Le nuove linee guida sui cookie. Il Garante Privacy ha adottato nuove linee guida per l’uso dei cookie [1] e delle altre tecnologie di tracciamento da parte dei siti web, andando ad aggiornare - alla luce dei principi espressi dal GDPR - il provvedimento n. 229 del maggio 2014. Tra i principali temi affrontati, la chiarezza dei banner di acquisizione del consenso, un più ampio potere di controllo da parte dell’utente e il rispetto della privacy by design e by default.
Attualmente oggetto di consultazione, le linee guida svolgono da un lato una “funzione ricognitiva” del diritto applicabile ai cookie, e indicano dall’altro le “corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati”. Su quest’ultimo punto, come si illustrerà nel prosieguo, ci sono stati chiarimenti relativi allo scrolling, ai cookie wall e alla reiterazione nella richiesta del consenso.
Evoluzione normativa, tecnologica e comportamentale. L’intervento del Garante tiene conto di una pluralità di fattori. Tra questi, innanzitutto, le novità del GDPR, ad es. il rafforzamento delle qualità del consenso dell’interessato, con la conseguente necessità di una “concreta ed efficace attuazione dei principi di protezione” sin dalla progettazione e per impostazione predefinita. Ancora, a muovere le linee guida vi è il contesto di “sempre crescente diffusione di nuove tecnologie”, potenzialmente pervasive, in cui i cookie sono utilizzati.
Particolare rilevanza ha, inoltre, “l’evoluzione comportamentale degli utenti”, i cui profili digitali, attraverso i numerosi servizi online (tra cui i social network), sono sempre più soggetti ad un esame incrociato e, di conseguenza, a una profilazione dettagliata. Tale evoluzione richiede dunque un contesto regolatorio di maggior tutela per “l’autodeterminazione del singolo”.
Tipologie di cookie. I cookie, come sottolinea il Garante, possono svolgere “funzioni tra le più disparate” [2]. Non soltanto di natura tecnica [3], ma anche (e forse soprattutto?) di natura commerciale. Questi ultimi sono i cookie di profilazione, cioè quelli utilizzati per individuare negli utenti “schemi comportamentali ricorrenti” a fini di targetizzazione pubblicitaria, al fine cioè di far visionare a un determinato utente, il cui comportamento online sia stato oggetto di profilazione, annunci pubblicitari coerenti con i dati ricavabili dal suo comportamento, e dunque (idealmente) coerenti con le sue preferenze. [4]
Quale base giuridica per la raccolta dei dati? A finalità differenti - cookie tecnici e cookie di profilazione - corrispondono logicamente regole differenti, e in particolare differenti basi giuridiche per la raccolta dei dati. In particolare, se l’utilizzo dei cookie tecnici impone al titolare soltanto l’obbligo di fornire l’informativa (anche all’interno di quella generale), viceversa i cookie di profilazione e gli altri strumenti di tracciamento possono essere utilizzati solo dopo aver acquisito il consenso informato dell’utente.
A tal proposito il Garante offre anche un’interessante esempio relativo al rapporto di genus a species esistente tra GDPR e direttiva ePrivacy, ricordando che “è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri identificativi; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.”
I chiarimenti del Garante. E proprio in tema di consenso ai cookie e di modalità della sua acquisizione, le linee guida, pur precisando che l’accountability del titolare - uno dei cardini del GDPR - non stravolge la cornice del già citato provvedimento del maggio 2014, offrono alcuni significativi chiarimenti.
Scrolling. In primo luogo, si specifica che il cd. “scrolling”, cioè il movimento del cursore da parte dell’utente nella pagina del sito, non può essere considerato come una valida manifestazione del consenso, in quanto confliggente con i requisiti del Regolamento, in base ai quali - come chiarito anche dal parere n. 5/2020 EDPB - il consenso dovrebbe essere “espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano” (Considerando 32). Lo scrolling può invece rappresentare “una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie.”
Cookie wall. In secondo luogo, il Garante si preoccupa di chiarire che è illecita l’imposizione all’utente dei cookie di profilazione ai fini dell’accesso al sito (cd. “cookie wall”). Fa eccezione il caso, da verificare in concreto, in cui il “titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso dei cookie.”
Reiterazione nella richiesta del consenso. In terzo luogo, le linee guida si esprimono sulla reiterazione nella richiesta del consenso, cioè nella pratica - posta in essere da taluni siti - di ripresentare il banner relativo ai cookie a ogni nuovo accesso dell’utente al medesimo sito. La riproposizione del banner, una ‘precauzione’ non richiesta dal GDPR, finisce addirittura per essere peggiorativa non soltanto della user experience, ma anche della percezione del valore del consenso, potendo portare appunto, secondo il Garante, ad una “sottovalutazione del valore del contenuto con esso proposto”: il consenso - una volta acquisito, e se non cambiano le condizioni in cui è stato prestato - non deve essere chiesto di nuovo.
Privacy by design e by default. Il Garante offre poi importanti indicazioni anche per quanto riguarda l’applicazione dei già richiamati principi di privacy by design e by default nell’ambito dell’acquisizione del consenso. Si stabilisce che al primo accesso dell’utente al sito web si dovranno utilizzare, per impostazione predefinita, soltanto i cookie tecnici, in quanto è “rimesso interamente all’interessato un effettivo, concreto potere di scelta in ordine alla possibilità di consentire o meno un utilizzo eventualmente più ampio dei suoi dati.” Se l’utente è intenzionato a prestare il proprio consenso ai cookie di profilazione, potrà farlo attraverso un’apposita area visualizzata sul sito web, la quale peraltro dovrà basarsi sul meccanismo dell’opt-in. Il banner dovrà anche offrire elementi di semplificazione all’utente non interessato a prestare il consenso, in particolare la possibilità di chiudere il banner stesso per esprimere il proprio rifiuto, invece di dover accedere a pagine ulteriori.
In estrema sintesi, le linee guida stabiliscono poi che l’area di prestazione del consenso debba contenere l’informativa minima sui cookie, il link alla privacy policy e alcune altre indicazioni di carattere tecnico, relative alle modalità di prestazione del consenso. [5]
Un ulteriore e importante tema, oggetto di dialogo con gli stakeholder, è rappresentato dall’ipotesi di una “codifica standardizzata” di comandi, colori e funzioni utilizzati nell’acquisizione del consenso, a fini di uniformità. In tal senso, il Garante afferma inoltre che elementi come i comandi e i caratteri non dovrebbero essere presentati all’utente in una maniera che possa influenzarne la scelta.
© Graziadei Studio Legale
Ulteriori informazioni: Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento consultabili al link segnalato in basso
[1] I cookie sono, essenzialmente, stringhe di testo che i siti web posizionano e archiviano all’interno del dispositivo dell’utente. “Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.”
[2] Si legge nel documento, ad es., che “Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete - in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.”
[3] Le linee guida ricordano che già nel provvedimento del 2014 si affermava che ai cookie tecnici possono essere assimilati anche gli analytics, sebbene soltanto al ricorrere di alcune condizioni. Queste ultime devono essere aggiornate alla luce del GDPR. Il principio della privacy by design impone infatti il “ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo degli analytics”. In altre parole, deve essere impedita la possibilità che gli analytics portino a una identificazione dell’interessato.[4] Le medesime finalità si riscontrano anche nel fingerprinting, che, spiega il Garante, è la “tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.” Si differenzia dai cookie in quanto questi ultimi lasciano una traccia nel dispositivo dell’utente, che può cancellarla, mentre il profilo ottenuto mediante fingerprinting è nella sola disponibilità del titolare.
[5] Tra queste: “l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano...” che produca un evento informatico registrabile comporta la prestazione del consenso alla profilazione”; “un comando attraverso il quale sia possibile esprimere il proprio consenso alla profilazione accettando il posizionamento di tutti i cookie o l’impiego di altre tecniche di tracciamento”; “il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti - il cui elenco deve essere tenuto costantemente aggiornato - ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.”