Cookie e privacy, il Garante ritocca le regole: ecco cosa potrebbe cambiare - Cyber Security 360

La normativa

Cookie e privacy, il Garante ritocca le regole: ecco cosa potrebbe cambiare

Si è conlcusa la consultazione sulle “Linee Guida per l’utilizzo di cookie e di altri strumenti di tracciamento”, documento con cui il Garante privacy, il cui ultimo provvedimento risaliva a sei anni fa, ha aggiornato alla luce del GDPR e delle innovazioni tecnologiche la regolamentazione sui cookie

12 Gen 2021
G
Luca Giacobbe

Avvocato

L’introduzione del GDPR e la diffusione delle nuove tecnologie hanno spinto il Garante della privacy a ritoccare la regolamentazione sui cookie, a sei anni dalla pubblicazione dell’ultimo provvedimento, fornendo chiarimenti e approfondimenti alla luce dei cambiamenti.

Così, il 10 gennaio si è ufficialmente conclusa la consultazione sulle “Linee Guida per l’utilizzo di cookie e di altri strumenti di tracciamento” avviata dal Garante privacy con il provvedimento n. 255 del 26 novembre 2020, dedicata a tutti i soggetti interessati come associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali, dei consumatori e degli operatori.

Tra i temi inclusi dall’autorità, ci sono i compiti del titolare del trattamento e l’acquisizione del consenso. Vediamo le modifiche e il contesto in cui si pongono.

Cookie e privacy: i precedenti normativi

Il Garante aveva già adottato l’8 maggio 2014 un provvedimento finalizzato all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, che pure a suo tempo era stato preceduto due anni prima dall’avvio di una consultazione pubblica ai sensi dell’art. 122 volta ad individuare modalità semplificate per l’informativa di cui all’art. 13, comma 3, del Codice in materia di protezione dei dati personali – 22 novembre 2012.

A fronte dell’emanazione del Regolamento UE 16/679, delle Linee Guida del WP29 del 10 aprile 2018 ratificate dall’EDPB il 25 maggio 2018 e delle Linee Guida 5/2020, il Garante intende “fare un tagliando” sottoponendo a integrazioni e precisazioni il provvedimento del 2014.

Proprio quel provvedimento ha infatti obbligato i gestori di siti web, ai sensi degli artt. 122, comma 1 e 154, comma 1, lett. h), del Codice ai fini dell’individuazione delle modalità semplificate per l’informativa, a fornire agli utenti – in relazione ai cookie e agli altri dispositivi installati da o per il tramite del proprio sito – all’atto dell’accesso alla home page (o ad altra pagina), un banner di idonee dimensioni contenente le seguenti indicazioni, come indicato dalla normativa:

  • “che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall´utente nell’ambito della navigazione in rete;
  • che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
  • il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a uso dei cookie tecnici e analytics, possibilità di scegliere quali specifici cookie autorizzare, possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
  • l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  • l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie”.

Cookie, perché serviva un restyling alle regole

L’Autorità Garante ha valutato come necessario un nuovo intervento sulla regolamentazione dei cookie essenzialmente per due motivi: da un lato l’evoluzione normativa e quindi le importanti novità intervenute tra il 2014 ed oggi (su tutti la pubblicazione del Regolamento UE) e l’altro sulla base di un monitoraggio effettuato sulla concreta implementazione dei presidi posti a tutela degli interessati in considerazione soprattutto della crescente diffusione di nuove tecnologie e di non ancora codificate potenziali pervasività.

Va infatti registrata una stratificazione del quadro giuridico di riferimento dei cookie intervenuta dopo il provvedimento del Garante che si dipana attraverso le disposizioni della c.d. Direttiva ePrivacy (2002/58/Ce) come recepita dall’art. 122 del novellato Codice Privacy (D.lgs. 196/03) nonché dai principi generali di cui agli artt. 4 punto 11) e 7 del Regolamento e dai considerando al Regolamento nn. 30 e 32 passando infine per le fonti secondarie date dalle Linee Guida WP 29 del maggio 2018 di recente sostituite dalle Linee Guida 5/2020.

Cookie e privacy: gli obblighi per il titolare

Il punto da cui partire è senza dubbio l’art. 122 del Codice che stabilisce un principio chiaro di carattere generale sulle macrocategorie di cookie.

La norma prevede che per l’impiego di cookie tecnici, in virtù della funzione meramente tecnica di trasmissione delle comunicazioni su una rete di comunicazione elettronica da loro assolta, il titolare del trattamento è assoggettato al solo obbligo di fornire l’informativa anche inserita eventualmente in una di carattere generale mentre per l’impiego di cookie di profilazione in virtù della loro maggiore pervasività è necessaria sempre la preventiva acquisizione del consenso dell’utente anche in modalità semplificata.

Questo principio si innesta nella previsione sempre di carattere generale contenuta nell’art. 122 ed introdotta dalla Direttiva eprivacy del 2002 (nelle more dell’adozione del Regolamento e-privacy, oggetto di discussione in Unione Europea) secondo cui è vietato l’uso di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente per archiviare informazioni e monitorare le operazioni dell’utente.

Sul punto, va evidenziato che la Direttiva ePrivacy conserva pur sempre la sua validità ed efficacia e si sovrappone al Regolamento applicandosi allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche e prevale sulle disposizioni più generali del Regolamento.

Ne è perfettamente consapevole lo stesso Garante che rammenta come sia nella Direttiva che nei casi previsti si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri identificativi ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.

Cookie, il rapporto tra leggi e tecnologia

Precisato quindi il contesto normativo e le regole generali che sovrintendono alla gestione dei cookie da parte dei titolari di siti web, è importante puntare la nostra attenzione sul rapporto tra la normazione e l’evoluzione tecnologica e comportamentale degli utenti per comprendere perché il Garante abbia deciso di integrare alcune previsioni del provvedimento del 2014 sui cookie e di ampliare il campo di applicazione delle prossime linee guida.

Come è noto, i terminali nella disponibilità degli utenti come personal computer, tablet, smartphone e i dispositivi IoT (Alexa ecc.), tutti in dispositivi in grado di archiviare e conservare informazioni, assolvono a funzionalità non solo riconducibili alla connessone alla rete ma anche alla fornitura di servizi di varia natura non solo legati alla comunicazione.

Tra le informazioni archiviate nei dispositivi vi sono i cookie che assolvono a funzioni meramente tecniche come consentire la fruizione più veloce della navigazione (tecnici) oppure per veicolare pubblicità comportamentale e misurarne l’efficacia del messaggio pubblicitario (profilazione).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

L’evoluzione comportamentale degli utenti come iscriversi ad un social network o fare acquisti su siti di ecommerce può consentire un utilizzo di informazioni personali incrociato (il c.d. enrichment) con l’effetto di disegnare contorni del profilo dell’utente/consumatore sempre più dettagliati ed individualizzanti.

Gli strumenti di tracciamento: il fingerprinting

A questo quadro si sono aggiunti gli ulteriori strumenti di tracciamento che il precedente provvedimento del 2014 non contemplava espressamente limitando il proprio perimetro di applicazione ai soli cookie su cui invece il Garante accende un faro come il c.d. fingerprinting che è annoverato tra gli strumenti passivi di tracciamento e che consente di identificare il dispositivo utilizzo dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

In altra parole, cookie e fingerprinting vengono qualificati rispettivamente come tecniche attive e tecniche passive di profilazione posto che il primo avvisa l’utente della possibile profilazione e lo stesso è in grado di rifiutare il tracciamento o di ricorrere all’esercizio dei propri diritti dettati dal Regolamento (cancellazione, diritto accesso, ecc.) mentre il secondo non consente all’utente nemmeno di accorgersi del monitoraggio compiuto sul proprio dispositivo che genera poi l’invio di pubblicità comportamentale personalizzata o di potervi intervenire successivamente come con la cancellazione dei cookie dal browser.

Per il Garante è l’ora quindi di intervenire “per fornire un quadro rafforzato di tutele maggiormente orientate a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo”.

Cookie, cosa dicono le Linee guida del Garante privacy

Il paragrafo 6 delle Linee Guida indica quali potrebbero essere le modalità per l’acquisizione del consenso online alla luce di alcuni opportuni chiarimenti e nuove raccomandazioni.

Al contempo, però il Garante non intende abrogare i contenuti del provvedimento del maggio 2014; al contrario si afferma chiaramente che lo stesso è da ritenersi tuttora valido “anche nel mutato assetto normativo che privilegia ed impone ai titolari di agire in ossequio al nuovo regime di accountability”.

Quindi, per ritornare allo scopo di partenza, il provvedimento è sottoposto ad un tagliando ma è e rimane parte integrante del corpus normativo di riferimento dei cookie.

Si può provare a sintetizzare di seguito i correttivi e le integrazioni al provvedimento del maggio 2014 condensati nelle Linee Guida predisposte dal Garante che si concretizzano nella:

  • valutazione di inidonietà della tecnica dello “Scrolling”;
  • valutazione di illiceità del meccanismo “Cookie wall”;
  • problematica ridondanza dei “Banner”;
  • necessità di minimizzazione dei “Cookie analytics”;
  • necessità di una informativa granulare sui cookie (multilevel) resa su più canali (multichannel).

Lo scrolling

Sulla valutazione dello scrolling (lo scroll down è l’azione che consiste nel lasciare scorrere la pagina in modo da mostrare all’utente sullo schermo del proprio dispositivo la parte sottostante il banner che contiene l’informativa breve), il Garante si pone in continuità con il parere 5/2020 dell’EDPB che sulla base di una interpretazione del Considerando 32 del Regolamento e coerente con i chiarimenti resi il 5 giugno 2015 ritiene questa tecnica non idonea di per sé ad esprimere la manifestazione di volontà dell’interessato volta ad accettare il posizionamento di cookie diversi da quelli tecnici (i.e. di profilazione).

Va però evidenziato che non si tratta di una censura radicale alla tecnica dello scrolling quanto piuttosto di un giudizio sulla insufficienza /inidoneità alla raccolta di un consenso all’installazione e utilizzo di cookie di profilazione e pertanto se questa rientra in un articolato processo che consenta all’utente di essere adeguatamente informato e quindi di ottenere il suo consenso i trattamenti possono a quel punto ritenersi in linea con i requisiti di legge.

Il Garante a questo proposito suggerisce ai publisher il ricorso a modalità più evolute basate sul paradigma del web dinamico che consentono la fluida comunicazione degli eventi nella navigazione in grado di segnalare più facilmente l’effetto della propria azione ed una codifica nei siti di specifiche aree che generino una registrazione di consenso espresso dell’utente all’installazione di cookie.

I cookie wall

Un ulteriore opportuno chiarimento viene dedicato ai meccanismi noti come cookie wall mediante il quale il publisher sostanzialmente condiziona nei termini di “prendere o lasciare” l’accesso al sito alla prestazione del consenso alla installazione dei cookie di profilazione. Secondo l’autorità questo meccanismo è illecito perché viola l’art. 4 punto 11) del Regolamento salva l’ipotesi in cui il titolare offra all’utente la possibilità di accedere ad n contenuto o servizio equivalente senza prestare il consenso all’installazione e uso di cookie.

L’osservazione sul campo fatta attraverso le segnalazioni pervenute hanno permesso al Garante di concentrare la propria attenzione sul meccanismo basato sulla prestazione del banner ad ogni accesso dell’utente sul medesimo sito.

Si tratta di una tecnica che compromette certamente la fluida fruizione della navigazione e che peraltro non trova una sua giustificazione negli obblighi imposti ai titolari del trattamento ed in particolare sulla acquisizione del consenso dell’utente.

Da questo punto di vista, il Garante precisa che “una volta acquisito il consenso all’installazione dei cookie non dovrà essere nuovamente richiesto se non all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto ovvero quando sia impossibile per il gestore del sito web avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato; ad esempio nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo e il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso”.

Cookie analytics

La categoria dei cookie analytics era stata già presa in esame dal provvedimento del 2014 del Garante e valutata come ricompresa nella più ampia famiglia dei cookie tecnici come tali utilizzabili in assenza della preventiva acquisizione del consenso da parte dell’utente.

Il Garante intende adesso proporre una revisione di quella valutazione nel senso di circoscrivere il potere identificativo dei cookie analitici in chiave di privacy by design per effetto dell’entrata in vigore delle disposizioni dell’art. 25 par. 1 del Regolamento.

Il Garante reputa quindi che nel caso di specie sia possibile ricorrere all’utilizzo dei cookie analitici ma attraverso il ricorso a misure di minimizzazione qualora avvenga ad opera di terze parti e quindi l’equiparazione ai cookie tecnici nei termini della esenzione dall’acquizione del consenso dell’utente è possibile se si dissociano dall’identità informatica del soggetto utente e ciò si ottiene da un punto di vista operativo mascherando l’indirizzo IP all’interno del cookie.

La precisazione quanto mai opportuna del Garante riguarda il fatto che i dati così minimizzati “non dovranno comunque essere combinati con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o trasmessi a terzi, pena l’inaccettabile incremento delle potenzialità e dunque dei rischi di identificazione dell’utente”.

In altre parole, l’ente regolatore ritiene che l’uso fisiologico dei cookie analytics in quanto cookie tecnici sia limitato unicamente alla produzione di statistiche aggregate che non possano consentire il tracciamento della navigazione dell’utente che utilizza applicazioni diverse o naviga in siti web diversi.

Cookie e privacy: l’acquisizione del consenso

Il Garante infine interviene nelle Linee Guida in consultazione per aggiornare il meccanismo di acquisizione del consenso in relazione ai cookie ed agli altri strumenti di tracciamento.

Viene confermata da una parte la sostanziale intrinseca validità della presentazione del banner così come descritto nel provvedimento del 2014 ma anche in virtù della portata innovativa del Regolamento in particolare l’art. 25) si suggeriscono ulteriori migliorie tra cui:

  • l’impostazione predefinita al momento del primo accesso dell’utente a un sito web priva di cookie diversi da quelli tecnici o di tecniche attive o passive di profilazione;
  • meccanismi di visualizzazione immediata in un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che consenta l’espressione eventuale dell’azione positiva con cui l’utente decide di attivare la profilazione;
  • messa a disposizione nell’area dedicata di una informativa granulare che parta da indicazioni minime sull’utilizzo di cookie tecnici con il collegamento ad un link con una informativa più estesa ove vengono fornite indicazioni più di dettaglio riguardo al funzionamento di cookie tecnici;
  • l’indicazione che la prosecuzione della navigazione mediante un atto positivo inequivocabile con cui l’interessato liberamente decide di produrre un evento informatico tale da produrre come effetto la profilazione;
  • la messa a disposizione di un comando attraverso il quale l’utente può esprimere il proprio consenso alla profilazione accettando il posizionamento di cookie o l’impiego di tecniche di tracciamento e la contestuale presenza di un link in cui l’utente potrà in maniera analitica selezionare ciascuna funzionalità e le terze parti coinvolte nell’operazione di profilazione eventualmente raggruppati per categorie omogenee che consentano all’utente di scegliere e prestare il consenso.

Queste funzionalità suggerite sono concepite nella prospettiva di osservanza del principio di privacy by default e quindi viene imposta come preimpostata l’opzione di assenza di cookie di profilazione ed all’utente sarà data la scelta se vorrà di accettarne in modo granulare il posizionamento.

L’obiettivo dichiarato nelle Linee Guida è di giungere ad una informativa multilayer cioè granulare e dislocata su più livelli e multichannel resa cioè in modo da sfruttare al massimo i canali di contatto tra titolare e utenti come per esempio il ricorso a video, pop up informativi, interazione vocali, assistenti virtuali, chatbot e via dicendo.

A questo proposito, il Garante sottolinea l’importanza di poter avviare un confronto con tutti i soggetti interessati (accademia, industria, associazioni di categorie, decisori, stakeholder) per individuare una codifica standardizzata relativa alla tipologia di comandi, colori e funzioni da implementare nei siti web per ottenere ampia uniformità a tutto vantaggio della trasparenza, chiarezza e quindi alla migliore conformità alle regole.

La metodologia del Garante

La scelta adottata dal Garante di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte alle Linee Guida è senza dubbio apprezzabile per almeno due ordini di motivi. Il primo è da ricondurre all’essenza stessa delle Linee Guida che rappresentano uno strumento di direttiva che l’ente regolatore utilizza per chiarire aspetti interpretazione o di attuazione della normazione primaria ed hanno il vantaggio di poter intervenire in via immediata con tempi di risoluzione che il legislatore nazionale o comunitario non possono avere.

Lo sviluppo delle nuove tecnologie ed i cambiamenti spesso repentini sul piano del comportamento digitale dettano dei tempi ed impongono delle risposte non sempre compatibili con i tempi dei processi decisionali dei parlamenti e governi ed il compito che si è dato l’ente regolatore è proprio quello di intercettare sul nascere i profili critici di cui è portatrice l’evoluzione digitale ed offrire un piano di discussione relativo alle misure ipotizzate a tutela dei dati personali degli utenti.

Il secondo invece riguarda il metodo di lavoro che consiste nella preventiva condivisione delle soluzioni che l’autorità ha deciso di adottare e nella ricerca di contributi finalizzati a segnalare elementi critici o a individuare soluzioni alternative.

Questo metodo di lavoro appare come uno dei tratti distintivi dell’azione del collegio insediatosi a ottobre 2020 che sta privilegiando un approccio non solo di sorveglianza nell’applicazione dei precetti del Regolamento da parte di enti e privati ma anche di osservazione diretta delle pratiche di mercato e di intervento finalizzato alla individuazione delle soluzioni più idonee su un piano quanto più condiviso e partecipato con le categorie e gli operatori coinvolti.

eventi digitali
Quale sia la tua esigenza di evento, noi l’abbiamo realizzata! Per il 2021 affidati a Digital360
Digital Transformation
Marketing

@RIPRODUZIONE RISERVATA

Articolo 1 di 5