A inizio dicembre il Garante ha deliberato di adottare le “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” e di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette Linee guida.
Il Garante è dunque intervenuto a distanza di oltre 5 anni facendo seguito al provvedimento n. 229 dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati e l’acquisizione del consenso per l’uso dei cookie”, alle successive FAQ in materia di informativa e consenso per l’uso dei cookie del 3 dicembre 2014 ed ai “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015.
La definizione di Cookie e la loro classificazione.
Riprendendo la definizione già fornita dal Garante nel 2014, i cookie sono stringhe di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l´utente sta visitando.
I cookie possono svolgere diverse funzioni, dal permettere adempimenti strettamente connessi alla operatività stessa dei siti web (cookie tecnici) alla possibilità di veicolare la pubblicità comportamentale e misurare poi l’efficacia del messaggio pubblicitario (cookie di profilazione). Queste differenti funzioni, come vedremo, determinano una diversa disciplina dal punto di vista dell’obbligo di rilascio dell’informativa e di acquisizione del consenso.
E’ importante evidenziare l’esistenza di ulteriori strumenti di tracciamento che permettono le stesse attività svolte dai cookie e che, come rimarcato dal Garante nelle Linee guida, devono essere sottoposti alla medesima disciplina.
Il consenso online: chiarimenti su “scrolling”, “cookie wall” e accessi successivi
Sulla base delle disposizioni della direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), per l’utilizzo dei cookie tecnici, il titolare dovrà assolvere al solo obbligo di fornire l’informativa senza dover acquisire alcun consenso. Nel caso dei cookie di profilazione, invece, il titolare dovrà altresì richiedere il consenso dell’utente.
Il quadro giuridico di riferimento deve dunque guardare sia alla direttiva ePrivacy summenzionata sia al GDPR, da quest’ultimo punto di vista soprattutto per ciò che concerne la definizione del consenso e delle sue caratteristiche.
Nelle recenti Linee guida, il Garante ha confermato la modalità di acquisizione del consenso disciplinata nel provvedimento del 2014 evidenziando tuttavia l’opportunità di fornire alcuni chiarimenti quanto alla tecnica dello “scrolling” ed al meccanismo del “cookie wall”.
La tecnica dello scrolling, diffusa nella prassi anche in Italia, consiste nel procedere alla raccolta del consenso all’installazione e utilizzo dei cookie diversi da quelli tecnici attraverso il semplice ricorso al c.d. “scroll down”, l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve.
Il Garante ha chiarito che la semplice tecnica dello “scrolling” o “scroll down”, non è adatta alla raccolta di un idoneo consenso per i cookie di profilazione.
Tale tecnica può essere legittima solamente quale componente di un procedimento più articolato che permetta all’utente di generare un evento documentabile presso il server del sito che possa essere qualificato come azione positiva di manifestazione inequivoca del consenso.
Si fa riferimento a modalità procedimentali evolute basate sul c.d. “web dinamico”, che consentano la fluida comunicazione degli eventi generati dall’utente durante la navigazione (per esempio i movimenti del mouse all’interno del sito) e la corrispondenza degli stessi a cambiamenti di stato di specifiche aree del sito (per esempio cambiamenti di colore, formato, posizione, etc.) da interpretare come una forma di manifestazione e registrazione del consenso.
In ogni caso, a prescindere dalle modalità attuative prescelte, l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out).
In futuro il Garante auspica l’adozione di una codifica standardizzata relativa alla tipologia dei comandi, dei colori e delle funzioni da implementare all’interno dei siti web per conseguire la più ampia uniformità.
Le Linee Guida hanno inteso fornire chiarimenti anche in merito al cd. cookie wall, intendendosi con tale espressione un meccanismo di “take it or leave it”, nel quale l’utente viene obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito.
Questa tecnica non è conforme alle caratteristiche di un consenso libero, specifico, informato e inequivocabile dell’interessato come stabilito dal GDPR. Le Linee guida fanno salva la sola ipotesi nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.
Per quanto riguarda, inoltre, gli accessi successivi allo stesso sito, una volta raccolto il consenso, questo non dovrà essere nuovamente acquisito salvo per il caso in cui siano mutate una o più delle condizioni sussistenti al momento della raccolta o quando sia impossibile, per il gestore del sito, sapere se un cookie sia stato già memorizzato nel dispositivo (ad esempio nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo e il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso).
Banner e informativa
Le Linee Guida confermano l’impostazione per cui se si utilizzano solo cookie tecnici, di essi potrà essere data informazione nella home page o nell’informativa generale senza l’esigenza di appore specifici banner da rimuovere a cura dell’utente. Se si trattano anche altri cookie, invece, è necessario utilizzare il banner a comparsa con la richiesta del consenso.
Per quanto riguarda la sola informativa il Garante evidenzia la necessità che sia conforme ai rinnovati requisiti imposti dagli articoli 12 e 13 del GDPR, compresa, ad esempio, l’indicazione degli eventuali altri soggetti destinatari dei dati personali, dei tempi di conservazione delle informazioni acquisite e dell’esercizio di tutti i diritti previsti.
Inoltre, mediante un’opportuna integrazione al contenuto dell’informativa, il titolare dovrà altresì indicare i criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati.
Con riferimento al banner, alla luce del mutato assetto normativo ed in particolare della definizione di “privacy by default”, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici dovrà essere posizionato all’interno del suo dispositivo, né dovrà essere utilizzata alcuna altra tecnica attiva o passiva di profilazione.
I gestori dei siti web dovranno attuare un meccanismo tramite il quale l’utente che accede, visualizzerà immediatamente un banner di dimensioni tali da rappresentare une discontinuità nella fruizione dei contenuti e che permetterà l’eventuale espressione di un’azione positiva nella quale deve sostanziarsi la manifestazione del consenso.
Il banner dovrà contenere almeno le seguenti informazioni,
1. l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
2. il link alla privacy policy contenente l’informativa completa;
3. l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano…” che produca un evento informatico registrabile comporta la prestazione del consenso alla profilazione;
4. un comando per accettare tutti i cookie o altre tecniche di tracciamento;
5. il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso;
6. un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione e mantenendo le impostazioni di default per i soli cookie tecnici.
I cookie analytics di prima parte e delle cd. terze parti
Le Linee Guida fanno anche riferimento ai cookie analytics, cookie utilizzati per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
Nell´ottica della semplificazione perseguita dal Garante nel 2014-2015 era stato chiarito come i cookie analytics potessero essere assimilati ai cookie tecnici laddove realizzati e utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso (senza, dunque, l´intervento di soggetti terzi) per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitassero il sito stesso.
Facendo poi riferimento all’utilizzo da parte dei siti, molto spesso e per meri fini statistici, di cookie analytics realizzati e messi a disposizione da terze parti, in questi casi si era ritenuto che i succitati siti non fossero soggetti agli obblighi e agli adempimenti previsti dalla normativa qualora fossero stati adottati strumenti idonei a ridurre il potere identificativo dei cookie analytics utilizzati (ad esempio, mediante il mascheramento di porzioni significative dell´indirizzo IP).
Le Linee Guida hanno inteso definire meglio le condizioni di equiparazione tra cookie tecnici e analytics alla luce del GDPR e del principio di privacy by design.
Il Garante ritiene che tale principio possa essere applicato attraverso la significativa riduzione del potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”, in modo che sia precluso pervenire, mediante il loro impiego, alla diretta individuazione dell’interessato (cd. single out).
Di regola questo effetto si ottiene integrando la struttura dell’indirizzo IP all’interno del cookie e mascherando opportune porzioni di quell’indirizzo. Le Linee guida specificano dunque che i cookie analytics saranno equiparabili ai cookie tecnici solo se sarà mascherata almeno la quarta componente dell’indirizzo IP.
Saranno necessarie però altre condizioni in quanto i dati, anche così minimizzati, non dovranno comunque essere combinati con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o trasmessi a terzi, pena l’inaccettabile incremento delle potenzialità e dunque dei rischi di identificazione dell’utente.
Infine il Garante sottolinea, ai fini dell’assimilazione ai cookie tecnici, la necessità che i cookie analytics vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.