{"id":1895,"date":"2021-07-15T16:39:00","date_gmt":"2021-07-15T14:39:00","guid":{"rendered":"https:\/\/dev.pgmtechnology.it\/?p=1895"},"modified":"2023-01-04T16:41:57","modified_gmt":"2023-01-04T15:41:57","slug":"by-design-e-by-default-senza-dimenticarsi-dellaccountability-il-garante-traccia-le-nuove-linee-guida-per-cookies-compliant","status":"publish","type":"post","link":"https:\/\/www.leexe.it\/en\/by-design-e-by-default-senza-dimenticarsi-dellaccountability-il-garante-traccia-le-nuove-linee-guida-per-cookies-compliant\/","title":{"rendered":"By design e by default, senza dimenticarsi dell\u2019accountability, il garante traccia le nuove linee guida per cookies compliant"},"content":{"rendered":"\n

Con la predisposizione delle nuove linee guida<\/a> pubblicate in Gazzetta Ufficiale lo scorso 9 luglio, l’Autorit\u00e0 garante per la protezione dei dati personali si \u00e8 posta l’obiettivo di rafforzare il potere di decisione degli utenti riguardo alla raccolta e all’uso dei loro dati personali durante la navigazione in rete.<\/p>\n\n\n\n

Come annunciato lo scorso 10 luglio nel proprio comunicato<\/a> dal Garante, nei prossimi sei mesi \u201ci fornitori dei servizi della societ\u00e0 dell’informazione di cui all’art. 1, paragrafo 1, punto (b) della Direttiva (EU) 2015\/1535, nonch\u00e9 tutti i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti di comunicazione elettronica o cui si riferiscano siti web che facciano impiego di cookie e\/o altri strumenti di tracciamento\u201d dovranno rendere le loro cookie policy conformi s\u00ec da non incorrere in trattamenti di dati personali illeciti passibili di sanzioni da parte dell’Autorit\u00e0 garante.<\/p>\n\n\n\n

Il contesto normativo<\/strong><\/p>\n\n\n\n

La normativa di riferimento, ad oggi, \u00e8 costituita dalla direttiva 2002\/58\/CE (c.d. Direttiva ePrivacy) e successive modifiche, recepita nel nostro ordinamento con il d.lgs. 30 giugno 2003, n. 196 (di seguito il Codice), dal Regolamento (UE) 2016\/679 (il GDPR) e dal d.lgs 101\/2018 che nel recepire la disciplina del GDPR ha modificato alcune parti del Codice.<\/p>\n\n\n\n

L’entrata in vigore del Regolamento ha imposto un coordinamento fra le disposizioni delle varie fonti normative nazionali e comunitarie: per la parte della potenziale sovrapposizione fra norme della direttiva ePrivacy e del Regolamento prevarr\u00e0 sempre la prima in virt\u00f9 non solo del rapporto di genus a species sussistente fra le due fonti normative, ma anche alla luce di quanto disposto dall’art. 1, par. 2 della Direttiva stessa.<\/p>\n\n\n\n

Viene quindi specificato nelle linee guida che \u201cla disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale\u201d.<\/p>\n\n\n\n

La funzione dei cookie e gli altri strumenti di tracciamento<\/strong><\/p>\n\n\n\n

\u00c8 bene ricordare che i cookie sono dei file testuali in grado di tracciare e memorizzare alcune informazioni sull’utente durante la sua navigazione in rete.<\/p>\n\n\n\n

I dati raccolti, come ad esempio le attivit\u00e0 su un sito, la cronologia di navigazione, gli acquisti e le preferenze, l’indirizzo IP e la posizione geografica dell’internauta vengono \u201ccatturati\u201d dai cookie tecnici e dai cookie di profilazione e possono essere utilizzati non solo per finalit\u00e0 di marketing (il c.d. behavioural advertising) ma anche per finalit\u00e0 connesse all’operativit\u00e0 dei siti web.<\/p>\n\n\n\n

I cookie sono uno strumento di tracciamento ricompreso nella categoria degli identificatori \u201cattivi\u201d e quanto a quelli di profilazione l’utente deve trovarsi nella piena facolt\u00e0 di scegliere, prestando o meno il proprio consenso, se sottoporsi all’attivit\u00e0 di profilazione prevedendo inoltre la possibilit\u00e0 di rimuovere autonomamente i cookie archiviati all’interno del proprio dispositivo.<\/p>\n\n\n\n

L’altra categoria di strumenti di tracciamento, c.d. identificatori passivi, registra le informazioni senza per\u00f2 archiviarle sul dispositivo dell’utente che quindi non \u00e8 messo nella condizione di poter intervenire autonomamente sulle informazioni raccolte.<\/p>\n\n\n\n

Un esempio di tracciamento di questo tipo \u00e8 il c.d. fingerprinting che permette l’identificazione del dispositivo utilizzato dall’utente tramite la raccolta di tutte o di parte delle informazioni relative alla configurazione specifica del dispositivo adottata dal titolare.<\/p>\n\n\n\n

Come appena accennato e come precisato anche nelle nuove linee guida, i cookie vanno distinti per funzionalit\u00e0, finalit\u00e0 e quindi prescrizioni normative applicative, in cookie tecnici e cookie di profilazione.<\/p>\n\n\n\n

Mentre i primi vengono utilizzati solamente al fine di \u201c effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della societ\u00e0 dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio\u201d (cfr. art. 122, comma 1 del Codice), i secondi, tramite la raccolta di specifici dati relativi al tipo di attivit\u00e0 svolta sul web, vengono utilizzati per la personalizzazione del servizio erogato dalla piattaforma su cui si trova l’utente.<\/p>\n\n\n\n

La distinzione \u00e8 di particolare rilevanza per l’individuazione degli obblighi gravanti sul titolare del trattamento che nel caso di cookie o altri identificatori puramente tecnici sar\u00e0 tenuto solamente a fornire l’informativa essendo esentati dal dover raccogliere specifico consenso dell’interessato.<\/p>\n\n\n\n

Nel caso invece di strumenti di tracciamento o cookie per finalit\u00e0 diverse da quelle tecniche, i dati dell’utente potranno essere raccolti ed utilizzati esclusivamente previa acquisizione del suo consenso.<\/p>\n\n\n\n

Nelle Linee guida si precisa che la categoria di cookie e strumenti di tracciamento di natura \u201cnon tecnica\u201d vada intesa nel senso ampio che pervade la normativa di generale proibizione del trattamento dei dati salvo eccezioni restrittivamente codificate.<\/p>\n\n\n\n

Le novit\u00e0 in tema di \u201cscrolling\u201d e di cookie wall<\/strong><\/p>\n\n\n\n

Nel confermare quanto gi\u00e0 previsto in tema di acquisizione del consenso online nelle precedenti linee guida del 2014, il Garante ha ritenuto per\u00f2 di precisarne la disciplina in osservanza del regime di accountability introdotto dall’art. 5, par. 2, del Regolamento.<\/p>\n\n\n\n

Sul tema rileva il considerando 32 del Regolamento secondo cui il consenso \u201cdovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale\u201d.<\/p>\n\n\n\n

L’European Data Protection Board (EDPB) \u00e8 gi\u00e0 intervenuto in materia con il parere n. 5\/2020 precisando che il semplice scrolling \u2013 condotta usuale di un utente che approdi su una pagina web e che voglia \u201cscorrerla\u201d in visione \u2013 non \u00e8 mai idoneo di per s\u00e9 ad esprimere la manifestazione di volont\u00e0 dell’interessato all’accettazione di cookies non tecnici.<\/p>\n\n\n\n

Nel fare suo tale rilievo, il Garante ha stabilito che il semplice \u201cscroll down\u201d del cursore al fine di navigare sull’intera pagina web non \u00e8 adatto alla raccolta, da parte del titolare, di un consenso idoneo all’installazione di cookies di profilazione o di altri strumenti di tracciamento non potendo escludere per\u00f2 che tale azione se inserita come parte di una pi\u00f9 ampia sequenza possa portare ad una manifestazione consapevole dell’accettazione all’uso di cookie.<\/p>\n\n\n\n

Conclusione a cui il Garante arriva anche in ossequio al predetto principio di accountability per cui viene riconosciuto al titolare del trattamento autonomia nell’identificazione delle soluzioni pi\u00f9 appropriate per adeguarsi al dettato normativo che prevede necessariamente che il consenso prestato dall’utente non corrisponda ad un evento informatico equivoco.<\/p>\n\n\n\n

Il c.d. cookie wall \u2013 il meccanismo per cui l’utente viene obbligato ad esprimere il proprio consenso per poter accedere al sito \u2013 secondo le nuove Linee guida \u00e8 da ritenersi tendenzialmente illecito poich\u00e9 contrastante con quanto previsto all’art. 4, punto 11 del Regolamento cio\u00e8 il requisito della \u201clibert\u00e0 del consenso\u201d che per\u00f2 fa salva la possibilit\u00e0 di verificare caso per caso se il titolare del trattamento mette a diposizione all’interessato la possibilit\u00e0 di accedere ad un contenuto o a un servizio equivalente senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.<\/p>\n\n\n\n

La reiterazione della richiesta di consenso<\/strong><\/p>\n\n\n\n

Sempre partendo dalla constatazione delle prassi fin qui adottate dagli utilizzatori di cookie, il Garante ha concentrato le sue mire censorie anche contro la riproposizione eccessiva del banner per l’acquisizione del consenso all’uso dei cookie di profilazione, malgrado l’utente l’abbia in precedenza negato, laddove \u00e8 suscettibile di lederne la libert\u00e0 inducendolo a prestarlo pur di proseguire liberamente nella navigazione.<\/p>\n\n\n\n

L’indicazione generale correttiva prescritta dal Garante prevede, quindi, che la scelta dell’utente (di diniego o di consenso alla profilazione tramite cookie) dovr\u00e0 essere debitamente registrata e la prestazione del consenso non pi\u00f9 reiteratamente richiesta all’utente ad ogni accesso o con cadenza ravvicinata se non in tre casi:<\/p>\n\n\n\n

\u2013  nell’eventualit\u00e0 di mutamento significativo delle condizioni di trattamento;<\/p>\n\n\n\n

\u2013  quando sia impossibile per il gestore del sito web avere memoria delle preferenze gi\u00e0 espresse in occasione in una successiva visita da parte dell’utente (un esempio \u00e8 il caso in cui l’utente decida di cancellare dal proprio dispositivo i cookie legittimamente installati);<\/p>\n\n\n\n

\u2013 nel caso in cui siano trascorsi almeno sei mesi dalla precedente presentazione del banner.<\/p>\n\n\n\n

Modalit\u00e0 di acquisizione del consenso<\/p>\n\n\n\n

Viene confermato il meccanismo di acquisizione del consenso cos\u00ec come descritto nelle precedenti Linee guida con qualche specificazione.<\/p>\n\n\n\n

Per impostazione predefinita, al momento del primo accesso dell’utente, nessun cookie o altro strumento di tracciamento, ovviamente diverso da quelli tecnici, deve essere posizionato all’interno del dispositivo con il chiaro divieto di utilizzare tecniche di tracciamento passivo.<\/p>\n\n\n\n

Ciascun titolare del trattamento potr\u00e0 poi scegliere le modalit\u00e0 che ritiene pi\u00f9 idonee a raccogliere il consenso, tuttavia, il Garante suggerisce l’adozione di un modello condiviso che prevede, al momento del primo accesso, la visualizzazione da parte dell’utente di un banner evidente ma non invasivo che permetta l’espressione di un’azione positiva nella quale si deve sostanziare la manifestazione del consenso dell’interessato.<\/p>\n\n\n\n

Qualora l’utente scelga di mantenere le impostazioni di default sar\u00e0 quindi sufficiente chiudere il banner cliccando su una X posizionata in alto a destra del banner medesimo che oltre detto segno grafico dovr\u00e0 contenere un’informativa minima sull’utilizzo dei cookie, il link alla privacy policy, un comando per l’espressione del consenso al posizionamento dei cookie e il link ad un area dedicata nella quale selezionare solamente le funzionalit\u00e0 e i cookie al cui utilizzo si intende acconsentire.<\/p>\n\n\n\n

Gli utenti dovranno inoltre esse messi nella condizione di poter modificare le scelte compiute in ogni momento e in maniera di immediata comprensione prevedendo inoltre la possibilit\u00e0 di inserire nel footer di qualsiasi pagina web un’apposita area per la funzione \u201crivedi le tue scelte\u201d.<\/p>\n\n\n\n

I cookie analytics<\/strong><\/p>\n\n\n\n

Per quanto riguarda l’utilizzo di cookie per la valutazione dell’efficacia di un servizio, il Garante aveva gi\u00e0 precisato che possono essere ricompresi nella categoria di quelli tecnici e quindi essere utilizzati in assenza della previa acquisizione del consenso dell’interessato sempre che si ricorra a misure, come ad esempio l’utilizzo dei cookie analytics ad opera di \u201cterze parti\u201d che prevedano la possibilit\u00e0 che lo stesso cookie sia riferibile a pi\u00f9 dispositivi tale da creare incertezza sull’identit\u00e0 informatica dell’utente.<\/p>\n\n\n\n

In quest’ottica le nuove Linee Guida impongono ai soggetti terzi, che forniscono al publisher il servizio di web measurement, di non combinare i dati, anche cos\u00ec minimizzati, con altre elaborazioni n\u00e9 trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente.<\/p>\n\n\n\n

Inoltre, \u201c\u00c8 tuttavia possibile reputare lecito il ricorso ad analisi statistiche relative a pi\u00f9 domini, siti web o app riconducibili al medesimo titolare purch\u00e9 questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attivit\u00e0 che, travalicando i confini di un mero conteggio statistico, assuma in realt\u00e0 le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale\u201d.<\/p>\n\n\n\n

Novit\u00e0 in materia di informativa<\/strong><\/p>\n\n\n\n

Nell’ottica di semplificare il reperimento di informazioni sul trattamento dei dati, il Garante propone la possibilit\u00e0 di sviluppare un modello di informativa dislocata su pi\u00f9 livelli che quindi possa essere divulgata tramite pi\u00f9 canali e modalit\u00e0 quali ad esempio interazioni vocali, chatbot e assistenti virtuali.<\/p>\n\n\n\n

Infine, il Garante conclude sul rilievo della mancanza di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento auspicando al raggiungimento di tale obiettivo.<\/p>\n\n\n\n

Al fine di fornire ai soggetti tenuti all’osservanza degli obblighi di legge quali meglio articolati nelle sue modalit\u00e0 pratico-operative il Garante ha approntato un efficace schema di sintesi<\/a> dei punti salienti delle nuove Linee Guida.<\/p>\n\n\n\n

Coautore Livia Nardinocchi<\/p>\n","protected":false},"excerpt":{"rendered":"

Con la predisposizione delle nuove linee guida pubblicate in Gazzetta Ufficiale lo scorso 9 luglio, l’Autorit\u00e0 garante per la protezione dei dati personali si \u00e8 posta l’obiettivo di rafforzare il potere di decisione degli utenti riguardo alla raccolta e all’uso dei loro dati personali durante la navigazione in rete. Come annunciato lo scorso 10 luglio nel proprio comunicato dal […]<\/p>\n","protected":false},"author":5,"featured_media":3804,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","iawp_total_views":0,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1895","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1895","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1895"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1895\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3804"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1895"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1895"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1895"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}