di prospettiva. L’introduzione del principio di accountability, in base al quale è il titolare del trattamento a dover dimostrare l’adeguatezza delle misure adottate, si traduce in una maggiore libertà d’azione del gestore del sito nel definire come tutelare l’utente e rispettare la normativa applicabile.

Questa nuova prospettiva, insieme alla descrizione volutamente alta degli strumenti il cui utilizzo è disciplinato dal Provvedimento, hanno il chiaro scopo di definire un quadro normativo maggiormente capace di adattarsi alla costante evoluzione tecnologica e, in particolare, alla prossima sostituzione dei cookie con soluzioni di tracciamento potenzialmente più invasive per la sfera privata dell’utente o più sfuggenti rispetto agli attuali punti fermi normativi.

Considerando le ragioni che hanno portato all’adozione del Provvedimento e che l’esperienza di navigazione dimostra la presenza di molti siti web attualmente non pienamente conformi alla normativa applicabile, i cookie e gli altri strumenti di tracciamento potranno facilmente essere parte del prossimo piano ispettivo del Garante, e oggetto di futuri provvedimenti. Forse sarà proprio questa l’occasione per misurare le ricadute effettive del Provvedimento e per raccogliere nuovi elementi interpretativi verso le nuove frontiere.

Non resta che auspicarsi, in ultimo, che questo possa essere l’avvio per percorrere una nuova strada di effettiva e sostanziale tutela dei dati personali degli utenti che navigano online.


[1] Cioè decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 luglio 2021.

[2] Lo stesso Garante annovera tale circostanza tra i motivi che lo hanno condotto all’adozione del Provvedimento.

[3] In particolare, si richiamano i seguenti: considerando 25 Direttiva 2002/58; Articolo 122 D.lgs. 196/2003; Garante, Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014; Garante, Chiarimenti in merito all’attuazione della normativa in materia di cookie – 5 giugno 2015.

[4] Sono passivi gli strumenti che presuppongono la mera osservazione, tra cui il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

[5] Non “arricchirli” e non “incrociarli”.

[6] Il Garante specifica che tale meccanismo può intendersi idoneo alla raccolta del consenso dell’utente solo laddove sia parte di un processo complesso tramite cui l’utente possa generare un evento qualificabile come azione positiva e manifestazione inequivocabile della volontà di prestare il consenso stesso.


Autori:

it_IT