Con la pubblicazione in Gazzetta Ufficiale del 9 luglio 2021, sono entrate in vigore le nuove linee guida sull’uso dei cookie e degli altri strumenti di tracciamento che vanno a sostituire in via definitiva la versione “per la consultazione” pubblicata sette mesi fa dal Garante Privacy.
Da un confronto con le due versioni emergono molte novità e ora i siti hanno sei mesi di tempo per adottare le nuove regole di gestione dei cookie e degli altri strumenti di tracciamento.
Indice degli argomenti
Cookie: il quadro normativo di riferimento, oggi
L’emanazione di nuove linee guida si era resa necessaria dato il mutato quadro normativo di riferimento; quelle del 2014, infatti, erano state emanate prima dell’entrata in vigore del regolamento europeo sulla protezione dei dati (GDPR).
A livello nazionale, l’articolo 122 del D.lgs. n. 196/03 che trae origine dalla direttiva ePrivacy stabilisce che:
“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.
Regolamento ePrivacy secondo l’EDPB: dalla riservatezza ai cookie, ecco i problemi
A livello europeo, resta in vigore la direttiva ePrivacy a cui si aggiunge il GDPR.
Le nuove linee guida sui cookie, il GDPR e la direttiva ePrivacy
In relazione al coordinamento tra queste due normative, le linee guida chiariscono che, ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento e quindi ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento.
A esempio, continuano le linee guida, è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso ma è nel regolamento che dovranno essere ricercate le caratteristiche che il consenso deve avere.
Le basi giuridiche del trattamento dei cookie
Vediamo, quindi, quali sono e basi giuridiche (condizioni di liceità) del trattamento dei cookie e degli altri sistemi di tracciamento.
Il Garante interviene in modo diretto ed estremamente chiaro e stabilisce l’inidoneità del legittimo interesse a fungere da condizione di liceità del trattamento. La direttiva ePrivacy, infatti, non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale.
Linee guida sui cookie: le novità introdotte
Ecco, nel dettaglio, cosa stabiliscono le linee guida.
Intanto, è necessario comprendere quale sia l’oggetto e quindi cosa sia un cookie e cosa siano i sistemi di tracciamento.
I cookie sono informazioni immesse sul browser dell’utente quando questi visita un sito web o utilizza un social network e possono essere classificati e definiti in base alla loro durata (di sessione o permanenti) o da un punto divista soggettivo (di prima o di terza parte a seconda che siano installati dai siti web visitati dall’utente ovvero da web server diversi) o ancora, in base alla “finalità” che hanno.
La classificazione più importante è proprio quest’ultima che contempla, principalmente, due macrocategorie: cookie tecnici e cookie di profilazione.
I cookie tecnici
I cookie tecnici sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice) e per la loro installazione non vi è necessità di acquisizione del consenso.
I cookie di profilazione
I cookie di profilazione, invece, sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
Per l’installazione di questa tipologia di cookie, diversamente dai precedenti, occorrerà chiedere il consenso dell’utente.
I cookie analitici
Accanto a queste due tipologie di cookie troviamo i cookie analitici che possono essere utilizzati, ad esempio, per valutare l’efficacia di un servizio o per contribuire a misurare il “traffico” di un sito internet, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
I cookie analitici possono essere di prima o di terza parte e, in generale, necessitano del consenso.
Il provvedimento del Garante, però, prescrive che l’istallazione di questi cookie possa prescindere dal consenso (e quindi possano essere equiparati a quelli tecnici) a condizione che:
- vengano utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
- venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
- le terze parti si astengano dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi per evitare l’incremento del rischio di identificazione degli utenti; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.
Cookie e strumenti di tracciamento: la minimizzazione dei dati
Ed ora, l’unica eccezione a questa regola della “minimizzazione” dei dati.
È possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale.
Accanto ai cookie, vengono poi indicati gli altri sistemi di tracciamento (definiti passivi) che basandosi sulla mera osservazione, consentono di effettuare trattamenti analoghi a quelli effettuati dai cookie (che invece sono identificatori attivi).
Gli strumenti passivi (tra i quali è ricompreso il fingerprinting) sono utili ad ottenere gli stessi risultati di quelli attivi ma la differenza principale sta nel fatto che queste tecniche di lettura non presuppongono l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza.
Anche questi identificatori, al pari dei cookie possono essere suddivisi secondo diversi criteri ma il principale resta quello delle “finalità” e dunque possono essere di natura tecnica o di natura non tecnica e in base a ciò dovranno essere trattati al pari dei cookie.
Il dettaglio delle linee guida sui cookie
Fatta questa piccola premessa, vediamo nel dettaglio cosa dicono le linee guida.
Il banner
Perché l’utente sia messo in condizione di decidere se accettare o meno l’installazione dei cookie, è necessario che sia adeguatamente informato e possa prestare liberamente e in modo consapevole il proprio consenso.
Solo nel caso in cui il sito utilizzi esclusivamente dei cookie tecnici, non sarà necessaria la predisposizione del banner poiché, come detto sopra, l’installazione di questi cookie non necessita di consenso.
In questa ipotesi, quindi, sarà obbligatorio ma sufficiente indicare nell’home page del sito oppure all’interno dell’informativa privacy che il sito utilizza esclusivamente cookie tecnici.
Invece, il sito che intenda utilizzare dei cookie diversi da quelli tecnici dovrà presentare, alla prima visita da parte dell’utente, un banner di congrue e adeguate dimensioni che non impedisca la consultazione dello stesso e che, per impostazione predefinita, non installi nessun cookie diverso da quelli necessari, né utilizzi alcuna altra tecnica di tracciamento.
Quali caratteristiche deve avere il banner
- Innanzitutto è previsto che sia presente un pulsante (solitamente una x in alto a destra) che consenta di chiudere banner mantenendo le impostazioni di default e quindi il diniego all’installazione dei cookie diversi da quelli tecnici. Per questioni legate alla piena determinazione dell’utente, si stabilisce che tale comando abbia un’evidenza grafica pari a quella degli ulteriori comandi (consenso all’installazione di tutti i cookie e link ad un’area dove selezionare le diverse tipologie di cookie) e quindi che sia immediatamente percettibile la sua funzione. Inoltre, per evitare che gli utenti possano essere influenzati da scelte di design che inducano a preferire una scelta piuttosto che un’altra, i comandi e i caratteri dovrebbero avere tutti uguali dimensioni, enfasi e colori e dovrebbero essere ugualmente facili da visionare ed utilizzare.
- All’interno del banner deve essere presente una informativa minima che informi l’utente che il sito potrebbe installare cookie di profilazione o altri strumenti di tracciamento previa acquisizione del consenso.
- Il link all’informativa privacy estesa che sia sempre e comunque accessibile anche dal footer di qualsiasi pagina del sito che fornisca tutte le indicazioni di cui agli artt. 12 e 13 del GDPR.
- Un comando che consenta di accettare l’installazione di tutti i cookie (o degli altri strumenti di tracciamento).
- Un link ad un’area dedicata dove è possibile selezionare analiticamente solo le funzionalità, le terze parti e i cookie al cui utilizzo l’utente sceglie di acconsentire.
In relazione a quest’ultimo punto si prevede che i cookie possano essere raggruppati per categorie omogenee mentre le terze parti devono essere elencate e devono essere raggiungibili attraverso specifici link che possono indirizzare anche al sito web di un soggetto che le rappresenti.
Inoltre, spetta sempre al gestore del sito vigilare sulla loro correttezza, soprattutto nel caso in cui si verificassero delle successive modifiche.
Non è possibile, poi, che queste scelte, una volta effettuate tramite il banner, siano immodificabili o difficilmente modificabili ma occorre invece che gli utenti abbiano sempre la percezione dello stato dei consensi e la possibilità di modificare le scelte fatte in precedenza attraverso due strumenti da inserire nel footer del sito.
Il primo strumento corrisponde semplicemente ad una buona prassi e può essere attuato mediante l’impego di un segno grafico o un’icona mentre il secondo – previsto come obbligo – si attua attraverso l’inserimento di link dal seguente tenore: “rivedi le tue scelte sui cookie” e che consenta la modifica dei cookie installati.
Come si ottiene il consenso all’uso dei cookie
Le linee guida prendono spunto, anche, dal provvedimento dell’EDPB in tema di consenso che hanno stabilito ormai da un po’ di tempo due principi fondamentali:
- il semplice scrolling non è di per sé idoneo ad esprimere compiutamente una manifestazione di volontà dell’interessato;
- il cookie wall è tendenzialmente illecito tranne in ipotesi (da valutare caso per caso) nella quale il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti senza prestare il consenso all’installazione dei cookie.
Inoltre, ai sensi del considerando 32, il consenso si esprime mediante un atto positivo ed inequivocabile come, ad esempio, la selezione di un’apposita casella.
Partendo da questo principio, si stabilisce quindi che l’azione debba essere di opt-in e mai di opt-out e che il silenzio, l’inattività dell’utente o la preselezione delle caselle non siano idonee a configurare una valida prestazione di consenso. Si ribadisce poi che la richiesta di consenso non deve interferire immotivatamente con il servizio che si offre e deve essere chiara e concisa.
Il consenso, quindi, potrà dirsi validamente prestato solo se è conseguenza di un’azione positiva e consapevole che sia riscontrabile e dimostrabile. Inoltre, deve essere specifico e cioè espresso in relazione a ciascuna diversa finalità del trattamento.
Il Garante, comunque, non rifiuta completamente l’utilizzo dello scrolling ma ritiene che questo possa intervenire nella procedura di acquisizione del consenso solo quale componente di un più articolato processo che consenta all’utente di segnalare al titolare del sito una scelta che mantenga le caratteristiche di inequivocabilità e consapevolezza.
Cosa succede se l’utente cambia idea sul consenso all’uso dei cookie
E nel caso in cui l’utente successivamente cambi idea e modifichi le scelte precedentemente fatte?
Il sistema deve essere in grado di memorizzare e sovrascrivere e le decisioni prese dall’utente così che il titolare del trattamento sia sempre in grado di dimostrare di aver ottenuto il consenso.
Cosa succede nel caso di utenti “autenticati”
In relazione a questa categoria particolare è fatto obbligo al titolare di mettere gli utenti in condizione di scegliere consapevolmente – menzionando dunque tale possibilità pure nell’informativa resa – se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device o di rifiutarla.
E i consensi già ottenuti prima del 10 luglio?
Le linee guida stabiliscono che mantengano la loro validità a patto che siano conformi alle caratteristiche richieste dal Regolamento e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.
L’accountability nell’acquisizione del consenso
Abbiamo detto che il principio di responsabilizzazione permea tutto l’impianto normativo e ne troviamo applicazione anche in tema di acquisizione del consenso.
Il Garante, infatti, ammette che i titolari del trattamento possano valutare ogni possibile soluzione, anche da un punto di vista tecnico, che sia idonea ad essere interpretata e registrata come consenso espresso dall’utente all’impiego dei cookie o degli altri strumenti di tracciamento.
Si afferma infatti, che per realizzare la memorizzazione delle azioni e delle scelte, anche di dettaglio, rimesse all’interessato, il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici o anche di ulteriori modalità che la tecnologia dovesse rendere disponibili, la cui individuazione rientra nell’autonomia imprenditoriale e nell’accountability del titolare, adattando opportunamente la propria condotta in modo da tenere comunque costantemente aggiornata la documentazione delle scelte compiute dall’interessato.
Ciò che in definitiva interessa al Garante, al di là della modalità concretamente scelta, è che si rispettino tutti i requisiti previsti e che il titolare sia sempre in grado di motivare le proprie scelte e dimostrare di aver agito in modo compliant nell’ottenimento del consenso.
E poi? Una volta fatta la propria scelta il banner non dovrebbe essere riproposto.
La riproposizione del banner ad ogni accesso dell’utente finalizzata all’acquisizione di un consenso in precedenza negato o conferito solo parzialmente in relazione ad alcune tipologie di cookie è oggi pratica non conforme al GDPR poiché suscettibile di ledere la libera scelta dell’utente.
Si ritiene, in altre parole, che l’utente pur di evitare la riproposizione del banner ad ogni accesso sia indotto ad accettare l’installazione di tutti i cookie e questo compromette il processo decisionale che deve mantenersi libero.
Proprio per questa ragione il banner non può essere riproposto prima di 6 mesi a meno che:
- mutano significativamente una o più condizioni del trattamento e dunque il banner assolve anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati).
L’informativa privacy sull’uso dei cookie
Da ultimo, il Garante ha tenuto a chiarire che l’informativa deve essere resa, come sempre, con un linguaggio semplice e chiaro e in modo da rendere fruibili le informazioni contenute nel banner anche a coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.
Può essere dislocata su più livelli (essere multilayer) o anche attraverso più canali e modalità (multichannel).
Dovrà contenere tutte le indicazioni di cui agli articoli 13 e 13 (come detto in precedenza) facendo particolare attenzione all’indicazione dei soggetti destinatari dei dati ed ai tempi di conservazione.
Inoltre sarà necessario (ai sensi dell’articolo 13) fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.
Per quanto riguarda nello specifico i cookie, si stabilisce che all’interno dell’informativa debbano essere indicati i criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione.
Sei mesi di tempo per adeguarsi
Le nuove linee guida sull’uso dei cookie e degli altri sistemi traccianti stabiliscono, inoltre, che i siti Web avranno sei mesi di tempo per adeguarsi, a partire dalla data di pubblicazione nella Gazzetta Ufficiale.