News

Cookie: Le nuove Linee Guida

FOCUS DIGITAL-LAW

Premessa

Il Garante per la protezione dei Dati Personali ha presentato in data 10 dicembre 2020 la bozza delle nuove “Linee Guida sull’utilizzo di cookie e di altri strumenti di tracciamento[1], avviando la consultazione pubblica – diretta a imprenditori, consumatori e operatori – avente come obiettivo quello di acquisire osservazioni e proposte sulle indicazioni contenute nelle Linee guida.

Il Garante ha deciso di affrontare nuovamente il tema dell’utilizzo dei cookie e degli altri strumenti di tracciamento allo scopo di integrare i propri precedenti interventi del 2014 e 2015, alla luce delle indicazioni fornite dal Comitato che riunisce i Garanti europei (EDPB) nelle Linee Guida del 4 maggio 2020. E questo anche in ragione del lungo intervallo di tempo trascorso, del monitoraggio effettuato sulla concreta implementazione delle regole a suo tempo prescritte e della sempre crescente diffusione di nuove tecnologie che presentano potenziali pervasività ancora non codificate.

Il presente articolo ha l’obiettivo di individuare le principali novità che caratterizzano la nuova disciplina, così da fornire un supporto ai Titolari del Trattamento[2] per l’aggiornamento delle procedure interne.

Cookie ed altri strumenti di tracciamento

Prima di procedere con l’analisi dettagliata della disciplina, è opportuno ricordare cosa sono i cookie e qual è la loro funzione.

I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale (PC, smartphone o altro) nella disponibilità dell’utente.

Le informazioni codificate nei cookie possono includere dati personali, come un nome utente, un indirizzo IP, un indirizzo e-mail o un identificativo univoco, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie, dunque, possono svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online, etc

A seconda della funzione svolta i cookie possono essere distinti in:

  • Cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice). Essi non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa.
  • Cookie analytics prime e terze parti che sono equiparabili ai cookie tecnici solo se:
    • vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
    • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
    • le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.
  • Cookie di profilazione vengono, invece, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (c.d. “identificativi attivi” e “passivi”), che consentono di effettuare trattamenti analoghi a quelli sopra indicati. Tra gli strumenti “passivi”, risulta sempre più utilizzato il fingerprinting, ossia quella tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

Il quadro normativo delle nuove Linee Guida

Il quadro giuridico di riferimento è ad oggi, costituito tanto dalle disposizioni della Direttiva 2002/58/Ce (cd. Direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del Codice della Privacy (d.lgs. 30 giugno 2003, n. 196) quanto dal Regolamento generale sulla protezione dei dati  (UE/2016/679), noto come GDPR, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

In proposito il Garante ha già adottato un provvedimento (provvedimento n. 229, dell’8 maggio 2014), teso a “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati” come pure a “fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”.

Con le analizzate Linee Guida 2020 il Garante ha, sostanzialmente, confermato l’impianto disciplinato già nel 2014, ritenendo lo stesso attualmente valido, ma fornendo – alla luce del nuovo regime di accountability –  alcuni chiarimenti in relazione all’utilizzo del c.d. scrolling ai fini della raccolta del consenso all’installazione e all’utilizzo di cookie di profilazione nonché all’utilizzo del c.d. cookie wall.

L’acquisizione del consenso

Per meglio comprendere i chiarimenti forniti dal Garante, è opportuno anzitutto ricordare il considerando 32 del Regolamento, dettato in tema di “consenso” secondo cui “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

  • Lo scrolling

Condividendo l’opinione dell’EDPB (parere n. 5/2020, del 4 maggio 2020) il Garante chiarisce che il semplice “scroll down” – ossia l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve – è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione. Lo scrolling, tuttavia, può essere una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern (movimento del mouse all’interno del sito), una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie. Ciò, allo scopo di limitare l’incidenza dei c.d. “falsi positivi”, ossia di erronee interpretazioni di azioni casuali come espressioni consapevoli della volontà dell’utente.

  • Il cookie wall

Con l’espressione si intende quel meccanismo di “take it or leave it”, nel quale l’utente viene cioè obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito. Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal GDPR, e segnatamente al suo art. 4, punto 11, è da ritenersi illecito, salva l’ipotesi -da verificare caso per caso- nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie.

  • La reiterazione del consenso

L’ulteriore problematica trattata dal Garante è quella della ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito. In realtà, il consenso, una volta correttamente acquisito, non deve essere nuovamente richiesto se non in caso di un eventuale mutamento di una o più delle condizioni alle quali è stato raccolto ovvero quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio quando l’utente sceglie di cancellare i cookie).

La privacy by design e by default in relazione ai cookie

Anche in ordine al meccanismo di acquisizione del consenso online tramite presentazione di un banner, il Garante conferma le disposizioni descritte nel provvedimento del maggio 2014, tuttavia apportando alcuni aggiornamenti o migliorie alla luce del mutato assetto normativo.

In particolare, ricordando il disposto dell’art. 35 del GDPR, ha affermato che anche in tema cookie il titolare deve garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite.

Il rispetto di tali regole impone dunque che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione.

Ed allora, il Garante suggerisce che i gestori dei siti web implementino un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area (di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web) che permetta anche l’eventuale espressione di una azione positiva dell’interessato.

Qualora, invece, l’utente scegliesse di mantenere le impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie, deve essere messo in grado di chiudere tale finestra o area mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X di regola posizionata in alto a destra del banner medesimo.

Tale area deve contenere:

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  • il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
  • l’indicazione che la prosecuzione della navigazione mediante la selezione di un esplicito comando o di un elemento contenuto nella pagina sottostante il banner comporta la prestazione del consenso alla profilazione;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso;
  • un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  • due ulteriori comandi idonei a garantire il cd. “diritto di ripensamento” e di revoca del consenso.

Infine, il Garante rileva che la pratica operativa degli ultimi anni ha evidenziato come il sistema difetti di un elemento di cruciale rilievo, specie a fini di enforcement: Ci si riferisce al fatto che non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy.

In conclusione, nonostante le analizzate Linee Guida siano attualmente state sottoposte dal Garante per la protezione dei dati personali, a consultazione pubblica, le indicazioni ivi contenute possono sin d’ora rappresentare uno spunto di riflessione per l’elaborazione e l’aggiornamento della cookie policy di ogni sito aziendale.

19 febbraio 2021

Avv. Francesca Comis

Avv. Alfio Bonanno

[1] Reperibili sul sito: https://www.garanteprivacy.it/temi/cookie

[2] GDPR – Regolamento generale sulla protezione dei dati  (UE/2016/679). Art. 4, n.7) Titolare del trattamento: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.