Cookie: ecco come gestirli alla luce delle nuove linee guida del Garante Privacy - Cyber Security 360

LA GUIDA PRATICA

Cookie: ecco come gestirli alla luce delle nuove linee guida del Garante Privacy

Le linee guida sui cookie e altri strumenti di tracciamento pubblicati dal Garante Privacy rappresentano un utile strumento per i titolari dei siti web, che ora avranno tempo fino al 9 gennaio 2022 per conformarsi alle nuove regole. Ecco le risposte alle domande più comuni sul tema

09 Ago 2021
C
Anna Cataleta

Senior Partner P4I – Partners4Innovation

S
Davide Stefanello

Legal Consultant Partners4Innovation s.r.l.

Il conto alla rovescia è iniziato: entro 6 mesi, cioè entro il 9 gennaio 2022, i titolari dei siti web dovranno essere conformi alle regole aggiornate proposte dal Garante privacy nelle nuove linee guida cookie e altri strumenti di tracciamento.

Le nuove linee guida costituiscono uno strumento fondamentale e atteso da tempo: infatti, diverse autorità di controllo europee (es. Spagna, Francia) si sono già pronunciate sul tema a partire dal 2019, mentre l’ultima pronuncia del Garante italiano in materia di cookie risaliva al 2015, con i chiarimenti relativi ad alcuni aspetti critici indicati nel precedente provvedimento del 2014, recante le linee guida vere e proprie.

Quindi, per fornire un supporto nella comprensione delle linee guida, di seguito le risposte alle domande più comuni in tema di cookie e che riassumono il contenuto di questo fondamentale provvedimento del Garante.

Cookie: qual è la normativa applicabile?

In tema di cookie e altri strumenti di tracciamento è possibile definire due livelli normativi: il livello speciale e quello generale.

Per quanto riguarda il primo livello, la normativa applicabile è la Direttiva 2002/58/CE (Direttiva ePrivacy), recepita in Italia dal Codice privacy. In particolare, l’articolo 122 costituisce il riferimento in tema di “archiviazione di informazioni” nei dispositivi degli utenti (operazione effettuata anche mediante i cookie). L’articolo infatti definisce la regola generale di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi, definendo comunque alcune eccezioni alla regola relative all’archiviazione per finalità tecniche.

Se il Codice privacy costituisce lex specialis, è comunque necessario riferirsi al Regolamento (UE) 2016/679 (GDPR) per le disposizioni generali applicabili. Quindi, per esempio, il Codice privacy con l’art. 122 indica la regola del consenso per l’archiviazione di informazioni sui dispositivi, mentre il GDPR con l’art. 4, punto 11) ne precisa la definizione generale e le caratteristiche, specificando anche le condizioni del consenso con l’art. 7.

Quali tipologie di strumenti di tracciamento esistono?

È possibile classificare gli strumenti di tracciamento in due categorie:

  • identificatori attivi: strumenti come i cookie, i quali possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo).
  • identificatori passivi: strumenti come il fingerprinting che presuppongono la mera osservazione degli utenti (o dei dispositivi degli stessi) e che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del sito.

Quali tipologie di cookie esistono?

Il Garante definisce due macro-categorie di cookie:

  • i cookie tecnici, necessari al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice privacy). La definizione tratta dal Codice privacy permette di considerare cookie tecnici, per esempio, i cookie necessari a ricordare la scelta dell’utente con riferimento alla chiusura del banner oppure i cookie che permettono di gestire l’autenticazione di un utente nella sua area riservata;
  • i cookie di profilazione, utilizzati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (nuove linee guida, par. 4). In tal caso è possibile indicare in tale categoria alcuni esempi come i cookie di Doubleclick, di Facebook, di Hubspot o di Criteo.

Il Garante in realtà indica anche una categoria un po’ particolare di cookie, i cd. cookie analytics (tra cui rientra per esempio il famoso Google Analytics). Si tratta di cookie utilizzati:

  • per valutare l’efficacia di un servizio della società dell’informazione fornito da un titolare di un sito;
  • per la progettazione di un sito web;
  • per contribuire a misurare il “traffico” di un sito web, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

In tal caso, come vedremo successivamente, tali cookie a seconda delle condizioni di implementazione possono rientrare nella categoria dei cookie tecnici oppure in quella dei cookie di profilazione.

È sempre necessario richiedere il consenso per i cookie?

In via generale, la base giuridica applicabile all’installazione dei cookie è il consenso, con la presenza di alcune deroghe.

Infatti, non è necessario il consenso degli utenti per i cookie tecnici, in quanto la finalità di questi strumenti riguardano il funzionamento del sito web (ricordiamo per esempio i cookie necessari per autenticare un utente nell’area riservata).

Al contrario, tutti i cookie non rientranti in finalità tecniche (cookie di profilazione), richiedono il consenso. Pertanto, non sono contemplate ulteriori basi giuridiche. Finalmente, quanto indicato dal Garante, chiarisce una volta per tutte che il legittimo interesse non è una base giuridica applicabile in materia di cookie. Pertanto, tutti i siti che hanno impiegato erroneamente negli ultimi anni il legittimo interesse come base giuridica “sostitutiva” nel caso in cui l’utente non avesse prestato il consenso, devono immediatamente modificare il sistema di gestione dei cookie.

Per quanto riguarda i cookie analytics occorre precisare che di norma gli stessi richiedono il consenso (potendo rientrare quindi nella categoria dei cookie di profilazione), a meno che non vengano rispettate alcune condizioni dettagliate dal Garante che ne permettono l’equiparazione ai cookie tecnici. Quindi, i cookie analytics possono essere considerati tecnici solo se viene preclusa la possibilità di individuare gli interessati (cd. single out) rispettando le seguenti condizioni:

  • gli analytics vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
  • viene mascherata, per quelli di terze parti (cioè cookie posizionati da soggetti diversi dal gestore del sito web visitato, definito “prima parte”), almeno la quarta componente dell’indirizzo IP;
  • le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi.
    È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale (nuove linee guida, par. 7.2).

Inoltre, in deroga alle precedenti condizioni, il Garante precisa che “è possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale” (nuove linee guida, par. 7.2).

Come rendere l’informativa all’interessato?

Il Garante precisa che l’informativa deve essere resa:

  • con linguaggio semplice ed accessibile;
  • anche in modalità multilivello (es. banner e informativa estesa) e multicanale (con più canali e modalità);
  • fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.

Inoltre, se sono implementati solo cookie tecnici, l’informazione può essere collocata nell’home page del sito o anche solo nell’informativa generale; mentre, se si implementano anche altri cookie non tecnici, è possibile utilizzare un banner a comparsa immediata e di adeguate dimensioni.

Quale deve essere il contenuto del banner?

Il banner deve contenere:

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  • il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
  • l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla “X” posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Per assicurare che gli utenti non siano influenzati ovvero penalizzati da scelte di design che inducano a preferire una opzione anziché l’altra, il Garante sottolinea l’esigenza dell’utilizzo di comandi e di caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare. Con questa considerazione il Garante intende quindi evitare che vengano implementati dei dark pattern, cioè soluzioni di design del sito che mirano a indirizzare la scelta degli utenti, in questo caso per raccogliere il consenso.

Come richiedere il consenso attraverso il banner?

Per raccogliere il consenso in modo conforme alla normativa, il banner deve contenere:

  • il comando (es. una “X” in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento (interruttore acceso/spento). Questa area dedicata alle scelte di dettaglio deve essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.

Inoltre, il Garante descrive alcune ulteriori modalità di raccolta del consenso: lo scrolling e i cookie wall. In particolare, lo scrolling è ritenuto di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

I cookie wall, invece, sono illeciti salva l’ipotesi – da verificare caso per caso – n lla quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.

È possibile richiedere il consenso nel caso in cui un utente lo abbia precedentemente negato?

Non è possibile reiterare la richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, per esempio, riproponendo il banner ad ogni visita del sito, tranne nei seguenti casi:

  • se mutano significativamente le condizioni del trattamento (quindi il banner assolve ad una finalità informativa in merito alle modifiche);
  • se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo (es. nel caso in cui l’utente cancelli i cookie dal dispositivo);
  • se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

I consensi raccolti prima della pubblicazione delle linee guida sono validi?

I consensi raccolti prima della pubblicazione delle linee guida mantengono la loro validità a condizione che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione siano stati registrati e siano dunque documentabili.

Ci sono specifici adempimenti per gli utenti autenticati?

Nel caso di utenti provvisti di account del sito web (cd. utenti autenticati), è vietato l’incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso. L’informativa resa quindi deve presentare anche la possibilità, per gli utenti autenticati, di acconsentire al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

Quali informazioni devono essere aggiunte all’informativa?

L’informativa deve includere oltre gli elementi previsti nell’art. 13 del GDPR anche i criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati, da comunicare, su richiesta, al Garante privacy. Tale informazione permette agli utenti di riconoscere il sistema di classificazione impiegato dal Titolare del trattamento, in quanto attualmente non esiste un sistema di codifica dei cookie universalmente accettato.

Osservazioni finali

È auspicabile che il Garante proponga alcuni esempi sia testuali che grafici in un futuro provvedimento. In tal modo, verrebbe facilitata ulteriormente la comprensione delle nuove linee guida cookie e l’implementazione delle regole in essa indicate.

Gli esempi fornirebbero infatti alle organizzazioni un indirizzo più chiaro su un tema che crea da sempre dubbi interpretativi.

Da ricordare che il Garante ha pubblicato dei chiarimenti nel 2015 in riferimento alle linee guida del 2014, in modo da fornire indicazioni più precise ai gestori dei siti web, pertanto, risulta probabile che tale pratica venga ripetuta anche per le nuove linee guida.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5