Seppur non individuati né dal Codice Privacy né dal Provvedimento sui Cookie del Garante della privacy come categoria ad hoc, per i cookie analitici vi sono stati specifici interventi e orientamenti delle Autorità di controllo europee in materia di protezione di dati personali che ne hanno differenziato le modalità di utilizzo rispetto alle categorie dei cookie tecnici e di profilazione.
In particolare, relativamente alla necessità o meno di acquisire il consenso degli interessati. Approfondiamo la situazione.
Indice degli argomenti
Le diverse categorie di cookie e necessità del consenso
Il sito internet di un’azienda rappresenta un potente strumento di analisi dei dati degli utenti, resa possibile dai cookie e può essere funzionale sia all’elaborazione di statistiche utili per migliorare la propria proposta agli utenti – in termini di fruibilità del sito e di offerta commerciale – sia per effettuare attività di marketing e di profilazione in modo molto efficace, considerato che i contenuti suggeriti agli utenti nell’ambito della loro navigazione su Internet possono anche essere “tagliati su misura”, nella misura in cui siano basati sui loro comportamenti e sulle loro preferenze.
I cookie, in generale, sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale, solitamente al browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server di terze parti, sui quali possono risiedere alcuni elementi (come immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando (c.d. cookie di terze parti).
Il Garante per la protezione dei dati personali, nel Provvedimento in materia di cookie dell’8 maggio 2014 (da ora “Provvedimento sui Cookie”), distingue due macro-categorie di cookie: i cookie tecnici e i cookie di profilazione.
I cookie tecnici sono quelli utilizzati “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”[1].
I cookie di profilazione invece sono quelli volti a creare profili relativi all’utente e utilizzati per inviare messaggi pubblicitari in linea con le preferenze manifestate durante la navigazione.
In relazione all’uso dei cookie tecnici, il preventivo consenso non è richiesto dalla vigente normativa europea e italiana[2]. Per i cookie di profilazione è invece necessario che l’utente esprima il proprio preventivo consenso, in ragione della particolare invasività di tali cookie nella sfera privata degli interessati.
Tuttavia, tale semplice assunto viene messo in discussione dai cookie analitici, che servono a monitorare l’uso del sito da parte degli utenti (ad esempio, quali pagine visitano o qual è la loro provenienza), consentendo perciò di migliorare l’esperienza di navigazione e i servizi offerti dal sito.
Vengono talvolta definiti anche “statistici”, vista la loro specifica funzione di analisi e monitoraggio.
L’approccio delle autorità ai cookie analitici
Il WP29 (i.e. il gruppo di lavoro che riuniva, pre-GDPR, le autorità di controllo in ambito privacy di tutti i paesi membri dell’UE) ha affermato[3] che i cookie analitici, benché siano spesso considerati come indispensabili dagli operatori, non sono strettamente necessari per fornire le funzionalità esplicitamente richieste dall’utente, il quale potrebbe accedere al sito anche quando tale categoria di cookie è disattivata. Da ciò deriva che questa categoria di cookie non può essere assimilata, tout court, ai cookie tecnici.
Alcune Autorità di controllo europee sono dell’avviso che i cookie analitici siano una categoria a sé, per la quale occorre fornire adeguate informazioni e ottenere il consenso (cfr. ad esempio la Guida sui cookies dell’ICO, l’Autorità di controllo inglese: “you need to tell people about analytics cookies and gain consent for their use”; “you should put measures in place to highlight the use of analytics cookies and to obtain agreement to set these cookies”). Anche l’Autorità spagnola e quella irlandese seguono un simile approccio.
Secondo la CNIL (l’Autorità di controllo francese), che ha rilasciato in data 17 settembre 2020 delle nuove linee guida in materia di cookie[4] (aggiornando le precedenti linee guida del 4 luglio 2019), i cookie la cui finalità sia limitata alla misurazione del numero di visitatori di un sito o di un’applicazione per rispondere a diverse esigenze (come la misurazione delle performance, la rilevazione di problemi nella navigazione, l’ottimizzazione delle performance tecniche, la stima della potenza dei server, l’analisi dei contenuti consultati ecc.) sono strettamente necessari al funzionamento e all’amministrazione ordinaria del sito o dell’applicazione e non richiedono quindi un preventivo consenso.
Per essere strettamente necessari alla fornitura del servizio, l’analisi effettuata tramite questi cookie deve essere effettuata solo nell’interesse del titolare del sito.
Questi cookie inoltre non devono consentire un monitoraggio generale della navigazione dell’utente che utilizzi diverse applicazioni o navighi su diversi siti.
Le statistiche prodotte devono essere anonime e i dati personali raccolti non possono essere incrociati con altri né trasmessi a terzi, poiché tali ulteriori operazioni non sono necessarie per il funzionamento del servizio.
Più in generale, la CNIL ha precisato che l’attività di misurazione delle visite degli utenti costituisce un trattamento di dati personali e, pertanto, è soggetta a tutte le disposizioni rilevanti del GDPR.
Cosa dice il Garante italiano
Il Garante italiano, nei “Chiarimenti in merito all’attuazione della normativa in materia di cookie” forniti nel 2015 a seguito del Provvedimento sui Cookie, ha precisato che:
- i cookie analitici possono essere assimilati ai cookie tecnici solo laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza l’intervento di soggetti terzi);
- i siti che utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti non sono soggetti agli obblighi e agli adempimenti previsti dalla normativa qualora:
- vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP);
- l’impiego di tali cookie sia subordinato a vincoli contrattuali tra siti e terze parti nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.
Alla luce quindi dell’orientamento del Garante, l’operatore italiano che intenda fare ricorso nel proprio sito a cookie analitici di terze parti senza raccogliere un preventivo consenso dell’interessato deve verificare che la terza parte (es. Google):
- adotti strumenti idonei a ridurre il potere identificativo dei cookie analitici (eventualmente mascherando parte degli indirizzi IP);
- assuma a livello contrattuale gli impegni suddetti richiesti dal Garante (es. a non incrociare le informazioni contenute nei cookies con altre di cui già dispone).
Pertanto l’operatore che installi, oltre ai cookie tecnici essenziali, anche cookie analitici propri e/o di terze parti – ma adottando le sopra richiamate misure richieste dal Garante – non avrebbe la necessità di raccogliere preventivamente il consenso dell’utente e i suddetti cookie analitici potrebbero essere attivi fin dall’atterraggio sul sito.
Diversamente, senza le succitate garanzie, l’uso degli “analitici” di terze parti è subordinato non solo ad idonea informativa da fornire agli interessati ma anche alla raccolta del relativo consenso che, come indicato anche dal Garante nel Provvedimento sui Cookie, l’utente deve avere la possibilità di negare e/o modificare in ogni momento e in maniera agevole. Alcuni fornitori, come Google, mettono a disposizione dei componenti aggiuntivi del browser per la disattivazione dei propri cookie analitici (Google Analytics). Gli interessati devono essere informati dell’esistenza di tali strumenti, ove disponibili, nell’informativa estesa.
I requisiti del consenso
Il Codice Privacy, con riferimento ai cookie, prevede che ai fini dell’espressione del consenso possano essere utilizzate “specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per l’utente”[5].
Più in generale, il consenso è definito dal GDPR come una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”[6].
Sulla base delle indicazioni fornite dallo European Data Protection Board (EDPB) nelle sue linee guida sul consenso del 4 maggio scorso (“Linee Guida”), il consenso, per essere validamente prestato, deve essere:
- libero: occorre, ad esempio, che la casella per la raccolta del consenso online non sia già spuntata. Non è libero il consenso se non è possibile esprimerne uno separato in relazione a distinti trattamenti (e. principio della “granularità del consenso”) o se l’interessato subirebbe conseguenze negative in caso di rifiuto di fornirlo o di revoca dello stesso;
- specifico: occorre acquisirne uno ad hoc per ciascuna distinta finalità perseguita;
- informato: occorre fornire un’informativa adeguata all’interessato affinché comprenda chiaramente a che trattamento sta acconsentendo;
- inequivocabile: occorre una manifestazione di volontà chiara dell’interessato, che non possa prestarsi a letture ambigue; ad esempio una raccolta del consenso basata sul silenzio o sull’inattività dell’interessato non sarebbe ritenuta valida.
Il titolare deve inoltre essere in grado di dimostrare che l’interessato ha fornito il proprio consenso, adottando quindi dei sistemi di raccolta e di memorizzazione che siano a tal fine idonei (es. un apposito cookie tecnico, un sistema non particolarmente invasivo).
Il consenso deve infine poter essere revocato dall’interessato con la stessa facilità con la quale è stato fornito, ad esempio, in un contesto digitale, tramite un semplice “clic”.
Laddove si renda necessario approntare un banner per la richiesta del consenso preventivo dell’utente all’uso di cookie analitici di terze parti – in relazione ai quali non siano stati adottati strumenti per limitarne il potere identificativo – e/o di cookie di profilazione, l’operatore deve tenere conto, oltre che dei suddetti requisiti, anche di quanto recentemente affermato:
- dalla Corte di Giustizia dell’Unione europea (CGUE) nella Sentenza del 1° ottobre 2019 nella causa C-673/17 (“Planet 49”);
- dall’EDPB nelle su richiamate Linee Guida.
Nella sentenza Planet 49, la CGUE ha dichiarato che il consenso che l’utente di un sito deve prestare per l’installazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.
Nelle Linee Guida, invece, l’EDPB ha precisato che affinché il consenso dell’interessato sia prestato liberamente, l’accesso ai servizi e alle funzionalità del sito non deve essere subordinato al rilascio del consenso dell’utente all’uso dei cookie sul proprio dispositivo e non è quindi consentito fare ricorso ai cosiddetti “cookie wall”, ossia i banner, solitamente di grandi dimensioni e posizionati al centro della schermata, che consentono di accedere al contenuto del sito solo cliccando sul tasto per l’accettazione dei cookie.
Inoltre, l’EDPB ha chiarito che le azioni come lo “scrolling” o lo “swiping” su un sito non possono essere considerate come atti positivi inequivocabili con i quali l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento.
Alla luce di tale recente orientamento (oltre che, più in generale, del concetto di consenso ai sensi del GDPR), risulta superata l’indicazione fornita a suo tempo dal Garante nel Provvedimento sui Cookie secondo cui il banner deve contenere, tra altre informazioni, anche l’indicazione “che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie”.
Conclusione
A livello operativo, ciò che interessa principalmente ogni titolare che intenda fare uso dei cookie analitici è sapere se occorra o meno richiedere il consenso preventivo dell’utente. Ciò, evidentemente, ha un impatto sia legale che sul design del sito, anche a livello di predisposizione del banner e di configurazioni adottate per la gestione delle preferenze sui cookie.
Una volta appurata l’eventuale necessità di raccogliere dagli utenti tale consenso preventivo per poter attivare i cookie analitici – in particolare, in un’ottica italiana, sulla base delle indicazioni fornite in proposito dal Garante – il titolare del sito dovrà predisporre un banner adeguato e le opportune configurazioni, strutturate anche su vari livelli, che consentano una corretta gestione del consenso stesso.
Le configurazioni, peraltro, dovranno riguardare non solo i cookie analitici ma anche le ulteriori categorie di cookie non strettamente necessari (come i cookie di profilazione) che vengano eventualmente utilizzati.
Nella creazione di tali strumenti per la gestione dei consensi occorrerà tenere conto, come si è qui cercato di evidenziare brevemente, non solo dei requisiti previsti dalla legge ma anche delle indicazioni che su questi temi – all’incrocio tra diritto e tecnologia – provengono dalle Corti e dalle Autorità di controllo.
NOTE
[1] Cfr. art. 122, comma 1, del D. Lgs 196/2003 (“Codice Privacy”).
[2] Cfr. art. 5 della Direttiva 2002/58/CE del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva E-Privacy”) e art. 122, comma 1, del Codice Privacy, adottato in attuazione della Direttiva E-Privacy. La Direttiva E-Privacy (e, di conseguenza, anche la normativa italiana di recepimento) è destinata ad essere sostituita in futuro da un regolamento europeo (il cd. Regolamento E-Privacy) che, allo stato, non è tuttavia ancora stato adottato. In proposito, lo European Data Protection Board (EDPB), nelle sue linee guida sul consenso del 4 maggio 2020, ha affermato che “la nozione di consenso nel progetto di Regolamento E-Privacy rimane legata a quella del GDPR” e che “è probabile che ai sensi del futuro regolamento le organizzazioni necessitino del consenso per la maggior parte dei messaggi di marketing online, per le chiamate di marketing e per i metodi di tracciamento online, compreso tramite l’uso di cookie, applicazioni o altri software”.
[3] Cfr. Opinion 04/2012 on Cookie Consent Exemption.
[4] Cfr. Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif).
[5] Cfr. art. 122, comma 2, Codice Privacy.
[6] Cfr. art. 4(11) GDPR.