In dicembre sono state pubblicate in Gazzetta Ufficiale, poi oggetto di consultazione pubblica, le nuove linee guida sui cookies redatte dal Garante della Privacy: novità giuridiche e di progressi tecnici in termini di strumenti di tracciamento utente tese a fare chiarezza sul corretto utilizzo dei cookies da parte dei gestori di siti web e a sanzionare comportamenti scorretti.

La situazione emergenziale che stiamo vivendo ha contribuito ad un aumento esponenziale dell’utilizzo di internet. Piccoli e grandi, esperti e non, ricorrono quotidianamente al world wide web – tramite smartphone, pc e altri dispositivi – per lavoro, per informarsi, fare acquisti, tenersi in contatto con amici e parenti, o più semplicemente per svago. Social network, e-commerce ed altri siti web assumono un ruolo sempre più importante nella vita dei singoli individui quanto nelle società odierne.

E proprio in questo contesto che vanno lette le iniziative di varie autorità nazionali per la protezione dei dati tra cui, appunto, la redazione di nuove regole da parte del Garante. Di seguito una breve panoramica sui cookies e le principali novità introdotte.

Cookies di profilazione: cosa sono, a cosa servono…

Contrariamente a quanto sembra suggerire la traduzione del termine dall’inglese all’italiano, da Wikipedia il significato informatico:

Gli HTTP cookie (pron. /ˈkuki/; più precisamente denominati cookie web, o per antonomasia cookie) sono un tipo particolare di magic cookie (una sorta di gettone identificativo) e vengono utilizzati dalle applicazioni web lato server per archiviare e recuperare informazioni a lungo termine sul lato client.”

Prima di individuare le diverse funzioni che possono svolgere i cookie è opportuno soffermarsi sul contenuto dell’art. 5. par. 3 della Direttiva 2002/58/CE (“Direttiva ePrivacy”), secondo cui:

Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE [oggi occorre fare riferimento al Regolamento 2016/679 che ha abrogato detta direttiva], tra l’altro sugli scopi del trattamento.”

La norma prosegue:

Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio.”.

La Direttiva ePrivacy, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, si pone in un rapporto di specialità rispetto al Regolamento 2016/679 e dunque l’art. 122, comma 1, del decreto legislativo n. 196/2003 (“Codice privacy”), che ha recepito sostanzialmente la norma sopra richiamata, continua a trovare applicazione anche dopo il 25 maggio 2018, data a decorrere dalla quale si applica il Regolamento. Quest’ultimo, a sua volta, al ricorrerne dei presupposti, troverà applicazione alle fattispecie non disciplinate dalla Direttiva ePrivacy. E così troveranno applicazione, tra le altre, le norme del Regolamento che disciplinano il consenso.

Premesso ciò, di seguito elenchiamo, in base alla funzione che possono svolgere, tre categorie di cookies.

  1. Cookies tecnici: utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’utente a erogare tale servizio.
  2. Cookies analitici, equiparabili ai cookie tecnici al ricorrere di determinate condizioni.
  3. Cookies di profilazione: utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Affinché possano utilizzarsi lecitamente cookie di profilazione, il consenso dovrà rispettare i requisiti di validità prescritti dal Regolamento.

Pratiche scorrette

Il Garante ribadisce quanto già affermato dal Comitato europeo per la protezione dei dati, e cioè che non possono portare a una manifestazione lecita di consenso le pratiche c.d. di:

  • cookie wall”, vale a dire quel meccanismo nel quale l’utente venga obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito;
  • scrolling”, o “scroll down”, ossia l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve.

Allo stesso modo, e per le stesse motivazioni, non dovrebbe ritenersi valido il consenso espresso mediante prosieguo della navigazione e click su un qualsiasi punto della pagina visitata. Né tantomeno il consenso acquisito tramite casella preselezionata.

Il Garante, inoltre:

  • si esprime in senso negativo sulla problematica di reiterazione della richiesta di consenso mediante la presentazione di apposito banner ad ogni nuovo accesso dell’utente al medesimo sito internet;
  • chiarisce che “l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out)”;
  • ammette il ricorso a forme che consentano di accettare e/o revocare in un’unica azione le scelte relative ai consensi fatte dall’utente in precedenza.
consenso-cookies

Cookies di profilazione: le novità per le regole privacy

Cookies tecnici e analitici

Nessun cambiamento in relazione ai cookie tecnici, ancora assoggettati, come in passato al semplice obbligo di informativa. Identicamente, quelli analitici anche di terze parti che restano equiparabili ai cookie tecnici solo se vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile; se viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP; oppure se le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.

Un elemento importante è che laddove il sito consenta l’installazione dei soli cookie tecnici, di essi potrà essere data informazione nella home page o nell’informativa generale senza l’esigenza di appore specifici banner da rimuovere a cura dell’utente.

Cookies di profilazione: profilazione e consenso 

Scrolling

In tema di profilazione e consenso, invece, lo scrolling non è più consentito (in ottemperanza alle richiamate linee guida 5/2020). Il Garante specifica che a non essere in linea con la disciplina attualmente in vigore è il consenso prestato attraverso il solo e semplice scrolling down perché non consente di poter considerare il consenso come manifestato in modo inequivocabile.

Si legge, infatti: “Lo scrolling, tuttavia, può essere una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie.”

Cookies wall

Nella formula “take it or leave it” i cookies wall sono inutilizzabili perché in questo caso il consenso sarebbe “estorto” e pertanto non valido. Stesso discorso anche per ciò che riguarda il meccanismo di acquisizione del consenso online tramite banner nessun cambiamento particolare.

Il rispetto dei principi di privacy by design e by default infatti impone che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione.

Pertanto, dovrebbe essere presente un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.

In ottemperanza al noto principio di granularità del consenso, inoltre, si chiede che l’utente sia messo in condizione di accettare tutti o soltanto alcuni dei cookie e che questi siano impostati di default su diniego all’installazione dei cookie.

Codifica standardizzata

Al fine di migliorare trasparenza ed usabilità dei siti, viene chiesto di adottare una codifica standardizzata relativa alla tipologia dei comandi, dei colori e delle funzioni da implementare all’interno dei siti web per conseguire la più ampia uniformità.

Un aspetto importantissimo, da tenere in considerazione, è che non è necessario reiterare il consenso dell’utente all’installazione dei cookie qualora questo sia stato precedentemente prestato, validamente acquisito (e il titolare è in grado di provarlo) e non ci sia stato nessun mutamento dei cookie; in ogni caso deve essere sempre possibile revocarlo.

La pagina iniziale del sito dovrà rendere sempre disponibile il link alla privacy policy nonché all’area dedicata alle scelte di maggiore dettaglio. In questa area andranno indicati i comandi relativi alle scelte granulari e due ulteriori comandi che consentano di modificare anche in blocco una scelta precedente; uno per acconsentire all’impiego di tutti i cookie o di altri strumenti di tracciamento per chi non vi avesse acconsentito in precedenza, l’altro per revocare, anche in unica soluzione, il consenso eventualmente già espresso.

Informativa

In tema di informativa, si ritiene che questa, oltre che multilayer, possa ad oggi essere resa, in base alle necessità, anche per il tramite di più canali e modalità (cd. multichannel) ad esempio attraverso il ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all’impiego del telefono, al ricorso a chatbot, etc.

Si precisa quindi che, in applicazione del principio di accountability, spetta al titolare, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento.

Altri sistemi di tracciamento

Il richiamo agli altri sistemi di tracciamento è la vera novità di queste linee guida. Il Garante, infatti, ricorda che la veicolazione di pubblicità comportamentale non avviene solamente con l’utilizzo di cookie (identificatori attivi) ma anche attraverso altri strumenti quali, ad esempio, il fingerprinting (identificatori passivi) e pertanto devono dunque essere ricompresi nell’ambito di applicazione delle Linee guida.

In casi come questo occorre prestare attenzione al fatto che l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare.

gdpr

Cookies di profilazione: aggiornamento necessario in Italia

In Italia vige ancora il provvedimento dell’8 maggio 2014, documento molto ben redatto ma entrato in vigore prima del GDPR (e quindi dell’introduzione dei principi di privacy by design e privacy by default e del principio cardine di tutto l’impianto normativo, quello dell’accountability) e prima che l’EDPB, con il provvedimento 5/2020, modificasse le linee guida sul consenso proprio limitatamente alla parte relativa ai cookie.

Il Garante è consapevole che il provvedimento attualmente in vigore aveva bisogno solo di qualche specificazione ulteriore ed infatti, in molti passi delle linee guida si percepisce, laddove non è espresso chiaramente, il rimando alla precedente normativa di cui, si ripete, queste linee guida sembrano un semplice aggiornamento.

Ci si auspica che l’iniziativa del Garante possa incentivare i gestori dei siti web a predisporre meccanismi di raccolta e utilizzo di dati degli utenti trasparenti e a scoraggiare l’adozione o la prosecuzione di pratiche non corrette.

Se necessiti di assistenza per adattare la tua attività e/o azienda al Regolamento Europeo per la Protezione dei Dati Personali e alle nuove linee guida in materia di cookies, affidati a Nexsys. Attraverso un pratico servizio di adeguamento creato dai nostri esperti per curare a 360° la protezione dei dati sensibili, mettendo insieme le competenze eterogenee richieste dalla normativa in un pacchetto unico e definitivo.