Web Analytics Italia: cookie tecnici o cookie di profilazione?
Tali cookie, tuttavia, di default vengono inseriti all’interno della categoria dei cd. cookie di profilazione, il cui utilizzo deve essere oggetto di espresso consenso da parte dell’interessato. Ne deriva che spesso il loro utilizzo non viene autorizzato dai visitatori dei siti web e, di conseguenza, l’Ente può perdere una notevole parte di dati che può utilizzare a fini statistici.
In relazione a ciò, ci si è chiesto se via siano modalità di trattamento dei cookies ammissibili anche senza l’espresso consenso dell’interessato.
In generale, la normativa a tutela dei dati personali classifica i cookie e gli altri strumenti di tracciamento in due macro categorie: cookie tecnici e cookie di profilazione.
I cookie tecnici vengono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, co. 1 Codice Privacy).
I cookie di profilazione, diversamente, vengono utilizzati per ricondurre a soggetti determinati, identificati, identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzioni offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
La risposta al quesito impone, così, di individuare dove si collocano i cd. cookie analytics che vengono gestiti da Web Analytics Italia. L’esatta collocazione dei suddetti cookie all’interno dell’una o dell’altra categoria è particolarmente rilevante, dal momento che a ciascuna categoria corrisponde l’obbligatorietà o meno di raccolta del consenso dell’utente.
Sul tema, il Garante si è espresso una prima volta con un provvedimento del maggio 2014 (“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” del 8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014). In esso l’Autorità riteneva che i cd. cookie analytics potessero essere ricompresi nella categoria dei cookie tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni.
L’entrata in vigore del GDPR nel 2016 ha però imposto un ripensamento di questa posizione, nonché di una specifica definizione delle misure oggi idonee all’applicazione della richiamata esenzione dall’acquisizione del consenso dell’utente.
Conseguentemente, in data 10.06.2021 il Garante per la Protezione dei Dati Personali ha approvato il provvedimento “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 09.07.2021
Con tale provvedimento il Garante ha voluto fare chiarezza e fornire delle indicazioni ai Titolari del Trattamento in merito all’utilizzo dei Cookie nei siti web ed ha ritenuto che i cookie analytics possano essere utilizzati in assenza della previa acquisizione del consenso, equiparandoli, pertanto, ai cookie tecnici, solamente se vi sia il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”.
Affinché i cookie analytics siano equiparati ai tecnici è quindi indispensabile (e sufficiente) precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato, il che equivale impedire l’impiego di cookie analytics che, per loro caratteristiche, possano risultare identificatori diretti ed univoci.
Tale risultato potrà essere raggiunto, ad esempio, qualora la struttura del cookie analytics sia tale da poter riferire il cookie non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie.
Oltre a ciò, il Garante, sottolinea la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.
Pertanto, il Garante ha chiarito che i cookie analytics sono cookie di profilazione e non tecnici, ma che possono essere utilizzati anche senza il consenso dell’utente ove gestiti con gli accorgimenti sopra riassunti.
Naturalmente, resta fermo l’obbligo del Titolare di fornire l’informativa ex art. 13 GDPR.
Le precisazioni di cui sopra rendono possibile valutare se Web Analytics Italia garantisca la minimizzazione dei dati nel senso indicato dal Garante e, pertanto, se si possa procedere all’utilizzo di cookie analytics anche in assenza del consenso dell’utente.
All’interno del sito web di Web Analytics Italia (https://webanalytics.italia.it) vi è una sezione dedicata alle Frequently Asked Question (FAQ), dove alla question n. 16 si trova risposta al quesito.
Si legge infatti:
“Posso anonimizzare le visite dei miei utenti?
Si, WAI utilizza di default il sistema di anonimizzazione dell'indirizzo IP degli utenti, quindi non sarà necessario intraprendere altre azioni per rendere anonime le visite”
Pertanto, dal momento che WAI utilizza di default il sistema di anonimizzazione dell’indirizzo IP, è possibile assimilare i cookie analytics gestiti da WAI a cookie tecnici, in modo tale da ricevere informazioni statistiche sull’accesso al sito web dell’Ente in maniera anonima.
Di tale azione dovrà essere data notizia all’interessato all’interno dell’informativa presente sul sito web, in adempimento a quanto prescritto dall’art. 13 GDPR.