By design e by default, senza dimenticarsi dell’accountability, il garante traccia le nuove linee guida per cookies compliant

Icone Browser

Con la predisposizione delle nuove linee guida pubblicate in Gazzetta Ufficiale lo scorso 9 luglio, l’Autorità garante per la protezione dei dati personali si è posta l’obiettivo di rafforzare il potere di decisione degli utenti riguardo alla raccolta e all’uso dei loro dati personali durante la navigazione in rete.

Come annunciato lo scorso 10 luglio nel proprio comunicato dal Garante, nei prossimi sei mesi “i fornitori dei servizi della società dell’informazione di cui all’art. 1, paragrafo 1, punto (b) della Direttiva (EU) 2015/1535, nonché tutti i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti di comunicazione elettronica o cui si riferiscano siti web che facciano impiego di cookie e/o altri strumenti di tracciamento” dovranno rendere le loro cookie policy conformi sì da non incorrere in trattamenti di dati personali illeciti passibili di sanzioni da parte dell’Autorità garante.

Il contesto normativo

La normativa di riferimento, ad oggi, è costituita dalla direttiva 2002/58/CE (c.d. Direttiva ePrivacy) e successive modifiche, recepita nel nostro ordinamento con il d.lgs. 30 giugno 2003, n. 196 (di seguito il Codice), dal Regolamento (UE) 2016/679 (il GDPR) e dal d.lgs 101/2018 che nel recepire la disciplina del GDPR ha modificato alcune parti del Codice.

L’entrata in vigore del Regolamento ha imposto un coordinamento fra le disposizioni delle varie fonti normative nazionali e comunitarie: per la parte della potenziale sovrapposizione fra norme della direttiva ePrivacy e del Regolamento prevarrà sempre la prima in virtù non solo del rapporto di genus a species sussistente fra le due fonti normative, ma anche alla luce di quanto disposto dall’art. 1, par. 2 della Direttiva stessa.

Viene quindi specificato nelle linee guida che “la disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale”.

La funzione dei cookie e gli altri strumenti di tracciamento

È bene ricordare che i cookie sono dei file testuali in grado di tracciare e memorizzare alcune informazioni sull’utente durante la sua navigazione in rete.

I dati raccolti, come ad esempio le attività su un sito, la cronologia di navigazione, gli acquisti e le preferenze, l’indirizzo IP e la posizione geografica dell’internauta vengono “catturati” dai cookie tecnici e dai cookie di profilazione e possono essere utilizzati non solo per finalità di marketing (il c.d. behavioural advertising) ma anche per finalità connesse all’operatività dei siti web.

I cookie sono uno strumento di tracciamento ricompreso nella categoria degli identificatori “attivi” e quanto a quelli di profilazione l’utente deve trovarsi nella piena facoltà di scegliere, prestando o meno il proprio consenso, se sottoporsi all’attività di profilazione prevedendo inoltre la possibilità di rimuovere autonomamente i cookie archiviati all’interno del proprio dispositivo.

L’altra categoria di strumenti di tracciamento, c.d. identificatori passivi, registra le informazioni senza però archiviarle sul dispositivo dell’utente che quindi non è messo nella condizione di poter intervenire autonomamente sulle informazioni raccolte.

Un esempio di tracciamento di questo tipo è il c.d. fingerprinting che permette l’identificazione del dispositivo utilizzato dall’utente tramite la raccolta di tutte o di parte delle informazioni relative alla configurazione specifica del dispositivo adottata dal titolare.

Come appena accennato e come precisato anche nelle nuove linee guida, i cookie vanno distinti per funzionalità, finalità e quindi prescrizioni normative applicative, in cookie tecnici e cookie di profilazione.

Mentre i primi vengono utilizzati solamente al fine di “ effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice), i secondi, tramite la raccolta di specifici dati relativi al tipo di attività svolta sul web, vengono utilizzati per la personalizzazione del servizio erogato dalla piattaforma su cui si trova l’utente.

La distinzione è di particolare rilevanza per l’individuazione degli obblighi gravanti sul titolare del trattamento che nel caso di cookie o altri identificatori puramente tecnici sarà tenuto solamente a fornire l’informativa essendo esentati dal dover raccogliere specifico consenso dell’interessato.

Nel caso invece di strumenti di tracciamento o cookie per finalità diverse da quelle tecniche, i dati dell’utente potranno essere raccolti ed utilizzati esclusivamente previa acquisizione del suo consenso.

Nelle Linee guida si precisa che la categoria di cookie e strumenti di tracciamento di natura “non tecnica” vada intesa nel senso ampio che pervade la normativa di generale proibizione del trattamento dei dati salvo eccezioni restrittivamente codificate.

Le novità in tema di “scrolling” e di cookie wall

Nel confermare quanto già previsto in tema di acquisizione del consenso online nelle precedenti linee guida del 2014, il Garante ha ritenuto però di precisarne la disciplina in osservanza del regime di accountability introdotto dall’art. 5, par. 2, del Regolamento.

Sul tema rileva il considerando 32 del Regolamento secondo cui il consenso “dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.

L’European Data Protection Board (EDPB) è già intervenuto in materia con il parere n. 5/2020 precisando che il semplice scrolling – condotta usuale di un utente che approdi su una pagina web e che voglia “scorrerla” in visione – non è mai idoneo di per sé ad esprimere la manifestazione di volontà dell’interessato all’accettazione di cookies non tecnici.

Nel fare suo tale rilievo, il Garante ha stabilito che il semplice “scroll down” del cursore al fine di navigare sull’intera pagina web non è adatto alla raccolta, da parte del titolare, di un consenso idoneo all’installazione di cookies di profilazione o di altri strumenti di tracciamento non potendo escludere però che tale azione se inserita come parte di una più ampia sequenza possa portare ad una manifestazione consapevole dell’accettazione all’uso di cookie.

Conclusione a cui il Garante arriva anche in ossequio al predetto principio di accountability per cui viene riconosciuto al titolare del trattamento autonomia nell’identificazione delle soluzioni più appropriate per adeguarsi al dettato normativo che prevede necessariamente che il consenso prestato dall’utente non corrisponda ad un evento informatico equivoco.

Il c.d. cookie wall – il meccanismo per cui l’utente viene obbligato ad esprimere il proprio consenso per poter accedere al sito – secondo le nuove Linee guida è da ritenersi tendenzialmente illecito poiché contrastante con quanto previsto all’art. 4, punto 11 del Regolamento cioè il requisito della “libertà del consenso” che però fa salva la possibilità di verificare caso per caso se il titolare del trattamento mette a diposizione all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalente senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

La reiterazione della richiesta di consenso

Sempre partendo dalla constatazione delle prassi fin qui adottate dagli utilizzatori di cookie, il Garante ha concentrato le sue mire censorie anche contro la riproposizione eccessiva del banner per l’acquisizione del consenso all’uso dei cookie di profilazione, malgrado l’utente l’abbia in precedenza negato, laddove è suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire liberamente nella navigazione.

L’indicazione generale correttiva prescritta dal Garante prevede, quindi, che la scelta dell’utente (di diniego o di consenso alla profilazione tramite cookie) dovrà essere debitamente registrata e la prestazione del consenso non più reiteratamente richiesta all’utente ad ogni accesso o con cadenza ravvicinata se non in tre casi:

–  nell’eventualità di mutamento significativo delle condizioni di trattamento;

–  quando sia impossibile per il gestore del sito web avere memoria delle preferenze già espresse in occasione in una successiva visita da parte dell’utente (un esempio è il caso in cui l’utente decida di cancellare dal proprio dispositivo i cookie legittimamente installati);

– nel caso in cui siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

Modalità di acquisizione del consenso

Viene confermato il meccanismo di acquisizione del consenso così come descritto nelle precedenti Linee guida con qualche specificazione.

Per impostazione predefinita, al momento del primo accesso dell’utente, nessun cookie o altro strumento di tracciamento, ovviamente diverso da quelli tecnici, deve essere posizionato all’interno del dispositivo con il chiaro divieto di utilizzare tecniche di tracciamento passivo.

Ciascun titolare del trattamento potrà poi scegliere le modalità che ritiene più idonee a raccogliere il consenso, tuttavia, il Garante suggerisce l’adozione di un modello condiviso che prevede, al momento del primo accesso, la visualizzazione da parte dell’utente di un banner evidente ma non invasivo che permetta l’espressione di un’azione positiva nella quale si deve sostanziare la manifestazione del consenso dell’interessato.

Qualora l’utente scelga di mantenere le impostazioni di default sarà quindi sufficiente chiudere il banner cliccando su una X posizionata in alto a destra del banner medesimo che oltre detto segno grafico dovrà contenere un’informativa minima sull’utilizzo dei cookie, il link alla privacy policy, un comando per l’espressione del consenso al posizionamento dei cookie e il link ad un area dedicata nella quale selezionare solamente le funzionalità e i cookie al cui utilizzo si intende acconsentire.

Gli utenti dovranno inoltre esse messi nella condizione di poter modificare le scelte compiute in ogni momento e in maniera di immediata comprensione prevedendo inoltre la possibilità di inserire nel footer di qualsiasi pagina web un’apposita area per la funzione “rivedi le tue scelte”.

I cookie analytics

Per quanto riguarda l’utilizzo di cookie per la valutazione dell’efficacia di un servizio, il Garante aveva già precisato che possono essere ricompresi nella categoria di quelli tecnici e quindi essere utilizzati in assenza della previa acquisizione del consenso dell’interessato sempre che si ricorra a misure, come ad esempio l’utilizzo dei cookie analytics ad opera di “terze parti” che prevedano la possibilità che lo stesso cookie sia riferibile a più dispositivi tale da creare incertezza sull’identità informatica dell’utente.

In quest’ottica le nuove Linee Guida impongono ai soggetti terzi, che forniscono al publisher il servizio di web measurement, di non combinare i dati, anche così minimizzati, con altre elaborazioni né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente.

Inoltre, “È tuttavia possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.

Novità in materia di informativa

Nell’ottica di semplificare il reperimento di informazioni sul trattamento dei dati, il Garante propone la possibilità di sviluppare un modello di informativa dislocata su più livelli che quindi possa essere divulgata tramite più canali e modalità quali ad esempio interazioni vocali, chatbot e assistenti virtuali.

Infine, il Garante conclude sul rilievo della mancanza di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento auspicando al raggiungimento di tale obiettivo.

Al fine di fornire ai soggetti tenuti all’osservanza degli obblighi di legge quali meglio articolati nelle sue modalità pratico-operative il Garante ha approntato un efficace schema di sintesi dei punti salienti delle nuove Linee Guida.

Coautore Livia Nardinocchi

Scritto da
Ruggero De Simone