1. Che cosa sono i cookie
Secondo la definizione del Garante, i cookies sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”).
i cookie evidenziano le tracce delle azioni dell’utente sul web durante la navigazione. Infatti questo il documento informatico che si genera sul dispositivo dal quale stiamo navigando, contiene tutte le informazioni che riguardano l’utente e permette allo stesso (ma anche ai publisher) di essere “riconosciuto” nei successivi accessi al sito web.
Trattandosi, dunque, di analisi comportamentale più o meno incisiva, non può che essere attenzionata dalle Autorità Garanti.
I cookie possono essere:
• temporanei (i cosiddetti cookie di sessione) e vengono automaticamente cancellati al termine della sessione di navigazione. Si tratta di strumenti tecnici, che contengono informazioni strettamente strumentali al funzionamento del sito web e delle aree riservate (ad esempio, relative al carrello dell’e-commerce dei prodotti mentre stiamo procedendo all’acquisto);
• analitici che sono quelli che forniscono al gestore della pagina web informazioni statistiche aggregate, ad esempio il numero totale di visitatori per il suo sito, la permanenza su ciascuna sotto pagina, le fasce orarie di collegamento, ovvero le fasce orarie in cui vengono fatti maggiori acquisti. Ogni browser ha i propri cookie analitici e ognuno contiene le istruzioni per disattivarli o cancellarli (che vengono riportate nella cookie policy);
• di profilazione, i quali, sono quelli più invasivi rispetto all’utente ed il cui uso da parte di terzi mira a creare dei profili accurati dell’utente, tracciando in maniera dettagliata (non aggregata) la sua attività e le sue preferenze, al fine di mostrare allo stesso comunicazioni commerciali personalizzate.
2. Gli strumenti di tracciamento passivi
Un esempio di strumento di tracciamento passivo, rispetto al quale l’utente non ha contezza del tracciamento e non può gestirli, è il fingerprinting (letteralmente “impronte digitali”).
Il Garante, lo definisce come quello strumento che fornisce un’impronta del dispositivo utilizzato dall’utente attraverso la registrazione delle sue configurazioni di navigazione (Ad esempio, la lingua impostata oppure la dimensione dei caratteri.
Risulta evidente, infatti, la sussistenza di una notevole differenza tra l’utilizzo di strumenti di tracciamento attivi, quali i cookie, e passivi. Infatti, i primi possono essere disattivati, sia mediante il diniego del consenso, sia mediante la cancellazione manuale e successiva dei cookie all’interno del proprio dispositivo, mentre per quanto riguarda gli identificatori passivi, non vi è la possibilità per l’interessato di cancellarli o di impedire che essi non siano utilizzati.
In questa differenza emerge in modo chiaro il motivo per cui sia il l’European Data Protection Board, che poi successivamente il Garante italiano si siano concentrati particolarmente sull’espressione del consenso online e di conseguenza sugli strumenti di tracciamento che relativamente a tale aspetto offrono ampie criticità.
In linea generale possiamo dire che lo sfruttamento di questi strumenti di tracciamento impone al Titolare del trattamento l’adozione di particolari cautele nel rispetto del principio di accountability, tra le quali l’obbligo informativo chiaro e puntuale nei confronti dell’interessato.
3. Le nuove regole
Il 4 maggio 2020, l’EDPB (European Data Protection Board) ha emanato delle nuove linee guida in materia di consenso al trattamento dei dati personali, e le maggiori novità riguardavano proprio i cookies.
Nello specifico, è stato ribadito che, come da principio generale, il consenso deve essere libero ed il suo mancato conferimento non deve pregiudicare in alcun modo l’interessato, come ad esempio impedirgli di consultare correttamente la pagina web (es. il cookie wall)
Allo stesso modo, in piena attuazione del Considerando 32 al GDPR è altresì vietato anche il consenso implicito, desunto dal semplice atto di scrollare il sito, come si vedrà nel dettaglio più avanti.
Recependo le raccomandazioni dell’EDPB e i principi che sorreggono il GDPR, il Garante della Privacy, dopo averle poste in consultazione pubblica, ha emanato le nuove linee guida, pubblicare il 9 luglio 2021 in Gazzetta Ufficiale.
Le nuove regole, si applicano a tutti i siti web a partire da lunedì 10 gennaio 2022.
Passiamo cosi in rassegna le principali novità
3.1. Consenso come unica base giuridica
Per quanto riguarda i cookie c.d. tecnici, l’unico obbligo del Titolare sarà quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito.
Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso dell’utente interessato.
Il consenso dovrà sempre essere una azione di opt-in e mai di opt-out (le caselle pre-flaggate sono considerate illegittime) in ossequio al principio di data protection by default.
Pertanto l’unica base giuridica valida per l’utilizzo dei cookie e degli altri strumenti di tracciamento è il consenso ed in nessun caso sarà possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.
3.1.1 Come deve essere acquisito il consenso?
Partendo dal presupposto del Considerando 32 del GDPR, ossia che il consenso dovrebbe essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano, e facendo proprie le raccomandazioni espresse dall’EDPB con il parere 5/2020 del 4 maggio 2020, il Garante ha espressamente dichiarato illegittimo il consenso desunto dallo scrolling (scorrere “oltre” il banner, bypassando la richiesta di operare una scelta).
A chiarimento, il Garante non esclude tout court che lo scrolling possa contribuire, unitamente ad altri elementi, a dimostrare l’acquisizione di un valido consenso, ma rimette al principio di accountability del Titolare dimostrare il flusso di acquisizione di un consenso legittimo, previsto by design.
Analogo discorso vale per il c.d. cookie wall, intendendosi con tale espressione un meccanismo vincolante che impedisce all’utente di consultare la pagina web se non presta il consenso. In questo caso è evidente la violazione del GDPR, con particolare riferimento alla libertà del consenso.
3.2. Il banner e la sua riproposizione
Come abbiamo detto, essenziale per l’utilizzo dei cookie è che l’utente sia informato della loro presenza e delle finalità e caratteristiche degli stessi.
Solo i cookie tecnici possono essere utilizzati senza consenso (dovendo pur sempre offrire un’adeguata informativa), mentre per quelli analitici e soprattutto di profilazione, anche di terze parti, è obbligatorio che all’informativa segua l’acquisizione del consenso.
Sarà quindi necessario che il sito presenti un banner contenente:
• un’informativa breve,
• dei pulsanti di uguale dimensione e colore che permettano di scegliere se:
o accettare tutti i cookies
o rifiutare tutti i cookies
o personalizzare la propria scelta.
• un link all’informativa estesa
• un pulsante di chiusura (una X in alto a destra, generalmente) che se azionato chiude il banner mantenendo le impostazioni di default, quindi non installando alcun cookie di profilazione
Fondamentale affinchè si possa ritenere in regola il sito web è che tecnicamente, per impostazione predefinita (privacy by default) non installi alcun cookie diverso da quelli necessari prima che l’utente abbia compiuto la propria scelta.
I tipi di cookie possono essere raggruppati in categorie omogenee, ovvero non è necessario elencare dettagliatamente tutti i cookie presenti, ma solo di quali tipi si tratta, mentre le terze parti devono invece essere elencate specificamente e raggiungibili attraverso specifici link.
3.2.1 La riproposizione del banner,
Una volta compiuta la scelta, il banner non dovrebbe essere riproposto, per non “esasperare” l’utente ed indurlo a compiere una scelta condizionata e non libera solo per togliersi quell’impiccio. Il banner non può essere riproposto se non:
• prima di sei mesi dalla prima scelta effettuata;
• siano mutamenti significativi delle condizioni di trattamento (ad esempio cambiano le tipologie si cookie utilizzati, o le terze parti);
• Sia tecnicamente impossibile sapere se sia stato prestato il consenso;
Secondo il principio generale relativo al consenso espresso al GDPR, l’utente interessato ha sempre la possibilità di modificare la propria scelta relativamente al consenso prestato o negato, e dovrebbe poterlo fare con la stessa facilità con cui è stata compiuta la prima scelta. Il Titolare sarà quindi obbligato ad inserire nel footer di ogni pagina del proprio sito un link che chiaramente spieghi la possibilità di rivedere le proprie scelte sull’utilizzo dei cookie, sia in un senso sia nell’altro.
Chiaramente, qualora i consensi siano relativi a finalità di marketing e profilazione, il Titolare dovrà dotarsi di un apposito database nel back end del sito, per poter gestire questi consensi e poter produrre allo stesso tempo un registro aggiornato degli stessi.
Infine, i consensi ottenuti (lecitamente e validamente) prima del 9 luglio, purché conformi al GDPR e documentabili, restano validi, ma deve essere anche per loro prevista la possibilità di effettuare l’opt-out.
3.3. Informativa privacy e cookie
Come accennato in precedenza, abbiamo due diverse informative necessarie: una breve contenuta nel banner dei cookie ed una estesa esaustiva e completa, che costituisce parte integrante e sostanziale della privacy policy del sito.
Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito ed anche accessibile dal banner stesso, o in prima pagina o nell’area che si apre quando all’utente interessato è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.
L’informativa deve avere le caratteristiche previste dagli artt. 12 e 13, essere chiara e concisa, resa con linguaggio semplice ed accessibile, in modo che sia di facile comprensione anche per i non addetti ai lavori.
Dovrà contenere i dati del Titolare e del DPO se presente, le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati.
Per quanto riguarda nello specifico i cookie o gli altri strumenti di tracciamento, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito.
Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.
4. Conclusioni
Dal 10 gennaio 2022 è obbligatorio adeguarsi a questa normativa, nonché sempre in tema di e-commerce anche ai decreti di conversione delle direttive sulla vendita online di servizi e prodotti.
Presto arriverà anche il Regolamento e-privacy e il Digital Act. Insomma, la normativa è in costante mutamento e anche in tema di cookies, i publisher di terza parte stanno muovendosi per sostituire gli stessi con strumenti diversi.
Risulta pertanto necessario per tutti coloro che hanno un sito web, tenersi costantemente aggiornati, ricorrendo al supporto di un consulente legale per non farsi trovare impreparati ad una eventuale ispezione del Garante, il quale ha inserito nel suo piano semestrale proprio il controllo sul rispetto delle sue Linee Guida.
Per ulteriori approfondimenti date un occhio a questo video https://www.facebook.com/Icenter18/videos/417078113553393