Cookie e altri strumenti di tracciamento: le Linee guida dell’Autorità Garante in consultazione pubblica

Il Garante per la protezione dei dati personali è finalmente intervenuto, dopo un lungo intervallo di tempo, in tema di cookie, avviando, in data 26 novembre 2020, una consultazione pubblica sulle Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento.

L’intervento del Garante, si pone in linea di continuità rispetto alle indicazioni fornite dall’European Data Protection Board (EDPB) nelle nuove linee guida n. 5/2020 sul consenso, adottate il 4 maggio 2020.

L’obiettivo perseguito dall’Autorità con le presenti Linee guida, è dunque quello di aggiornare la disciplina in materia, tenuto conto delle novità giuridiche e dell’evoluzione tecnologica in termini di nuovi strumenti di tracciamento dell’utente sul web e dei relativi comportamenti degli stessi, sempre più orientati verso la diffusione delle proprie identità digitali.

 

Premessa

Nelle Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, l’Autorità Garante ricorda innanzitutto il quadro giuridico vigente allo stato attuale, costituito dalle disposizioni della c.d. direttiva ePrivacy (2002/58/Ce) e s.m., così come recepita all’art. 122 del D.Lgs. 196/2003 (Codice Privacy) e dalle disposizioni del Regolamento UE 2016/679 (GDPR), con particolare riferimento alla nozione di consenso ai sensi degli artt. 4.7 e 7 e del considerando 32 GDPR, così come da ultimo interpretati dalle nuove linee guida n. 5/2020 dell’EDPB.

A tal proposito, sul fronte nazionale, occorre inoltre richiamare il Provvedimento n. 229 dell’8 maggio 2014 del Garante per la protezione dei dati personali, rubricato “Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie”. Tale provvedimento risulta ad oggi ancora vigente, nonostante appunto necessiti di integrazioni ed aggiornamenti.

 

Il concetto di cookie, strumenti di tracciamento e relativa classificazione

Prima di analizzare nel dettaglio le principali novità introdotte dalle Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento sottoposte a consultazione pubblica, riteniamo necessario menzionare alcuni concetti rimasti invariati.

L’Autorità Garante, ripercorrendo lo schema del Provvedimento n. 229 dell’8 maggio 2014, riprende dapprima la nozione di cookie, intesi come delle stringhe di testo di piccole dimensioni che i siti web visitati dall’utente, siano essi di prima o di terze parti, inviano al terminale dello stesso, dove vengono memorizzati per poi essere ritrasmessi agli stessi siti in occasione della successiva visita del medesimo utente. Il Garante precisa poi come per “terminale” si intenda indistintamente un pc, un tablet, uno smartphone o più in generale dispositivi IoT (Internet of Things).

Come ormai ben noto, i cookie possono essere di diverse categorie e svolgere differenti funzioni, tra cui a titolo esemplificativo, monitorare le sessioni di navigazione, agevolare la fruizione dei contenuti online, memorizzare impostazioni informatiche ma anche veicolare la c.d. “behavioural advertising” ovvero la pubblicità comportamentale.

All’interno delle Linee guida, il Garante ricorda dunque come i cookie possano essere distinti in cookie tecnici, cookie analitici e cookie di profilazione:

• i cookie tecnici, ai sensi dell’art. 122 comma 1 del Codice Privacy, vengono utilizzati unicamente per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“;
• i cookie analitici possono essere equiparati ai cookie tecnici laddove utilizzati, dal Titolare del sito, al fine di raccogliere informazioni statistiche, in forma aggregata. I cookie analitici c.d. di “Terza parte” possono essere assimilati ai cookie tecnici qualora venga mascherata almeno la quarta componente dell’indirizzo IP dell’utente e se, tale “terza parte” non combini detti cookie con altre informazioni o li trasmetta a terzi;
• i cookie di profilazione vengono invece utilizzati al fine di creare dei profili relativi all’utente (cluster), così da inviare messaggi pubblicitari mirati in linea con le preferenze manifestate dallo stesso durante la navigazione sul web.

Per quanto riguarda i cookie tecnici e i cookie analitici, nulla cambia rispetto al precedente Provvedimento, rimanendo immutato il mero obbligo di informativa da parte del Titolare, anche mediante il solo inserimento nella Privacy Policy generale, non essendo necessario acquisire, per l’installazione di tali categorie di cookie, il consenso attivo dell’utente. In questi casi non si ritiene dunque necessario ricorrere a specifici banner.

Diversamente, con riferimento ai cookie di profilazione, e così come richiesto dal sopra menzionato art. 122 comma 1 del Codice Privacy, il Titolare del trattamento è tenuto ad acquisire il preventivo consenso dell’utente, fermo restando in ogni caso l’obbligo di informativa ai sensi dell’art. 13 GDPR. In questi casi, il Titolare, dovrà predisporre un banner a comparsa immediata e di idonee dimensioni.

Tutto quanto finora premesso, trova applicazione anche con riferimento ad altri strumenti di tracciamento dell’utente sul web, diversi dai cookie, ma avanti la stessa logica di funzionamento. Si tratta dei c.d. “identificativi attivi” e “passivi”, tra i quali merita di essere menzionato il “fingerprinting”; identificativo passivo che permette di identificare appunto il dispositivo utilizzato dall’utente grazie alla raccolta delle informazioni relative alla configurazione del dispositivo stesso, potendo essere così utilizzato per le medesime finalità di profilazione in ottica di pubblicità comportamentale, nonché per il monitoraggio del comportamento degli utenti.

Sul punto, all’interno delle Linee guida, si evidenzia tuttavia una sostanziale differenza tra l’utilizzo di cookie, quale tecnica attiva e l’utilizzo del “fingerprinting”, quale tecnica passiva.

L’Autorità Garante precisa, infatti come nel primo caso, l’utente abbia sempre la possibilità di negare innanzitutto il proprio consenso all’installazione dei cookie di profilazione ed eventualmente rimuovere direttamente gli stessi, in quanto archiviati nel dispositivo. Al contrario, nel secondo caso, trattandosi di una tecnica appunto passiva, l’utente non potrà rimuovere direttamente tali strumenti, ma dovrà rivolgersi tassativamente al Titolare, poiché in questi casi non vi è un’archiviazione delle informazioni nel dispositivo dell’utente, bensì unicamente una lettura delle configurazioni che lo rendono identificabile ed il cui esito “si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto.”.

Tali altri strumenti di tracciamento, ricalcando la classificazione sopra esposta con riferimento ai cookie, possono essere analogamente distinti in strumenti di tracciamenti tecnici o di natura commerciale.

 

Principali novità: “scrolling” e “cookie wall”

Tra le principali novità introdotte nelle Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, si annoverano indubbiamente il c.d. “scrolling” ed il divieto di utilizzo dei “cookie wall”.

Andando per ordine, l’Autorità Garante, nel ricordare come le regole relative all’acquisizione del consenso online previste nel citato Provvedimento n. 229 dell’8 maggio 2014 siano ancora valide, si allinea al contenuto delle recenti linee guida n. 5/2020 dell’EDPB in tema di “scrolling”, laddove prevedono che il semplice scrolling non sia idoneo ad esprimere la manifestazione di volontà dell’utente all’installazione di cookie di profilazione e dunque non possa essere considerato, in nessuna circostanza, equivalente al rilascio del consenso.

Secondo il Garante, dunque, sebbene lo scrolling sia di per sé inidoneo alla raccolta di un consenso specifico, attivo, inequivocabile e dimostrabile, così come richiesto dal GDPR, e dunque in linea generale non più consentito, lo stesso possa essere utilizzato solo nel caso in cui sia “componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie”. In altre parole, lo scrolling, per poter essere ammesso deve essere inserito in un processo in grado di consentire all’utente di generare un’azione positiva volta a documentare e registrare, presso il server del sito web visitato, in maniera inequivocabile la prestazione del proprio consenso.

Diversamente, per quanto riguarda i c.d. “cookie wall”, l’Autorità Garante si è espressa in termini assoluti nel senso di ritenerli inutilizzabili. Con tale meccanismo, infatti, l’utente verrebbe obbligato a rilasciare il proprio consenso all’installazione dei cookie di profilazione, impedendo altrimenti l’accesso alle pagine del sito web. In ogni caso lo stesso Garante prevede un’eccezione a tale regola, laddove il sito consenta all’interessato di accedere ad un contenuto o ad un servizio all’interno del sito, senza prestare il consenso all’installazione e all’uso dei cookie. Tale eccezione necessita chiaramente di essere valutata caso per caso, alla luce dei principi del GDPR.

 

Consenso e Banner: quali le problematiche

Proseguendo nell’analisi del contenuto delle presenti Linee guida, il Garante affronta inoltre la problematica inerente la frequente riproposizione del banner ad ogni accesso dell’utente al sito web, ricordando come, una volta validamente acquisito, il consenso non debba essere nuovamente richiesto.

I titolari che utilizzano cookie di profilazione e altri strumenti di tracciamento sono dunque chiamati ad implementare meccanismi tali da consentire loro di dimostrare di aver ottenuto validamente il consenso dell’utente, in occasione del primo accesso al sito web.

Sempre con riferimento all’acquisizione del consenso tramite banner, l’Autorità, nel rispetto del principio di privacy by design e by default ai sensi dell’art. 25 GDPR, ricorda come, per impostazione predefinita, non debbano essere installati cookie diversi da quelli tecnici al momento del primo accesso dell’utente. Lo stesso utente dovrà avere quindi la possibilità di mantenere solo le impostazioni di default (cookie tecnici), limitandosi a chiudere il banner cliccando sulla “X” presente in alto a destra dello stesso, senza cioè prestare alcun consenso a tecniche di profilazione.

Laddove invece l’utente intenda prestare il consenso a cookie di profilazione, si rammenta come lo stesso consenso debba presentare tutti i requisiti richiesti dal GDPR, ovvero debba essere libero, specifico, informato, inequivoco e granulare.

Quali informazioni deve contenere il banner?

• Informativa breve: indicazione relativa all’utilizzo da parte del sito di cookie tecnici e, previa acquisizione del consenso dell’utente, di cookie di profilazione o strumenti equiparabili;
• Collegamento alla Privacy Policy (informativa estesa), pubblicata nel footer del sito;
• L’indicazione che la prosecuzione della navigazione mediante un’azione positiva inequivocabile da parte dell’interessato, tale da produrre un evento informatico registrabile, comporta la prestazione del consenso a cookie di profilazione;
• Presenza di un comando attraverso il quale sia possibile esprimere il proprio consenso al posizionamento di tutti i cookie, e dunque anche dei cookie di profilazione;
• Presenza di un link ad un’ulteriore area ove l’utente possa selezionare le funzionalità, le terze parti ed i cookie che intende installare, nonché la possibilità di revocare il consenso espresso.

 

L’informativa

Per quanto riguarda l’informativa, il Garante, da ultimo, suggerisce ai Titolari dei siti web alcuni miglioramenti affinché la stessa sia conforme ai requisiti di cui agli artt. 12 e 13 del GDPR. Più precisamente, ritiene che, oltre a dover essere dislocata su più livelli, “multilayer”, la stessa possa essere anche “multichannel”, ovvero resa tramite più canali e modalità, quali a titolo esemplificativo, pop-up informativi, uso di chatbot, ricorso a canali video.

L’Autorità, nel rispetto del principio di accountability, rimanda chiaramente al Titolare del trattamento la scelta e la valutazione delle modalità più idonee tramite le quali rendere l’informativa all’utente.

 

Conclusioni

Come anticipato in apertura, le Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento sono in consultazione pubblica per un periodo pari a 30 giorni. Non ci resta dunque che aspettare ulteriori ed eventuali sviluppi!