Linee guida cookie e altri strumenti di tracciamento: ultimi mesi per adeguarsi
Il Garante, visto il lungo intervallo di tempo trascorso dal suo ultimo provvedimento in materia e viste le importanti novità apportate nel 2016 dal GDPR, ha ritenuto opportuno intervenire con un nuovo provvedimento che tenesse conto delle prassi, delle segnalazioni e delle richieste di pareri pervenute all’Autorità, con il fine di fornire una sempre più specifica disciplina dei cookie vista la rilevanza e l’impatto che questi hanno sui dati personali.
Il Garante definisce i cookie come “delle stringhe di testo che i siti web (cd. Publisher) visitati dall’utente ovvero siti o web server diversi (cd. terze parti) posizionano ed archiviano all’interno di un dispositivo terminale (computer, tablet, smartphone) nella disponibilità dell’utente medesimo”.
I dati che vengono codificati nei cookie possono essere dati personali, ad esempio, l’indirizzo IP, un nome utente, un indirizzo e-mail, ma anche dati non personali come le impostazioni della lingua. È evidente che nel caso di dati personali vi debba essere un pieno rispetto sia del GDPR sia delle indicazioni fornite dal Garante, al fine di assicurare un corretto trattamento dei dati degli interessati.
I cookie non sono l’unico strumento che effettua un trattamento siffatto dei dati personali, le Linee guida di giugno 2021 fanno infatti riferimento anche ad “altri strumenti di tracciamento” i quali devono ugualmente rispettare la medesima disciplina.
È possibile distinguere tra identificatori attivi, come i cookie, e identificatori passivi, come il fingerprinting[1]. La principale differenza intercorrente tra queste due tipologie è da ravvisarsi nella tecnica utilizzata: attiva, per i cookie, la quale permette all’utente che non vuole essere profilato di rifiutare di prestare il consenso o ricorrere ai diritti sanciti agli artt. 15 e ss del GDPR; passiva, per gli strumenti come il fingerprinting, dove l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente ricorrere al titolare. Gli identificatori passivi, infatti, non archiviano nessuna informazione nel terminale dell’utente, bensì si limitano ad osservare le configurazioni che adotta, rendendolo così identificabile al titolare.
Le novità più rilevanti introdotte dalle Linee guida di giugno 2021 riguardano il consenso e l’informativa.
Consenso
Da una lettura combinata della direttiva ePrivacy e del GDPR si evince come il consenso vada acquisito ogni qualvolta vi siano dei cookie non tecnici. Deve trattarsi di un consenso inequivocabile, libero, specifico, informato, verificabile e revocabile.
Con le Linee guida del 2021 il Garante ha voluto precisare l’inidoneità della modalità di acquisizione del consenso online tramite “scrolling” (scorrimento della pagina web). Come già affermato dall’EDPB nel 2020, il semplice scrolling non è mai idoneo ad esprimere compiutamente la manifestazione di volontà dell’interessato, tale modalità, infatti, non permette all’interessato di esprimere un consenso valido ai sensi del GDPR. È ammesso, dal Garante, l’utilizzo dello scrolling all’interno di una procedura più complessa di acquisizione del consenso, dove l’utente può segnalare al titolare del sito, una volontà inequivocabile, consapevole e documentabile di acconsentire all’uso di cookie, evitando così che erronee interpretazioni di azioni casuali configurino dei “falsi positivi”.
All’interno del medesimo contesto, il Garante ha voluto evidenziare l’illiceità del meccanismo dei cd. cookie wall, dove l’utente si trova obbligato, senza alternativa, ad esprimere il proprio consenso, senza il quale non ha accesso al sito. Come poc’anzi ricordato, il consenso previsto dal GDPR deve essere libero, una siffatta modalità di acquisizione è quindi certamente illecita.
In egual maniera, la reiterazione della richiesta di consenso in presenza di una precedente mancata prestazione dello stesso, con riproposizione del banner ad ogni nuovo accesso, costituisce una possibile lesione della libertà nella prestazione del consenso da parte dell’utente, il quale, pur di non vedere nuovamente apparire il banner accetta l’uso dei cookie. Il titolare dovrà dunque registrare la scelta dell’utente, sia essa di accettazione o rifiuto dei cookie, fino a quando non mutino significativamente le condizioni del trattamento o fino a quando il titolare non abbia la possibilità di accertare se un cookie sia stato già in precedenza memorizzato sul dispositivo o quando siano trascorsi almeno 6 mesi dalla precedente scelta.
Rilevante novità dal punto di vista pratico – operativo concerne l’obbligo, per i titolari, di predisporre all’interno del banner in cui si avvisa della presenza di cookie, la possibilità per l’utente di mantenere le impostazioni di default e di conseguenza non prestare il proprio consenso al posizionamento dei cookie.
Il titolare deve inserire il comando di chiusura del banner, una X, o un pulsante in cui si da la possibilità di rifiutare i cookie, senza obbligare l’utente ad accedere ad altre aree o pagine a ciò dedicate. Le modalità di prosecuzione nella navigazione senza prestare alcun consenso all’uso dei cookie non devono differire da quelle previste per la prestazione del consenso.
Graficamente il banner, che dovrà costituire “una percettibile discontinuità nella fruizione dei contenuti”, dovrà contenere:
- La possibilità di rifiutare l’uso dei cookie, con l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default, senza cookie o altri strumenti di tracciamento diversi da quelli tecnici;
- Un’informativa minima del fatto che il sito utilizza cookie o altri strumenti di tracciamento;
- Link alla cookie e privacy policy
- Comando in cui si esprime il proprio consenso accettando il posizionamento di cookie o altri strumenti di tracciamento
- Link ad un’area in cui venga data la possibilità all’utente di selezionare analiticamente i cookie di profilazione o gli strumenti di tracciamento non tecnici.
Si ricorda che nel caso vi siano unicamente cookie tecnici, di essi potrà essere data informazione nella homepage o nell’informativa generale senza la necessità di predisporre un banner specifico.
In ogni caso, dovrà essere prevista la possibilità per l’utente di modificare facilmente le scelte compiute in ogni momento, prevedendo un’apposita area nel footer del sito con un link a ciò dedicato.
L’informativa da rendere agli interessati
Infine, tra le novità introdotte dalle Linee guida del 2021 vi è la predisposizione di un’informativa più puntuale che permetta di rendere noto agli utenti:
- Gli eventuali altri destinatari dei dati personali
- I tempi di conservazione delle informazioni acquisite
- I diritti previsti agli artt. 15 e ss GDPR che l’interessato può esercitare
- I criteri di codifica degli identificatori
Il Garante ha dato un termine di 6 mesi ai titolari per conformarsi a quanto indicato nelle Linee guida, vi è dunque tempo fino al 10/01/2021 per aggiornare i siti web.
Lo studio rimane a disposizione per ulteriori chiarimenti.
[1] Tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.