Sulla Gazzetta Ufficiale n. 163 dello scorso 9 luglio sono state pubblicate dal Garante per la protezione dei dati personali (Delibera del 10 giugno) le nuove “Linee guida cookie e altri strumenti di tracciamento”.
Il quadro giuridico di riferimento, ad oggi, è costituito dalla direttiva 2002/58/CE c.d. direttiva ePrivacy, recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (di seguito Codice) e dal artt. 4, punto 11) e 7, 12, 13, e 25 del Regolamento in materia di privacy.
L’esigenza di un nuovo intervento del Garante è si è reso necessario per le innovazioni introdotte dal Regolamento europeo in materia di privacy, ma anche da una serie di altri fattori: quali l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati, il crescente uso di tracciatori particolarmente invasivi, etc.
Le suddette linee guida hanno, infatti, l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on-line.
I cookie sono, infatti, stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
ll medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti che pur utilizzando una tecnologia diversa (c.d. identificatori passivi) consentono di effettuare trattamenti analoghi a quelli svolti tramite dei cookie.
I cookie e, in buona misura, gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”).
Possiamo, pertanto, classificare i cookies su due macro categorie:
- cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);
- cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato.
Analogamente, anche gli altri identificatori possono essere catalogati secondo criteri diversi dei quali il principale resta, tuttavia, la finalità per la quale vengono utilizzati: di natura “tecnica” o di natura “non tecnica”, dovendosi intendere quest’ultima categoria in senso ampio, dal momento che l’attuale disciplina di legge pone un generale divieto di trattamento dei dati degli interessati salvo eccezioni specifiche che non sono suscettibili di estensione analogica.
In particolare per l’utilizzo di cookie e degli altri identificatori tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato; i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente.
Di seguito riportiamo i principali contenuti delle linee guida in esame.
In base a quanto previsto dal Regolamento comunitario, l’informativa dovrà indicare anche gli altri eventuali soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni ed inoltre potrà essere resa su più canali e con diverse modalità come ad esempio pop up, video, interazioni vocali. In particolare, se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale; se si trattano anche altri cookies e altri identificatori non tecnici si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:
- L’indicazione che il sito utilizza cookies tecnici, e previo consenso da parte dell’utente cookies di profilazione o altri strumenti di tracciamento indicando le relative finalità;
- Il link alla privacy policy contenente l’informativa completa inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
- L’avvertenza che la chiusura del banner (mediante la selezione di un comando contraddistinto da un apposita X posta in lato a destra) comporta il permanere delle impostazione di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Inoltre per l’acquisizione del consenso il banner dovrà contenere:
- Il comando “X” per chiudere il banner senza prestare il consenso all’uso dei cookie e delle altre tecniche di profilazione mantenendo le impostazioni di default;
- Un comando, invece, dove è possibile accettare tutti i cookies e le altre tecniche di tracciamento;
- Il link ad un’ altra pagina nella quale poter scegliere in modo analitico le funzionalità le terze parti e i cookies che si vogliono installare; inoltre poter prestare il consenso a tutti i cookies se non dato in precedenza e revocarlo. A tal proposito si suggerisce l’impiego di un segno grafico un icona ad esempio: nel footer di ogni pagina di dominio lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento.
Inoltre, nel caso di mancata prestazione del consenso, non si deve reiterare nella richiesta, a meno che:
- mutino significativamente una o più condizioni del trattamento;
- se è impossibile per il gestore del sito sapere se i cookie sia stato già memorizzato nel dispositivo;
- se sono trascorsi almeno sei mesi dalla precedente presentazione del banner.
Nelle linee guida sono, anche, presenti delle informazioni sui cookie analytics ed il Garante precisa che affinchè questi siano equiparati ai tecnici è, in altri termini, indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out), il che equivale impedire l’impiego di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci.
ll Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.
L’auspicio è quello che si addivenga in tempi rapidi ad una codifica di carattere generale, tanto più importante specie nell’attuale mondo connesso online, nel quale le distanze geografiche perdono rilevanza a fronte delle sempre più accentuate potenzialità della rete, il Garante intende richiamare i titolari che facciano impiego di tali strumenti alla necessità di rendere manifesti, mediante apposita, opportuna integrazione dell’informativa, almeno i criteri di codifica degli identificatori adottati da ciascuno.
Vengono, inoltre, forniti taluni chiarimenti in relazione all’utilizzo del c.d. scrolling ai fini della raccolta del consenso all’installazione e all’utilizzo di cookie ed altri strumenti di tracciamento nonché all’utilizzo del c.d. cookie wall.
Il Garante condivide l’opinione dell’EDPB: il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento a meno che venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento registrabile e documentabile presso il server del sito.
Tale conclusione risulta d’altro canto coerente, oggi, con il richiamato approccio regolamentare teso alla valorizzazione dell’accountability.
Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.
Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.
I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.
