COOKIE: LE NUOVE LINEE GUIDA APPROVATE DAL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

L’Autorità di Controllo ha approvato le Linee Guida cookie e altri strumenti di tracciamento – 10 giugno 2021[1]. Il testo è stato pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.

Obiettivo del nuovo provvedimento è quello di rendere gli utenti maggiormente consapevoli circa l’utilizzo dei propri dati personali nell’ambito delle attività di navigazione in rete.

Un aggiornamento delle Linee Guida precedenti emanate nel 2014 era auspicabile sotto diversi profili. Da una parte era essenziale poter disporre di un testo che tenesse conto dei dettami del Regolamento Europeo in materia di protezione dei dati personali (GDPR 2016/679). A questo si sommava la necessità di un aggiornamento che considerasse le numerose segnalazioni, reclami e richieste di pareri ricevute nel tempo dell’Autorità di Controllo circa la sussistenza di comportamenti non corretti nella raccolta dei consensi e nella messa a disposizione dell’informativa agli utenti.

Non vanno naturalmente tralasciati quali motivi a sostegno di un aggiornamento delle Linee Guida del 2014  l’impiego di strumenti sempre più tecnologicamente avanzati come i  tracciatori nonché la possibilità di creare profili relativi alle persone fisiche sempre più ricchi di dettagli operando opportuni incroci di dati derivati dalla moltiplicazione dei profili digitali.

Per completezza prima di esaminare i principali aspetti analizzati dalle nuove Linee Guida riproponiamo alcuni concetti fondamentali utili.

Cosa sono i cookie

Sono stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

I terminali cui ci si riferisce sono, ad esempio, un computer, un tablet, uno smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni.

I software per la navigazione in internet e il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie possono dunque svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (la totalità dei quali può essere distinta tra i c.d. “identificatori attivi”, come appunto i cookie, e “passivi”, questi ultimi presupponendo la mera osservazione), che consentono di effettuare trattamenti analoghi a quelli sopra indicati.

Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

gli altri strumenti di tracciamento possono avere classificati in base alla durata (possono così essere distinti in cookie di sessione o permanenti), oppure possono essere classificati in cookie di prima parte installati direttamente dal sito web che l’utente sta visitando, e in cookie di terze parte, installati da un dominio differente da quello che l’utente sta visitando.

Si riporta qui di seguito la classificazione dei cookie in base alla loro funzione.

Cookie Tecnici Sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice Privacy);
Cookie di profilazione Sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

 

A seguito delle opportune premesse si riportano qui di seguito i principali punti contenuti nelle nuove Linee Guida.

Banner:

L’impiego di cookie da parte di un sito internet deve essere annunciato all’utente tramite l’impiego di uno specifico banner. Solo nel caso in cui il sito impieghi esclusivamente cookie tecnici l’utente ne sarà informato all’interno dell’informativa generale.

Il banner di opportune dimensioni dovrà contenere le seguenti indicazioni:

  • Deve avvertire l’utente che il sito sul quale si appresta a navigare impiega cookie specificandone la tipologia.
  • Deve presentarsi all’utente una sola volta. La riproposizione del banner è tuttavia ammessa nei seguenti casi:
  • qualora si verifichino variazioni significative nel trattamento;
  • nel caso in cui non sia possibile sapere se un cookie sia già memorizzato nel dispositivo;
  • se siano trascorsi almeno 6 mesi.

Viene fatto sempre salvo il diritto dell’utente di poter modificare la propria volontà revocando un consenso precedentemente conferito.

  • Deve avvertire l’utente che chiudendo il banner utilizzando la X posizionata a destra questo comporta il mantenimento delle condizioni di default senza tuttavia compromettere la navigazione.
  • Deve precisare che l’impiego dei cookie diversi da quelli tecnici avverrà solo in base al consenso manifestato dall’utente, le modalità dovranno essere specificate. In particolare deve essere ben precisato qualora il sito utilizzi cookie di profilazione o altri strumenti di tracciamento, tali strumenti consentono di inviare messaggi pubblicitari personalizzati in base alle preferenze e ai comportamenti dell’utente posti in essere durante la navigazione. Queste indicazioni hanno la valenza di un’informativa semplificata, maggiori dettagli devono essere disponibili in un’informativa completa accessibile (v. punto sottostante).
  • Deve essere presente il link che rimanda all’ informativa in forma completa comprensiva degli elementi sanciti dal Regolamento Europeo 2016/679.
  • Deve consentire all’utente di poter manifestare un consenso relativo all’impiego di tutti i cookie o strumenti di tracciamento utilizzando un’apposita funzionalità (es la presenza di un tasto “accetto tutti i cookie”)
  • Deve contenere un’ulteriore sezione tramite la quale l’utente possa scegliere le funzionalità, le terze parti e quali categorie di cookie acconsentire.

Le scelte dell’utente devono essere libere e soprattutto devono essere determinate da un comportamento attivo pertanto anche in applicazione del principio di privacy by default non devono esserci scelte già impostate (il consenso non deve essere già presente ma deve essere l’utente a manifestarlo ove desideri).

Impiego di Cookie Analytics:

L’impiego di tali cookie consente di effettuare attività di valutazione misurabili su un sito consentendo di identificare il numero di persone che lo hanno visitato (questa indicazione viene denominata “traffico”).

I visitatori possono essere suddivisi secondo diversi criteri quali aree geografiche, orari in cui si sono collegati ecc…

Affinché l’impiego dei Cookie Analytics possa essere considerato alla stregua dei cookie tecnici che come detto prima non hanno necessità del consenso dell’utente è necessario l’impiego di misure atte a ridurre il loro potere identificativo nel caso in cui i suddetti siano impiegati da soggetti terzi (le “terze parti”).

In pratica lo stesso cookie deve essere riferito a più dispositivi in modo tale da rendere maggiormente difficile identificare il soggetto che lo riceve. Pertanto devono essere anonimizzate alcune parti dell’indirizzo IP all’interno del cookie.

Secondo l’opinione dell’Autorità se si desidera utilizzare i cookie analytics facendoli rientrare nell’alveo dei cookie tecnici è necessario che siano impiegati esclusivamente per la realizzazione di analisi statistiche in forma aggregata e che si riferiscano ad un solo sito o applicazione. E’ pertanto essenziale in un’ottica di minimizzazione non consentire lo svolgimento di analisi sulla navigazione effettuata da un utente su siti differenti.

Il Titolare che desideri effettuare comunque attività di analisi statistiche su una pluralità di siti o app ad esso riconducibili può comunque operare in tal senso riducendo tuttavia il campo d’azione alla sola elaborazione statistica senza ulteriori azioni.

 

Consenso libero ed espresso

Il consenso quale base giuridica del trattamento per quanto concerne l’impiego dei cookie diversi da quelli tecnici.

Come già precedentemente indicato l’impiego dei cookie diversi da quelli tecnici deve avvenire in presenza della specifica volontà dell’utente. Questa deve da manifestarsi nelle forme indicate all’interno del banner e dell’informativa.

Affinchè il consenso possa essere considerato valido il Garante non considera sufficiente lo “scroll down” cioè spostare in basso il cursore.

La volontà dell’utente di acconsentire all’impiego dei cookie non tecnici deve manifestarsi tramite un comportamento attivo quale azione positiva che dimostri in modo inequivocabile tale volontà e deve in grado di generare un evento presso il server del sito che possa essere registrato.

In aggiunta a quanto sopra indicato il consenso deve essere liberamente espresso senza pregiudizio. Pertanto l’opinione dell’Autorità è contraria all’impiego di meccanismi che impongano l’espressione del consenso (cookie wall) rimandando ad una valutazione ad hoc le situazioni in cui titolare del sito consenta comunque agli utenti l’accesso al sito stesso senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

Caratteristiche dell’Informativa

E’ lasciata alla scelta del Titolare l’individuazione delle modalità tramite le quali gli interessati possono esercitare i diritti riconosciuti dalla normativa e il diritto di rivolgersi all’Autorità di Controllo.

E’ auspicabile l’informativa sia disponibile a più livelli in modo che sia facilmente fruibile dagli utenti così come una funzionalità che consenta di identificare facilmente gli eventuali consensi manifestati. Inoltre il ricorso a una pluralità di scelte anche di tipo tecnologico per facilitare l’interazione tra titolare e interessato per rendere l’informativa è altresì una strategia consigliata (es impiego di assistenti virtuali).

Tra gli oneri in capo al titolare non va dimenticata l’individuazione degli accorgimenti opportuni da adottare per rendere fruibili le informazioni anche ad utenti che necessitino di tecnologie assistive o configurazioni particolari.

 

L’impiego degli accorgimenti sopra descritti consente all’utente di operare le proprie scelte in relazione all’impiego di cookie e di altri strumenti di tracciabilità con maggiore consapevolezza.

La tempistica di adeguamento è di 6 mesi decorrenti dalla data di pubblicazione presso la Gazzetta Ufficiale.

Il Team Privacy di BCO è come sempre a Vostra disposizione, per qualsiasi esigenza di adeguamento sulla normativa GDPR contattateci all’indirizzo privacy@bcoconsulting.it

 

[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876