Il 10 giugno 2021 il garante della privacy, con il Provvedimento n. 231 (Gazzetta Ufficiale n. 163 del 9 luglio 2021), ha approvato le “Linee guida cookie e altri strumenti di tracciamento” con le quali vengono chiarite e ri-definite le regole riguardo all’uso dei cookie.
Facciamo un passo indietro: con l’avvento del GDPR (emanato nel 2016 e divenuto operativo nel 2018) le regole riguardo ai cookie sono cambiate. Da quel momento in avanti, i cookie non possono più essere scaricati sui browser in modo libero ed indiscriminato, ma devono rispettare una serie di regole ben definite.
Le Linee Guida Cookie
Tra le motivazioni che hanno spinto il Garante all’approvazione delle linee guida, oltre la volontà di aggiornare quanto previsto dal Provvedimento 229/2014 per adeguarsi alle linee guida dell’EDPB (European Data Protection Board) e stilare le Linee guida - 10 giugno 2021, vi sono i numerosi reclami ricevuti e il fatto che, con il sempre più diffuso fenomeno della “moltiplicazione delle identità digitali” dovuto all’accesso a numerosi servizi (in primis i social network), la raccolta e l’incrocio delle informazioni da questi detenute possono condurre ad una vera e propria e dettagliata profilazione degli utenti.
Oltre ciò, i cookie non raccolgono solamente dati anonimi, ma possono raccogliere dati personali, quali l’indirizzo IP, l’indirizzo e-mail e il nome dell’utente, di conseguenza una puntuale regolarizzazione degli stessi risulta necessaria.
Che cosa sono i cookie?
I cookie non sono altro che stringhe di testo che vengono memorizzate dai browser (o comunque sui terminali dell’utente) e che, alla successiva visita del sito web, verranno ritrasmesse al server con le informazioni raccolte precedentemente.
Questi possono svolgere diverse - e talvolta importanti - funzioni, come il monitoraggio della sezione per permettere un successivo caricamento più veloce della stessa pagina, l’agevolazione della fruizione di contenuti online e altri ancora, ad esempio possono mantenere memorizzati i contenuti del carrello per gli acquisti online, compilare in automatico dei moduli o veicolare la pubblicità comportamentale.
A seconda della loro funzione, si distinguono diverse tipologie di cookie, le quali possono essere racchiuse in due macro-categorie: cookie tecnici e di profilazione. I cookie tecnici (o necessari) sono necessari al corretto funzionamento del sito; i cookie di profilazione sono utilizzati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”. In altri termini, con questi cookie viene creato un profilo dell’utente al quale, in automatico, vengono mostrate pubblicità o vengono consigliati servizi inerenti alla tipologia di ricerche effettuate sul web.
Un esempio: se sul web viene ricercato un trapano, i termini della ricerca vengono registrati e, in base a questi, verranno mostrate pubblicità inerenti ai trapani, alle viti e altri oggetti legati ai trapani.
Le nuove regole dei Cookie: che cosa è cambiato?
Base giuridica
Posta la distinzione tra cookie tecnici (o necessari), per i primi il titolare è soggetto solo all’obbligo di fornire un’informativa chiara ed esaustiva delle funzioni e delle finalità dei cookie tecnici, la quale potrà anche essere inserita all’interno dell’informativa generale del sito web.
Al contrario per i cookie tecnici, oltre l’informativa, il titolare dovrà provvedere alla corretta raccolta e conservazione del consenso degli utenti, il quale dovrà essere espresso per ogni singola tipologia di cookie. Tale consenso, come stabilito dal GDPR, può essere revocato in ogni momento: ne consegue che il titolare dovrà anche provvedere ad un’efficace modalità di revoca del consenso precedentemente prestato.
Scrolling down
Con riguardo alle modalità di acquisizione del consenso, il Considerando 32 del GDPR afferma che “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano […]”, di conseguenza il silenzio, l’inattività e la preselezione di caselle non potrà mai configurare un consenso. Inoltre se questo deve essere espresso tramite strumenti informatici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale è richiesto il consenso. In caso di un trattamento con più finalità il consenso dovrà essere richiesto per ciascuna di queste.
Con riferimento allo scrolling down, ossia scorrere verso il basso una pagina web, il Garante si trova d’accordo con l’EDPB nell’affermare che questa modalità, da sola, non può essere idonea all’acquisizione di un consenso, ma, in base al principio di accountability, può essere parte di un più articolato processo volto all’acquisizione del consenso (a patto che l’utente venga debitamente informato in modo tale che non vi sia equivoco da parte sua che, seguendo tale procedura, presterà consenso all’utilizzo dei cookie).
Il cookie wall
A differenza dello scrolling down, che potenzialmente può essere utilizzato quale strumento di acquisizione del consenso, il cookie wall, ossia la pratica di rendere inaccessibile il sito web se non si accettano cookie di profilazione (cd. “prendere o lasciare”), non può essere ritenuto uno strumento corretto per l’acquisizione del consenso, in quanto la scelta fatta dall’utente non sarebbe libera.
Anche in questo caso il Garante non pone un veto assoluto su questo sistema, a condizione che il titolare offra all’utente, che non vuole prestare il consenso, la possibilità di l’accesso ad un contenuto o un servizio equivalenti.
La reiterazione della richiesta del consenso
Infine, il Garante punta il dito sulla reiterazione delle richieste di consenso, in quanto potenzialmente lesive della libertà degli interessati, i quali, avendo già negato l’autorizzazione ai cookie di tracciamento e profilazione, pur di proseguire nella navigazione libera da banner e da richieste, vengono spinti con forza verso l’accettazione di detti cookie, vedendo in tal modo ristretta la loro libertà di scelta.
Ogni volta che viene prestato o negato il consenso, il titolare (in questo caso il sito web) deve registrare e conservare la scelta fatta, senza richiederla nuovamente, fino a quando non si verifichi una delle seguenti condizioni:
Significativa mutazione di una o più condizioni del trattamento. In questo caso il banner e la richiesta di consenso servono proprio per mettere a conoscenza dell’utente i cambiamenti avvenuti e se intende prestare o negare il consenso;
Nel caso in cui il gestore non sia in grado di capire se l’utente abbia o meno prestato il consenso, come nel caso di eliminazione dei cookie dal browser Internet;
Qualora siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Privacy by design e privacy by default
In questa sezione il Garante offre una soluzione per la corretta acquisizione del consenso, partendo da quanto previsto dall’art 25 GDPR, ossia che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.”
Quindi, per impostazione predefinita, al primo accesso al sito web non dovranno essere scaricati file (cookie) di alcun tipo, con esclusione di quelli tecnici, e dovrà comparire un banner (o un’area) che sia perfettamente visibile all’utente e che sia tale da impedire che lo stesso possa, erroneamente, compiere scelte indesiderate o inconsapevoli.
Il banner dovrà essere sufficientemente grande da garantire quanto appena scritto e dovrà avere almeno le seguenti caratteristiche:
l’avvertimento che, chiudendo il banner (tramite la "X"), verranno mantenute le impostazioni di default, ossia non verranno scaricati cookie o altri strumenti di tracciamento;
una informativa privacy breve;
un link alla privacy policy;
il comando con il quale acconsentire o meno all’installazione di tutti i cookie e degli altri strumenti di tracciamento (il cd “accetta tutto”);
un link ad un’ulteriore area dedicata nella quale poter esprimere il consenso per singole categorie di cookie o di strumenti di tracciamento.
In ogni caso, il banner dovrà essere graficamente strutturato in modo tale che l’utente non venga influenzato da scelte di design (es. il testo “accetta tutto” di colore verde e di grandi dimensioni e il tasto “nega tutto” o la “X” di piccole dimensioni e di un colore che possa confondersi con lo sfondo). Inoltre i cookie dovranno essere disattivati di default, cosicché sia l’utente ad attivarli consapevolmente; infine, vista la natura del consenso, dovrà essere sempre data la possibilità agli utenti di modificare le proprie scelte con riguardo ai cookie, sia in positivo sia in negativo.
Nel caso di siti contenenti esclusivamente cookie tecnici, le informazioni riguardo a questi potranno essere date nella home page o nell’informativa senza la necessità di un banner.
Google Analitycs
Si tratta di cookie utilizzati per valutare l’efficacia di un servizio, per la progettazione di siti o per monitorare il numero di visite (traffico) del sito.
Nel Provvedimento 229/2014, erano posti nella categoria dei cookie tecnici, ma oggi possono rientrare in tale categoria (e quindi essere esenti dall’obbligo del consenso) solo nel caso in cui rispettino determinate condizioni, in particolare tramite la minimizzazione del dato, ossia impedendo che dai dati da questi raccolti si possa identificare l’utente (es. mascherando l’indirizzo IP).
Altra soluzione prospettata dal garante è quella dell’utilizzo dei dati per fini esclusivamente statistici fatti in proprio dal titolare, in altri termini anche se il dato raccolto dal cookie analitico può portare all’identificazione di un utente, se tale dato è utilizzato esclusivamente per il monitoraggio (a fine statistico) delle visite del sito e tale controllo è effettuato dal titolare (quindi tale analisi non viene fatta da un esterno), il cookie può essere ricompreso nella categoria di quelli tecnici.
In conclusione, il Garante, conscio delle difficoltà tecniche cui possono venire incontro i titolari e i gestori dei siti per l’adeguamento, pone come termine per l’adeguamento alle Linee guida i 6 mesi successivi alla pubblicazione sulla gazzetta ufficiale (Gazzetta Ufficiale n. 163 del 9 luglio 2021).
I punti a cui adempiere sono tanti, non sempre di facile comprensione. Per questo è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.
Comments