Le nuove Linee Guida in tema di cookie arrivano dopo 7 anni dal precedente provvedimento del Garante per la protezione dei dati del 2014 sul tema, che vanno in realtà più ad aggiornare che ad abrogare.
Il 10 luglio 2021 – con la pubblicazione in Gazzetta della citate Linee guida, l’Autorità Garante Privacy ha infatti ribadito una serie di concetti e di procedure già conosciuti e ormai diffusamente in uso, ma ha anche introdotto nuove specificazioni in materia, volte a rendere l’utilizzo dei cookie e degli altri sistemi di tracciamento sul web sempre più sicuro e comprensibile per l’utente.
Vi segnaliamo l’uscita del video dell’Avvocato Giuseppe Croari in tema di cookies e policy ad hoc, aggiornato alle linee guida del 2022:
Di seguito un breve excursus di tutti i temi affrontati dalle Linee Guida per avere una breve guida esplicativa da seguire per adeguarsi alle novità introdotte entro il termine di 6 mesi previsto dal Garante.
Attenzione alla tipologia di cookie
Posto che, come ben espresso nelle Linee Guida in oggetto, “non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguer[li] oggettivamente,” l’intenzione del Garante è porre l’attenzione sulla necessità di rendere sempre più conosciuti e comprensibili, attraverso gli strumenti e le modalità descritte di seguito, “almeno i criteri di codifica degli identificatori adottati da ciascuno” nell’utilizzo di cookies e altri strumenti di tracciamento online.
-
Cookie tecnici
Viene ripresa dal Garante la definizione di cookie tecnici contenuta nel d.lgs. 196/2003 (c.d. Codice Privacy), precisando nuovamente l’esenzione per i titolari – in questo caso di specie – dall’obbligo di acquisizione del consenso dell’utente, date le funzioni svolte da tali tipologie di cookie, “finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Per questa tipologia di cookie, quindi, si potrà dare informazione direttamente nella homepage del sito o nell’informativa generale e non sarà necessario predisporre banner da sottoporre all’utente.
-
Cookie di profilazione
Ovviamente largo spazio è dato al tema dei c.d. cookie di profilazione, categoria che maggiormente crea problemi e criticità in relazione all’utilizzo del sito da parte dell’utente. Oltre a riconfermare l’idoneità di tali strumenti alla creazione di veri e propri profili degli utenti, al fine di indirizzare attività pubblicitarie e/o di marketing, il Garante ribadisce che il loro utilizzo è lecito esclusivamente previo esplicito consenso dell’utente.
L’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, deve anche avere la possibilità pratica di rimuovere direttamente i cookie, archiviati all’interno del proprio dispositivo.
Ovviamente largo spazio è dato al tema dei c.d. cookie di profilazione, categoria che maggiormente crea problemi e criticità in relazione all’utilizzo del sito da parte dell’utente. Oltre a riconfermare l’idoneità di tali strumenti alla creazione di veri e propri profili degli utenti, al fine di indirizzare attività pubblicitarie e/o di marketing, il Garante ribadisce che il loro utilizzo è lecito esclusivamente previo esplicito consenso dell’utente.
L’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, deve anche avere la possibilità pratica di rimuovere direttamente i cookie, archiviati all’interno del proprio dispositivo.
-
Cookie analitici: quando si usano?
Tema assai delicato è rappresentato dall’utilizzo dei c.d. cookie analitici o statistici. Questo perché tale tipologia di cookie, se di terze parti, potrebbe consentire l’analisi aggregata delle informazioni e compromettere l’anonimizzazione dei dati coinvolti: questa ipotesi, quindi, è assimilata a quella dei cookie di profilazione e pertanto, per la loro attivazione dovrà intervenire il consenso espresso dell’utente.
Per utilizzarli senza consenso, infatti, sarà necessario che sussistano cumulativamente tutte le seguenti condizioni:
- i cookie analitici si riferiscano ad un singolo sito o una sola applicazione mobile;
- venga mascherata almeno l’ultima componente dell’indirizzo IP;
- le terze parti che forniscono i cookie si astengano dal combinare tali cookie analytics con altre elaborazioni in loro possesso o dal trasmetterli a terzi,
- vengano utilizzati in modo anonimo e aggregato.
Cookie Banner: a cosa fare attenzione
Il Garante è intervenuto anche sulle caratteristiche del banner dei cookie, elemento fondamentale per consentire all’utente di prestare – o meno – il proprio consenso in modo consapevole all’utilizzo dei cookie.
-
Contenuto minimo e caratteristiche
Andando quindi a specificare ulteriormente ciò che era contenuto nel provvedimento del 2014, l’Autorità Garante specifica in primis che le dimensioni del banner devono essere tali da rendere consapevole l’utente della sua discontinuità rispetto alla pagina in cui è contenuto. Ciò va fatto considerando sempre le diverse tipologie di dispositivi tramite i quali l’utente potrebbe avere accesso, evitando quindi che lo stesso sia portato a cliccare comandi in modo inconsapevole.
Altra precisazione di fondamentale importanza prevede che l’utente possa, una volta comparso il banner, alternativamente:
- decidere di proseguire nella navigazione anche senza manifestare il proprio consenso;
- decidere in maniera specifica per quali cookie o per quali categorie conferire il proprio consenso: quindi decidere anche di attivare cookie di profilazione o altri strumenti di tracciamento.
A livello contenutistico, in sintesi, il banner deve avere:
- una “X” posizionata in alto a destra, che permette all’utente di chiuderlo anche senza prestare il proprio consenso all’attivazione di cookie diversi da quelli tecnici: chiudere il banner con la “X”, quindi, non vuol dire accettare i cookie;
- una descrizione minima per informare l’utente del fatto che il sito utilizza cookie o altri strumenti tecnici ovvero, previa manifestazione del consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento;
- il Link diretto alla Privacy policy “ovvero ad un’informativa estesa posizionata in un second layer – che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio cui l’utente accede: questo è il documento dove devono essere fornite tutte le informazioni richieste dagli articoli 12 e 13 del GDPR;
- un comando mediante il quale l’utente può accettare l’attivazione di tutti i cookie e strumenti di tracciamento (ad esempio, un tasto “accetto” o “confermo” o simili);
- un apposito link o comando attraverso il quale l’utente possa selezionare in maniera analitica soltanto le funzionalità, i soggetti c.d. terze parti (i fornitori) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo intenda acconsentire. Tutte queste informazioni, ovviamente, devono essere sempre aggiornate.
-
Banner e riproposizione
- Altro tema chiave di queste nuove Linea Guida riguarda la reiterazione della proposta del banner dei cookie all’utente. Quante volte è consentito riproporre il banner per sottoporre all’utente la scelta sull’attivazione o meno dei cookie (diversi da quelli tecnici) durante la navigazione?
- “La riproposizione del banner ad ogni accesso dell’utente finalizzata all’acquisizione di un consenso in precedenza negato o conferito solo parzialmente in relazione ad alcune tipologie di cookie è oggi pratica non conforme al GDPR poiché suscettibile di ledere la libera scelta dell’utente.”
- Questo perché l’utente potrebbe essere portato ad accettare l’attivazione dei cookie presenti nel banner al solo fine di non vedere più apparire il banner stesso, andando così a “tradire” i requisiti che dovrebbe avere il consenso al trattamento dei dati.
- Il banner, quindi, non potrà essere riproposto all’utente che ha rifiutato o accettato solo parzialmente i cookie prima che siano trascorsi almeno 6 mesi, a meno che: 1) ci siano state delle modifiche essenziali, ad esempio l’aggiunta di nuova una terza parte; 2) “quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati).”
Il ruolo cruciale del consenso: divieti ed accorgimenti
Alcuni principi sottolineati dal Garante in questa occasione sono in realtà piuttosto diffusi nella prassi, come il divieto di scrolling quale manifestazione del consenso da parte dell’interessato e l’illiceità (quasi assoluta) del cookie wall.
-
Scrolling e Cookie Wall
Il Garante ribadisce due concetti fondamentali, andando nuovamente a sottolineare l’illiceità di alcune procedure troppo spesso in uso nella pratica. Da un lato, quindi, viene affermato che lo scorrimento della pagina da parte dell’utente al primo accesso ad un sito non può essere considerata una manifestazione inequivocabile del consenso all’attivazione, ad esempio, di cookie di profilazione – ben potendo trattarsi di un semplice gesto involontario o di distrazione.
Dall’altro, viene affrontato nuovamente il tema del “cookie wall”, ossia la tecnica di impedire la navigazione del sito all’utente che non ha previamente accettato l’istallazione dei cookie che richiedono il consenso dello stesso. Cosa viene detto di questa pratica? Viene considerata una modalità di coercizione del consenso, poiché in tale modo l’utente si sentirà “costretto” a manifestare il proprio consenso per poter continuare nella navigazione: tutto questo, come conferma il Garante, non è lecito.
-
Accountability e consenso
Ritorna, poi, il tema dell’accountability, principio generale e fondante di tutto il Regolamento UE, questa volta affrontato con riferimento al tema del consenso e della sua acquisizione. Il Garante precisa, infatti, che il titolare del trattamento, per consentire all’utente di esprimere il consenso all’utilizzo di cookie sul sito, può predisporre qualsiasi soluzione che sia idonea a permettere all’utente di rendere il proprio consenso in maniera chiara ed espressa. L’accountability deve guidare il titolare nella scelta delle tecniche e degli strumenti tecnologici più appropriati da utilizzare per acquisire il consenso, posto che dovrà sempre essere in grado di dimostrare il motivo delle proprie scelte e di aver agito in maniera conforme ai requisiti e alle condizioni previste dal regolamento e dalla normativa privacy in generale.
-
GDPR, informativa e cookie
Altro elemento fondamentale che il Garante ha citato per ultimo nelle sue Linee guida è rappresentato dalle informazioni che devono essere date agli utenti, soprattutto per quanto concerne la parte relativa all’utilizzo di cookie e sistemi di tracciamento su un sito web. Oltre a ribadire i principi cardine contenuti nell’articolo 13 GDPR, il Garante si sofferma su aspetti più tecnici, specificando che l’informativa può essere strutturalmente divisa in più livelli (multilayer) oltre che essere resa attraverso l’utilizzo di più canali o modalità diverse (multichannel).
-
Consensi acquisti prima del 10 luglio: cosa succede?
E se un titolare del trattamento, prima dell’emanazione delle recenti linee guida, non ha rispettato le prescrizioni stabilite dal Garante, dovrà ritenere i consensi acquisiti non validi?
Il Garante specifica che, qualora i consensi acquisiti, al momento della loro raccolta, rispettassero i requisiti e le caratteristiche previsti dal Regolamento Europeo 679/2016 (quindi siano stati regolarmente registrati e siano documentabili), allora potranno essere ritenuti comunque validi.
Legittimo interesse: un monito per il suo utilizzo
In ultimo, occorre segnalare un’importante precisazione che ritroviamo nelle Linee Guida del Garante Privacy, nelle quali si legge che in “nessun caso sarà possibile invocare ad esempio, come è stato invece osservato nel corso delle verifiche effettuate su diversi siti web, la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.” Quindi, l’unica base giuridica utilizzabile per l’istallazione di cookie di profilazione o cookie analitici non assimilabili a cookie tecnici rimane solo il consenso libero, informato ed inequivocabile dell’utente.
Termine di adeguamento per i gestori di siti web
Il Garante, per consentire ai gestori di siti web di prendere contezza e implementare tutte le novità introdotte dalle Linee Guida, ha dato un termine di adeguamento di 6 mesi a partire dalla data della loro pubblicazione nella Gazzetta Ufficiale (10 luglio 2021): il termine ultimo per adeguarsi alle nuove prescrizioni è quindi il 10 gennaio 2022.
Se anche tu hai un sito web e vuoi ricevere assistenza per recepire al meglio le nuove disposizioni del Garante ed evitare il rischio di sanzioni, contatta il nostro studio partner FCLEX, da anni esperto del settore.