Nuove linee guida sui cookie dal Garante Privacy
Con l’obiettivo di dare maggiore potere di controllo agli utenti durante la navigazione online, il Garante per la protezione dei dati personali, a distanza di sette anni dall’ultimo provvedimento sui cookie, ha emanato nuove linee guida sul loro utilizzo.
I titolari dei siti hanno sei mesi di tempo per adeguarsi alle nuove direttive del Garante.
Le passate Linee guida sull’impiego dei cookie adottate con il provvedimento del Garante n. 229, dell’8 maggio 2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, pubblicato nella Gazzetta Ufficiale della Repubblica italiana del 3 Giugno 2014, serie Generale, n. 126, del 3 giugno 2014, infatti, erano state adottate dal Garante per la protezione dei dati personali con il provvedimento del 2014 e quindi erano precedenti all’entrata in vigore del Regolamento n. 679/2016.
L’aggiornamento delle linee guida sui cookie, quindi, è stato compiuto per adeguare le passate indicazioni ai principi del GDPR, ma non solo. Il Garante, con le nuove istruzioni sull’uso dei cookie, ha inteso altresì fornire una definitiva risposta ai numerosi reclami, richieste di parere e segnalazioni pervenute all’Autorità nel corso di questi ultimi anni, dubbi e questioni che si sono concentrate sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; l’aumento dell’uso di tracciatori particolarmente invasivi; l’incremento delle identità digitali degli utenti come risultanti dall’accesso a più servizi e funzioni disponibili e, in primo luogo, ai social network che incoraggia l’incrocio dei loro dati e la realizzazione di profili sempre più puntuali.
Le odierne linee guida tengono conto degli esiti della consultazione pubblica avviata dal Garante lo scorso anno con la deliberazione n. 255 del 26 novembre 2020 mediante pubblicazione del relativo avviso nella Gazzetta Ufficiale della Repubblica Italiana – serie generale, n. 307 dell’11 dicembre 2020 in cui è stata pubblicata la bozza di quello che è il documento finale in esame.
Secondo quanto previsto dal provvedimento del Garante Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, il meccanismo adottato dal gestore del sito per richiedere il consenso on line all’impiego dei cookie dovrà innanzitutto assicurare in maniera effettiva che, per impostazione predefinita (privacy by default), al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga piazzato all’interno del dispositivo dell’utente o che venga impiegata diversa tecnica di tracciamento attiva (tipo, cookie di terze parti) o passiva (ad esempio, il fingerprinting ossia quella tecnica che consente di identificare il dispositivo utilizzato dall’utente attraverso la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso utilizzata dall’interessato. Si tratta di una tecnica particolarmente invasiva che può essere utilizzata per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata e all’analisi e monitoraggio dei comportamenti degli utenti di siti web, ovvero per adeguare i servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento sono dunque essere inclusi nell’ambito di applicazione delle presenti Linee guida).
Nel nuovo provvedimento, l’Autorità si sofferma in particolare sulla differenza tra l’impiego di una tecnica attiva come quella relativa ai cookie ed una passiva, come quella riferita al fingerprinting.
Nei cookie, infatti, l’utente che non intenda essere profilato, oltre a non fornire il proprio consenso, o esercitare i diritti che gli sono propri in base al Regolamento, ha anche la possibilità concreta di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo, cancellando la cronologia.
Per quanto riguarda invece il fingerprinting e gli altri identificatori “passivi”, l’utente non è in grado di compiere alcuna azione in autonomia, poiché, in questo caso, per qualunque azione su tali tecniche di osservazione del comportamento dell’utente che naviga sulla rete Internet, occorre necessariamente l’intervento del titolare. In tal caso, infatti il titolare non archivia alcunchè sul dispositivo dell’utente, ma si limita ad osservare le configurazioni del suo dispositivo, creando profili specifici a cui l’interessato non può, naturalmente, accedere e del quale profilo potrebbe, ancora peggio, essere inconsapevole.
E’ noto che uno degli obiettivi sottesi alle regole del Regolamento n. 679/2016 è quello di assicurare maggiore controllo sui propri dati all’interessato ed è per questo motivo che il Regolamento medesimo insiste sui requisiti della richiesta di consenso quale manifestazione di volontà dell’interessato al trattamento dei suoi dati personali; in tal senso, il titolare del trattamento oltre ad assicurarsi che tale manifestazione di consenso sia libera, specifica ed informata, come anche “inequivocabile”, deve garantire altresì concreta ed efficace attuazione dei principi di protezione dati venga conseguito sin dalla progettazione e attraverso impostazioni predefinite (cd. privacy by design e by default).
Vediamo, in sintesi, cosa dicono le nuove Linee guida del Garante privacy 2021 sui cookie.
Informativa
Nel rispetto del Regolamento n. 679/2016, l’informativa agli utenti dovrà espressamente riportare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su diversi canali e con differenti modalità (ad esempio, con pop up, video, interazioni vocali).
Rimane valido l’obbligo di rendere la sola informativa quando si utilizzano esclusivamente i cookie tecnici, anche eventualmente inclusa nell’informativa generale.
Il Garante raccomanda inoltre che i cookie analytics, impiegati per valutare l’efficacia di un servizio, siano utilizzati unicamente a scopi statistici.
Consenso
Per attivare cookie di profilazione sul dispositivo dell’utente è necessario ottenere il consenso, il quale va richiesto sempre mediante un banner ben visibile sulla pagina web di atterraggio dell’utente; con tale banner è doveroso concedere all’utente la possibilità di proseguire la navigazione senza essere in alcun modo tracciato; sostanzialmente, se l’utente chiude il banner dalla classica “X” non si deve attivare alcun cookie se non quelli tecnici.
Riguardo in particolare allo scrolling, ossia lo spostamento del cursore verso il basso, il Garante riprende le indicazioni del Comitato Europeo per la protezione dei dati personali (parere n. 5/2020, del 4 maggio 2020), precisando che il mero movimento verso il basso del cursore (scroll down) non può essere considerato una valida manifestazione del consenso.
I titolari dei siti (publisher) che intendano utilizzare lo scrolling come dichiarazione espressa di consenso all’attivazione dei cookie, dovranno prevedere un iter più articolato con cui l’utente sia messo nelle condizioni di essere consapevole dell’azione che sta compiendo come inequivoca manifestazione del proprio consenso all’attivazione dei cookie, che tra l’altro deve essere tracciata e documentata dal publisher.
Qualora, scrive il Garante nel suo provvedimento, nel caso concreto, all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche anche sotto il profilo della consapevolezza per lo stesso utente, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.
Anche per quanto concerne i cookie wall, il nostro Garante si pone in linea diretta con le indicazioni fornite a suo tempo dal Comitato Europeo, sottolineando che, siffatto meccanismo è illegittimo, a meno che il titolare del sito permetta comunque agli utenti l’accesso a contenuti o servizi analoghi senza richiesta di consenso all’uso dei cookie o di altri tracciatori (da valutare caso per caso).
Il banner cookie
Una novità interessante riguarda invece la ripresentazione del banner ad ogni nuovo accesso al sito da parte di un utente che in precedenza lo abbia negato. Secondo il Garante si tratta di una misura eccessiva e invasiva che deve essere evitata, poiché finisce per indurre l’utente a prestare il consenso pur di proseguire nella navigazione senza banner contenente l’informativa breve e la richiesta di prestazione del consenso.
Se, pertanto, un utente non manifesta il proprio consenso all’attivazione dei cookie, tale scelta dovrà essere opportunamente registrata e al nuovo accesso dell’utente, il banner non deve riattivarsi, ma dovranno attivarsi solo i cookie tecnici, salvo che:
- le condizioni del trattamento non cambino;
- sia impossibile sapere se un cookie sia già memorizzato nel dispositivo (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati);
- siano trascorsi almeno 6 mesi.
Resta fermo, in ogni caso, il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.
Il Garante si augura che si arrivi presto ad una regolamentazione universamente accettata sui cookie che permetta di identificare con chiarezza a livello semantico, i cookie tecnici, quelli analytics e quelli di profilazione, nel frattempo l’Autorità chiede ai gestori dei siti di precisare espressamente nell’informativa i criteri di codifica dei tracciatori adottati da ciascuno.