Cookie e strumenti di tracciamento: proposte e considerazioni sulle linee guida del Garante

Le nuove linee guida del Garante per la protezione dei dati personali circa l’utilizzo dei cookie e di altri strumenti di tracciamento (in consultazione pubblica) rappresentano, a livello nazionale, il primo aggiornamento post-GDPR alle pregresse indicazioni del Garante, risalenti all’8 maggio 2014 (individuazione delle modalità di informativa e consenso, con relative FAQ) e al 2015 (chiarimenti attuativi).

E fanno seguito anche alle importanti Linee guida aggiornate dell’EDPB sul consenso n. 5/2020 che, tra l’altro, avevano già puntualizzato come disciplinare prassi ormai comuni quali i cookie wall e l’accettazione dei cookie con o senza scroll, sebbene il Garante abbia effettuato dei particolari distinguo in merito.

Cookie e strumenti di tracciamento: il passo avanti del Garante

Rimandiamo ad altri contributi per una disamina analitica dei contenuti del provvedimento del Garante. Ciò che si vuole qui esporre solo alcune prime, brevi riflessioni sul documento. Specie considerando che tale documento è stato posto in consultazione per 30 giorni dalla pubblicazione in G.U. n. 307 dell’11 dicembre 2020, con le festività a inframezzare il periodo previsto.

L’occasione per un’utile integrazione del provvedimento è importante: il passo avanti del Garante, simile a quanto già svolto da altre autorità estere sul tema (si veda, ad esempio, la consultazione pubblica del CNIL francese), rappresenta un’opportunità per disciplinare taluni anfratti e risvolti dubbi di una prassi e di una normativa che – in un mercato come quello attuale, sempre più legato alla profilazione e sfruttamento dei dati personali raccolti tramite cookie e simili identificatori, in difficile “coabitazione” con le norme del GDPR in attesa del Regolamento ePrivacy – sarebbe preferibile dissipare il prima possibile proprio con un provvedimento guida, piuttosto che attendere lo “stillicidio” di qualche azione sanzionatoria in merito.

È chiaro che non c’è nulla di sbagliato nel voler utilizzare cookie per fare marketing e attività consimili, il punto è farlo nel rispetto dei diritti degli interessati forti di una normativa il più possibile chiara e di effettivo indirizzo pratico.

L’impegno delle autorità nel fornire delle indicazioni trasparenti e pragmatiche deve essere massimo, anche per legittimare un business che non debba temere l’ennesimo “chiarimento tardivo” a suon di sanzioni e all’avvenuta violazioni di vari diritti degli interessati.

E il mercato del tracciamento è sempre più in evoluzione, sia tecnicamente che strategicamente come business e i provvedimenti in merito delle autorità dovrebbero dimostrare la miglior sincronia, per quanto possibile, con tale area di mercato.

Cookie e strumenti di tracciamento: i temi sensibili

Scorriamo i temi sensibili che potrebbero essere sviluppati nel provvedimento in oggetto, anche alla luce del lavoro già svolto di autorità estere come ICO e CNIL:

1. Sarebbe opportuno integrare e assimilare chiaramente alla disciplina dei cookie HTTP (quelli comunemente intesi e trattati nel provvedimento del Garante) – e perciò all’obbligatorio consenso preventivo dalla Direttiva ePrivacy 2002/58/CE – anche i Local Shared Objects detti “Flash cookies”, l’archiviazione locale implementata all’interno di HTML 5, gli identificatori generati dai sistemi operativi (es. IDFA, IDFV, ID Android ecc.), gli identificatori hardware (indirizzo MAC, numero di serie o qualsiasi altro identificatore di un dispositivo come i codici IMEI, IMSI, MSISDN), strumenti di terze parti come web-bugs, beacons, pixel tags, pixel hack, ETags e codice JavaScript, i tracking pixel usati nei servizi email, social plugin, sniffing della browser history ecc.; ciò è confermato dalla richiamata fattispecie di tracciamento tramite fingerprinting (tecnica di identificazione basata sulla lettura di configurazioni, dunque sull’accesso ai dati), assimilata dal Garante ai cookie (che prevedono, invece, il deposito e utilizzo di file sul dispositivo utente) sulla scorta anche del WP29 e della sua opinione 9/2014; non dimentichiamo che una delle forme più insidiose di tracciamento è quella combinatoria tra dispositivi multipli, per cui si costruiscono profili tra più dati e fonti di dati (cookie, indirizzi IP, localizzazioni ecc.) sfruttando induzioni probabilistiche, pur in assenza di dati certi identificativi come quelli di login a un determinato servizio.
2. In tal senso, sarebbe opportuno rammentare che la Direttiva ePrivacy è applicabile anche ai dati non personali: parimenti la norma di recepimento (l’art. 122 del Codice Privacy italiano) si occupa di “informazioni”: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate”; ciò è importante per focalizzare l’applicabilità della norma anche a dati non identificativi o non immediatamente identificativi, oltre che a strumenti traccianti analoghi a quelli detti sopra.
3. Tra le fattispecie di tracciamento dovrebbero trovare spazio tipologie di cookie problematiche ma molto utilizzate come i cookie “persistenti” o “zombie”, senza una data di scadenza, alla luce della ben delimitata e giustificata retention di ogni strumento di trattamento, come richiesto dal GDPR e dal principio di minimizzazione in genere.
4. Quanto all’informativa che dovrebbe elencare analiticamente i singoli cookie, si potrebbe raggrupparli per finalità/funzionamento comune, invece di richiedere una specifica, singola indicazione: nel caso di decine o centinaia di cookies – prassi purtroppo reale in molti siti web – tale semplificazione può aiutare la leggibilità e comprensione da parte dell’utente che non si ritrova così a dover scorrere pagine e pagine per avere un quadro di massima.
5. Non si dice nulla sull’obbligo nel fornire, per ogni cookie di terze parti, un link all’informativa di tali terzi, come richiesto in passato dal provvedimento del Garante dell’8 maggio 2014: è preferibile chiarire se ciò sia ancora richiesto o meno, considerando che in caso affermativo sarebbe certamente garantita una maggior trasparenza.
6. Si menziona l’opt-out nel provvedimento, ovvero ciò che in termini GDPR è ammissibile come forma di opposizione ex art. 21 GPDPR in caso di base di trattamento per legittimo interesse, mentre non è previsto dalla Direttiva ePrivacy; il provvedimento del Garante ne tratta solo recitando che “l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out)”; come ricordato sopra, l’applicazione di tecniche di tracciamento – salvo le ristrette eccezioni di finalità tecniche di telecomunicazione o per fornire i servizi richiesti dall’utente – necessita sempre del consenso, non potendo certo sommarsi a un’altra base di trattamento – comunque non pertinente – come il legittimo interesse; un puntuale accenno in tal senso del Garante, alla luce di una prassi incontrollata di banner ricolmi sia di consensi che di opt-out basati su un legittimo interesse inapplicabile, perlopiù basata sull’ambiguo Privacy Framework dello IAB già oggetto di censure dalle autorità inglese e belga – sarebbe a questo punto doveroso.
7. Quanto ai cookie di terze parti, anche alla luce delle linee guida dell’EDPB 8/2020 sul social targeting e 7/2020 sui ruoli privacy, sarebbe opportuno ricordare come in sede di informativa il titolare del sito web, la prima parte, debba precisare se sussista un particolare ruolo privacy come quello di contitolarità e relativi adempimenti informativi come richiesti dall’art. 26 GDPR.
8. Circa i cookie analytics di terze parti, sarebbe opportuno ribadire che i dati pseudonimizzati con mascheratura tecnica dell’IP presuppongono anche un accordo contrattuale con il terzo per evitare di incrociare tali dati con altri, come già ben espresso nel provvedimento dell’8 maggio 2014.

Conclusioni

Per concludere, il provvedimento in parola afferma, nelle considerazioni preliminari, di voler integrare e precisare il provvedimento dell’8 maggio 2014: non sarebbe invece opportuno, per maggior chiarezza, integrare il testo con le novità e sostituire del tutto i pregressi provvedimenti del 2014 e 2015?

Auspichiamo che qualche stakeholder rappresentante aggregato degli interessi di operatori, imprenditori o consumatori – come indicato tra le preferenze del Garante nella sua consultazione – possa far proprie almeno alcune di queste istanze, a beneficio di tutti.