Le novità introdotte dalle Linee guida predisposte dal Garante Privacy sull’utilizzo di cookie e di altri strumenti di tracciamento

Read 7 min

Lo scorso 10 giugno il Garante ha approvato le nuove Linee guida in materia di Cookie e altri strumenti di tracciamento tenendo conto: 

  • del quadro giuridico di riferimento, in particolare: art. 122 del Codiceprivacyed art. 4, punto 11), 7, 12, 13 e 25 del GDPR.
  • della rapida e continua innovazione tecnica e tecnologica delle reti e degli strumenti; nonché
  • dell’evoluzione del comportamento degli utenti, che utilizzano sempre più spesso servizi (web, social media, app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smart TV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti.

Gli elementi chiave delle nuove Linee guida, le cui indicazioni sono operative dal 9 gennaio 2022, sono principalmente: 

  • la promozione dell’accountability;
  • l’offerta agli utenti di informative trasparenti e chiare;
  • Il rafforzamento del meccanismo del consenso;
  • il rispetto dei principi di privacy by design e by default

Entro 6 mesi dalla pubblicazione delle Linee Guida nella Gazzetta Ufficiale i sistemi ed i trattamenti già in atto devono essere adeguati ai principi in esse espressi per scongiurare onerose sanzioni del Garante. Di seguito le più importanti novità.

Le nuove Linee guida estendono il loro ambito di applicazione oltre che ai cookie anche ad altri strumenti di tracciamento. 

Come noto, i cookie sono stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo (computer, smartphone, tablet, smart TV, ecc.) nella disponibilità dell’utente (cd. identificatori “attivi”), per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva.

I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, come ad es. per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico etc.

Questi sono i cd. cookie tecnici che servono a effettuare la navigazione, a semplificare e velocizzare gli accessi ai siti web da parte dell’utente o a fornirgli un servizio dallo stesso richiesto. 

Di regola, non vengono utilizzati per scopi ulteriori e sono installati direttamente dal titolare del sito web.

Tuttavia, i cookie se da una parte rendeno più performante l’esperienza dell’utente, dall’altra possono tornare utili ai soggetti che gestiscono i siti web.

Possono infatti essere impiegati anche per profilare l’utente, cioè per “osservarne” i comportamenti, raccogliendo dati personali (es. indirizzo IP, nome utente, identificativo univoco o indirizzo e-mail) ma anche  non personali (come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito).

In genere, lo scopo di tali trattamenti ha finalità di marketing, quindi per inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali, condividendole persino con terze parti.

In questo caso si parla di cookie di profilazione.

Per quanto riguarda i cookie analytics, il Garante ha precisato che, sebbene non rientrino nei cookie tecnici, possano essere a questi equiparati laddove: 

  • vengano utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile; 
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP; 
  • le terze parti si astengono dal combinare i cookie analytics, così  minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze partila produzione di statistiche con dati relativi a più domini, siti webo appche siano riconducibili al medesimo publishero gruppo imprenditoriale.

Il titolare che effettui in proprio la mera elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili può utilizzare anche i dati in chiaro, nel rispetto del vincolo di finalità.

Infine, come anticipato, le indicazioni individuate nelle linee guida si estende anche ad altri strumenti che, pur utilizzando una tecnologia diversa, consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie, (c.d. identificatori “passivi”), in particolare il fingerprinting

Ne abbiamo parlato qui.

Il consenso dell’utente per l’installazione dei cookie sul proprio terminale dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.

Nella prima ipotesi, quando i cookie e gli altri identificatori tecnici sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, co.1, del Codice privacy), non é richiesta l’acquisizione del consenso, ma é comunque necessario indicarli nell’informativa (art. 13 del Reg. Ue 2016/679).

Tuttavia, se i cookie e gli altri identificatori di tracciamento vengono impiegati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

#4. Informativa semplificata

Come stabilito dal Garante nel provvedimento dell’8 maggio 2014 e ribadito nelle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, l’informativa:

  • deve avere un linguaggio semplice ed accessibile;
  • deve essere fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;
  • dovrebbe essere impostata in modalità multilayer e multichannel, ad esempio con il ricorso a pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot, etc.;
  • se si utilizzano solo cookie tecnici, può essere collocata nella home page del sito o nell’informativa generale;
  • se si trattano anche altri cookie e altri identificatori “non tecnici”, si può ricorrere ad un banner a comparsa immediata e di adeguate dimensioni, che fornisca una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”.

Pare doveroso precisare che la soluzione suggerita dal Garante non é da considerarsi la sola che possa conseguire il duplice obiettivo di assicurare, per il tramite del trattamento, la conformità alle norme applicabili all’impiego di cookie e altri strumenti di tracciamento e la piena tutela degli interessati.

Difatti, nel rispetto del nuovo regime di accountability, il titolare é libero di individuare gli accorgimenti e le soluzioni più idonee e che meglio garantiscano la conformità agli obblighi di legge,

#5. Banner

Il Garante suggerisce l’adozione di un banner che contenga:

  1. l’indicazione che il sito utilizza cookie tecnici e, previo consenso  dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve); 
  2. il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al GDPR; 
  3. l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra o un pulsante “non presto il mio consenso”), senza prestare il consenso, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
  4. un comando per accettare tutti i cookie o altre tecniche di tracciamento; 
  5. il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. 

Con riguardo a questo ultimo aspetto, l’Authority ribadisce come sia buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. 

In ogni caso, tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footerdi qualsiasi pagina del dominio.

#6. Rinnovo richiesta del consenso

Quanto alla reiterazione della richiesta del consenso per gli utenti che abbiano scelto di non prestarlo mantenendo le impostazioni di default, il Garante la ammette ma solo nei seguenti casi:

  • Se mutano significativamente le condizioni del trattamento; 
  • se è impossibile, per il sito, sapere se un cookiesia stato già memorizzato nel dispositivo; 
  • se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner

Infine, nel caso di utenti provvisti di account (cd. utenti autenticati), divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso. 

#7. Informazioni ulteriori da rendere agli utenti 

Le linee guida prevedono poi che l’utente debba essere informato anche sui criteri di codifica dei cookiee degli altri strumenti di tracciamento adottati, da comunicare, su richiesta, all’Autorità; nonché sulla possibilità, per gli utenti autenticati, di acconsentire al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device

#8. Modalità di raccolta del consenso 

SCROLLING. Ai sensi del GDPR, non è ritenuto uno strumento adatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato, nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

COOKIE WALL. E’ illecito il meccanismo vincolante (cd. “take it or leave it”) nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento. E’ fatta salva l’ipotesi – da verificare caso per caso in base ai principi del GDPR – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti. 

#9. Cookie e legittimo interesse

Il Garante ha ribadito che non è possibile basare il tracciamento mediante cookie sul legittimo interesse – quale condizione di liceità del tracciamento, con il fine di superare la necessità di dover raccogliere il consenso degli utenti – posto che, in base ai principi del GDPR, i diritti degli interessati verrebbero compressi rispetto a quelli del Titolare.

#10. Validità dei consensi già raccolti 

Se conformi alle caratteristiche richieste dal GDPR, i consensi raccolti in precedenza mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

VP

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *