Dal 9 gennaio 2022, i titolari di tutti i siti web dovranno conformarsi alle nuove Linee guida sui cookie emanate dal Garante privacy in data 10 giugno 2021.
Il provvedimento indica quali regole applicare alle operazioni di lettura e scrittura all’interno del terminale di un utente, con riferimento all’utilizzo di cookie e di altri strumenti di tracciamento.
Il documento specifica, inoltre, le corrette modalità di acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Regolamento in materia di protezione dei dati personali (GDPR).
In particolare, in linea con il principio di privacy by design, l’acquisizione del consenso dovrà garantire che sul dispositivo dell’utente non vengano installati cookie diversi da quelli tecnici (es. di terze parti) né altri mezzi di tracciamento (vedi il fingerprinting).
L’obiettivo primario delle nuove linee guida sui cookie è rafforzare quindi il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Cookie e altri strumenti di tracciamento
Quando parliamo di cookie facciamo riferimento a stringhe di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e archiviano all'interno del suo dispositivo durante la navigazione, allo scopo di identificare chi ha già visitato il sito in precedenza (cookie tecnici).
Ciò permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte da questo online (cookie analitici e di profilazione).
Questi strumenti possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo) e per tale motivo vengono definiti anche “identificatori attivi".
Al fianco di questi ultimi troviamo gli “identificatori passivi”. Come i primi, anche questi consentono di effettuare trattamenti analoghi ai cookie – come il fingerprinting - con la differenza che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del sito.
Tipologie di cookie
A seconda della tipologia di cookie è possibile svolgere diverse funzioni, tra cui il monitoraggio di sessioni così come la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server.
Per tale motivo possiamo suddividere i cookie in due macro-categorie: i cookie tecnici e i cookie di profilazione.
Cookie tecnici
I cookie tecnici sono necessari al fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice privacy).
Non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa.
Cookie di profilazione
I cookie di profilazione, invece, sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.
Il raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, consente al titolare di fornire servizi sempre più personalizzati, nonché inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete (nuove linee guida, par. 4).
Tuttavia, non vanno dimenticati i cosiddetti cookie analytics (tra cui rientra, per esempio, il famoso Google Analytics). Si tratta di cookie utilizzati al fine di valutare l’efficacia di un servizio della società dell’informazione fornito da un titolare di un sito, per progettare un sito web o contribuire a misurare il “traffico” di un sito web, ovvero il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
Attuale quadro normativo di riferimento
Il Garante Privacy, con il provvedimento n. 229 dell'8 maggio 2014, era già intervenuto per fornire indicazioni circa le modalità di acquisizione del consenso dei cookie e di archiviazione degli stessi.
Tuttavia, la piena entrata in vigore del GDPR così come la diffusione delle nuove tecnologie, hanno reso necessaria l’introduzione di alcune modifiche.
Ad oggi possiamo dire che il quadro giuridico di riferimento sull'uso dei cookie e degli altri sistemi di tracciamento è costituito sia dalle disposizioni della direttiva ePrivacy (direttiva 2002/58/CE) – recepita in Italia dal Codice Privacy – sia da quanto presente nel GDPR.
Se da un lato la direttiva e-Privacy all’articolo 122 definisce le modalità di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi degli utenti, dall’altro lato il regolamento europeo per la protezione dei dati personali, all’art. 4, punto 11) ne precisa la definizione generale e le caratteristiche, specificando anche le condizioni del consenso con l’art. 7.
Cosa cambia con le nuove Linee Guida?
Tra gli aspetti affrontati nelle nuove linee guida, a trovare rilevanza è il meccanismo di acquisizione del consenso online tramite banner.
Per consentire all’utente di decidere se accettare o meno l’installazione dei cookie, è necessario che il titolare del sito fornisca un’adeguata informativa che permetta all’interessato di scegliere in modo libero e consapevole se prestare o meno il proprio consenso.
Unica eccezione viene fatta per quei siti web che utilizzano esclusivamente cookie tecnici. In questo caso non sarà necessario predisporre un banner informativo poiché, come anticipato, l’installazione di questi cookie non necessita di consenso alcuno. Basterà quindi indicare semplicemente nell’home page del sito o all’interno dell’informativa privacy che lo stesso utilizza esclusivamente cookie tecnici.
Cosa fare se sono presenti cookie diversi da quelli tecnici
Il rispetto di tali regole impone pertanto che, laddove un sito utilizzi cookie diversi da quelli tecnici, al momento del primo accesso dell’utente e per impostazione predefinita, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né tanto meno che venga utilizzata altra tecnica attiva o passiva di tracciamento.
Se da un lato il titolare può adottare le modalità ritenute più idonee per assicurare il rispetto di questo obbligo, dall'altro è importante anche garantire la libertà di scelta dell'utente.
Per fare questo il Garante ha previsto l'adozione di un meccanismo in base al quale l’utente, accedendo per la prima volta alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area o banner (contenente una X selezionabile in alto a destra) le cui dimensioni siano tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli.
L’adeguatezza e la congruità delle dimensioni del banner dovranno essere valutate anche in relazione ai diversi dispositivi di possibile utilizzo da parte dell’interessato.
Quali caratteristiche deve avere il banner
Il banner deve avere queste caratteristiche:
- L’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
- L’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve).
- Il link alla privacy policy contenente l’informativa completa, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR.
- Un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento.
- Un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori che possano indurli a preferire inconsapevolmente un’opzione anziché l’altra, il Garante sottolinea l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.
Dopo che l'utente ha espresso le proprie preferenze, il banner non dovrebbe essergli riproposto nei successivi accessi per un periodo di almeno 6 mesi. Questo a meno che non siano cambiate in modo significativo le condizioni del trattamento dei dati, oppure nel caso in cui per il gestore del sito web sia impossibile tenere traccia della scelta dell'utente (ad esempio nel caso in cui quest’ultimo abbia cancellato i cookie).
Acquisizione del consenso all’uso dei cookie
In linea generale e anche ai sensi del considerando 32 del GDPR, il consenso deve essere espresso mediante un atto positivo ed inequivocabile come, ad esempio, potrebbe essere la selezione di un’apposita casella.
Partendo da questo principio, quindi, l’azione dell’utente deve essere attiva, di opt-in e mai di opt-out, e il silenzio così come la preselezione di caselle non può mai essere idonea a configurare una valida prestazione di consenso.
Modalità di raccolta del consenso: scrolling e cookie wall
Le Linee guida, sulla scia del provvedimento dell’EDPB, citano fra le modalità di raccolta del consenso lo scrolling e il cookie wall:
- Lo scrolling, dichiarato di per sé inadatto alla raccolta di un idoneo consenso, diventa valido nella sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento che risulti documentabile dal server del sito.
- Il cookie wall, tendenzialmente illecito, risulta idoneo alla raccolta del consenso in ipotesi (da valutare caso per caso) nella quale il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti, senza prestare il consenso all’installazione dei cookie.
Nel primo caso, quindi, pur non rifiutando completamente l'utilizzo dello scrolling come procedura di acquisizione, il Garante ritiene che tale modalità non debba essere la sola, ma debba inserirsi in una delle componenti di un processo più articolato. In modo, dunque, che l'utente possa prendere una scelta inequivocabile e consapevole.
Periodo di adeguamento alle nuove linee guida
Il periodo di adeguamento alle disposizioni delle nuove Linee guida del Garante per la protezione dei dati personali deve avvenire entro il 10 Gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 Luglio 2021.
Ma cosa succede con i consensi acquisiti prima della pubblicazione delle nuove Linee guida?
Il Garante in merito ha stabilito che i consensi ottenuti prima del 20 luglio 2021 saranno validi a patto che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.