Cookie, ecco i 10 step per adeguarsi alle nuove linee guida: c'è tempo sei mesi - Cyber Security 360

LA GUIDA PRATICA

Cookie, ecco i 10 step per adeguarsi alle nuove linee guida: c’è tempo sei mesi

Le linee guida sui cookie sono state pubblicate in Gazzetta Ufficiale il 9 luglio, data che ha segnato l’avvio dei sei mesi previsti dal Garante privacy ai provider di servizi online per adeguarsi alle nuove regole: ecco un utile vademecum per non scordare nessun passo

06 Ago 2021
G
Luca Giacobbe

Avvocato

Con la pubblicazione nella Gazzetta Ufficiale del 9 luglio delle Linee guida sui cookie e altri strumenti di tracciamento è partito ufficialmente il termine di sei mesi che il Garante privacy italiano ha concesso per adeguarsi a tutti i fornitori di servizi della società dell’informazione, nonché a tutti i soggetti che offrono ai propri utenti servizi on line accessibili al pubblico attraverso reti di comunicazione elettronica o cui si riferiscano siti web che facciano uso di cookie e/o altri strumenti di tracciamento.

Ecco i dieci passi da compiere per affrontare gli adempimenti richiesti dall’Autorità Garante e per garantire ai propri utenti un servizio on line che sia pienamente cookie law compliant.

Step 1 – Adeguare l’informativa breve del banner

Le linee guida hanno confermato la validità dell’impostazione di fondo prescelta nel provvedimento del 2014 che al primo accesso dell’utente sul sito web o all’attivazione del tool di tracciamento attivo (pixel, clickcommand) o passivo (fingerprinting) prevedeva l’obbligo di inserire una informativa “breve” nel banner e di rimandare una informativa “estesa” da inserire in un link del banner e in apposita area dedicata (cookie policy). Gli accorgimenti che si rendono necessari per aggiornare l’informativa breve riguardano principalmente l’obbligo di comunicare puntualmente all’utente la tipologia di cookie o strumenti di tracciamento utilizzati e la possibilità di modularne la fornitura in modo personalizzato a seconda delle preferenze dell’utente.

Le linee guida insistono perché venga adottato ogni più opportuno accorgimento per rendere il banner fruibile senza discriminazioni da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o in configurazioni particolari.

Cookie, le nuove linee guida del Garante Privacy: ecco cosa cambia e come adeguarsi

Step 2 –  Adeguare l’informativa estesa

Predisporre un’informativa estesa rispettosa in termini sostanziali dei principi del Regolamento significa riuscire a indicare in termini chiari e con la massima trasparenza per l’utente i soggetti che terzi che gestiranno i dati personali dei visitatori del sito web e stabilire una politica di data retention evitando il ricorso a formule stereotipate o volutamente generiche (esempio preso da un sito di primaria testata di informazione on line “I dati personali saranno conservati per i tempi strettamente necessari ad espletare le finalità di cui al punto xx”).

Il layout dell’informativa estesa che sarà possibile esaminare attraverso il link alla privacy policy dovrà prediligere un formato granulare ossia in una logica di semplificazione le indicazioni sui cookie vanno esposte su più livelli in relazione alle singole specifiche necessità e su più canali e modalità come canali video, pop up informativi, interazioni vocali, assistenti virtuali, chatbot ecc.

Step 3 – Adeguare il banner ai fini dell’acquisizione del consenso tramite i cookie

Le linee guida sui cookie del 2021 confermano sostanzialmente l’impianto descritto nell’analogo provvedimento del 2014 in relazione al meccanismo del banner ossia quell’area che viene visualizzata dall’utente accedendo la prima volta sulla homepage del sito web. Questa area deve avere dimensioni sufficienti per costituire una percettibile discontinuità con i contenuti del sito di navigazione che si sta visitando ma al contempo garantire che l’interessato possa ricorrere a comandi tali da ingenerare in lei/lui scelte non consapevoli o indesiderate.

Ebbene, l’adeguamento del banner costituisce una delle indicazioni più significative presenti nelle Linee Guida 2021 sui cookie perché affronta e risolve in modo radicale la tecnica di scelta dell’utente di manifestazione del consenso al tracciamento tramite cookie. Ad oggi, salvo la sola installazione di cookie tecnici di cui deve solo farsi menzione nell’informativa estesa e non è necessario il ricorso al banner, in tutti gli altri casi, il banner ci offre (solo) due opzioni al momento dell’accesso su un sito di navigazione ponendo l’utente davanti a due alternative: “acconsento a tutti i cookie” oppure “gestisci le tue preferenze”. La seconda opzione comporta per l’utente la necessità di dover esaminare tutti i trattamenti e le tipologie di cookie possibili e di dover decidere uno ad uno i consensi opzionabili. Si tratta di una scelta che l’utente per scarsa dimestichezza con la materia dei cookie o per una più veloce fruizione dei contenuti del sito decide più o meno consapevolmente di tralasciare accettando obtorto collo tutti i cookie (compresi quelli di profilazione).

L’Autorità Garante francese (CNIL) ha deciso di ovviare a questa criticità obbligando i titolari del trattamento a sottoporre al primo accesso degli utenti un banner con tre opzioni: accetta tutti i cookie, nega tutti i cookie, gestisci i cookie. L’Autorità Garante italiana ha invece imboccato una strada diversa sulla scorta di una lettura maggiormente “GDPR Oriented”: il banner deve permettere all’utente di esprimere un’azione positiva di accettazione dei cookie di profilazione senza impedire però il mantenimento delle impostazioni di default di assenza in modalità predefinita di cookie diversi da quelli tecnici.

Nel concreto quindi il banner compliant con le linee guida 2021 dovrà prevedere, in più rispetto ai contenuti indicati nel provvedimento del 2014, un comando contraddistinto da una X posizionata in alto a destra ed all’interno del banner stesso con cui l’utente potrà decidere di non esprimere alcun specifico consenso al tracciamento o alla profilazione mantenendo le impostazioni predefinite di assenza di cookie diversi da quelli tecnici. Il comando dovrà avere veste grafica e dimensioni pari agli altri comandi o pulsanti e una volta utilizzato l’utente potrà godere delle modalità di prosecuzione nella navigazione senza discriminazione alcuna rispetto a utenti che hanno accettato il tracciamento o la profilazione.

Quanto al consenso prestato dall’utente per una o più tipologie di cookie questo dovrà essere conseguenza di un intervento attivo e consapevole dell’utente stesso e opportunamente riscontrabile e documentabile in linea con i requisiti richiesti dal Regolamento (consenso libero, informato, inequivoco, specifico espresso in relazione a ciascuna diversa finalità del trattamento).

Step 4-  Stop alla reiterata richiesta di consenso nel banner salvo eccezioni

Le linee guida 2021 precisano che la reiterazione della presentazione del banner in occasione di successivi accessi dell’utente non sarà più possibile per un periodo di tempo non inferiore a 6 mesi. Quindi la regola generale va nel senso di impedire al titolare del trattamento la riproposizione all’utente che naviga sul sito web del banner con le opzioni di scelta sui cookie: è possibile solo al primo accesso e salve limitate eccezioni le impostazioni dell’utente vanno registrate per 6 mesi e lo stesso non può più essere sollecitato nella modificazione delle proprie scelte.

Le uniche ipotesi che legittimano la riproposizione del banner prima del decorso dei mesi dall’ultima registrazione della prestazione del consenso dell’utente riguardano:

  • il caso in cui mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute come nel caso in cui mutino le terze parti;
  • quando sia impossibile per il gestore del sito web avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso in occasione di una successiva vista del medesimo utente al sito che lo ha generato (le linee guida chiariscono la fattispecie con un esempio concreto relativo alla cancellazione da parte dell’utente dei cookie legittimamente installati nel proprio dispositivo).

Quanto al caso sub 1) sarà importante vigilare su condotte opportunistiche dei titolari del trattamento che potrebbero strumentalmente inserire periodicamente “nuove” terze parti al solo fine di poter legittimare la riproposizione del banner prima del decorso dei sei mesi.

Step 5 –  Integrare lo scrolling

L’Autorità Garante condivide i contenuti del parere 5/2020 dell’EDPB sulla inidoneità dello scroll down del cursore ai fini della raccolta del consenso al tracciamento da parte dell’utente. Ne deriva che questa tecnica di acquisizione del consenso da sola non basta per poter ritenere acquisito il consenso all’installazione di cookie di profilazione o di altri strumenti di tracciamento e che debba essere integrata con altre componenti di un processo articolato che consenta all’utente di segnalare al titolare con la generazione di un preciso pattern una scelta inequivoca e consapevole ed al tempo stesso registrabile e documentabile ex post dal titolare volta a prestare il consenso all’uso di cookie o di altri strumenti di tracciamento.

Step 6 –  Eliminare il cookie wall

Le linee guida individuano come illecito ogni meccanismo vincolante che metta nelle condizioni l’utente davanti alla scelta di accettare il tracciamento o la profilazione tramite cookie pena l’impossibilità di accedere al sito secondo le modalità “prendere o lasciare”.

Resta salva l’ipotesi – da verificare però caso per caso – in cui in titolare metta nelle condizioni l’utente di accedere a contenuti del sito o del servizio equivalenti senza prestare il proprio consenso all’installazione di cookie o altri strumenti di tracciamento.

Step 7 –  Elencare le terze parti e classificare i cookie distinguendo i tecnici (e gli analitici) da quelli di profilazione

Il titolare ha il compito di indicare nel banner di accesso, nell’informativa estesa e tramite area dedicata le funzionalità, i soggetti c.d. terze parti ed i cookie raggruppati per categorie omogenee al cui utilizzo l’utente scelga di acconsentire. È stato detto spesso che l’adesione da parte di un titolare alle disposizioni del Regolamento comporta un costo ma che ha come contropartita il vantaggio di acquisire un maggiore controllo sui processi interni, sui terzi di cui esso si avvale e sui trattamenti dei dati personali. Il gestore del sito quindi, come prima parte, dovrà provvedere alla catalogazione dei cookie attraverso l’analisi delle funzionalità e degli obiettivi cui essi assolvono ed alla esatta individuazione di tutti i terzi destinatari dei dati cioè le c.d. terze parti.

Nell’ambito dell’attività di raggruppamento per categorie omogenee dei cookie le Linee Guida chiariscono che i cookie analitici utilizzati per misurare l’efficacia di un servizio o la misurazione del traffico (orario, area geografica o altro) appartengono al genus dei cookie tecnici e come tali possono essere utilizzati senza il preventivo consenso espresso dell’utente. Ma affinché i cookie analitici operati da terze parti siano perfettamente equiparati agli altri cookie di tipo tecnico, le linee guida 2021 impongono il ricorso a misure di minimizzazione del dato che precludano ad una individuazione dell’utente. Quindi la struttura del cookie analitico dovrà prevedere che lo stesso non sia riferibile direttamente ad un dispositivo in modo da creare ragionevole incertezza sull’identità informatica del ricevente e ciò lo si ottiene mascherando almeno la quarta componente dell’indirizzo IP associato al cookie che si intende posizionare nel dispositivo.

Resta comunque inteso che le terze parti (publisher) che tratteranno i cookie analitici non dovranno combinare i dati anche se minimizzati con ulteriori elaborazioni né ritrasmetterli a terzi in quanto ciò potrebbe vanificare la minimizzazione del dato portando ad un incremento dei rischi di identificazione dell’utente. L’unico caso riguarda la produzione di statistiche effettuata da un terzo riguardi più domini, siti o web app riconducibili allo stesso publisher o ad un gruppo imprenditoriale.

Step 8 –  Impostare by default i cookie e minimizzare i dati anche rispetto ai device

In ossequio all’art. 25 del Regolamento, l’Autorità Garante richiede che ogni sito web abbia un’impostazione predefinita al momento del primo accesso dell’utente in cui nessun cookie o altro strumento di tracciamento diverso da quelli meramente tecnici possa essere posizionato nel dispositivo o che venga comunque installato uno strumento di tracciamento attivo o passivo.

È il caso di sottolineare che questo principio di carattere generale può essere realizzato da ogni titolare secondo le modalità ritenute più idonee per assicurarne il rispetto, l’Autorità garantisce infatti piena autonomia imprenditoriale nella scelta del meccanismo più adatto; la stella polare è la minimizzazione del dato quale impostazione predefinita e quindi si trattano by default solo i dati personali necessari per ciascuna finalità di trattamento e vengono conservati in modo da non eccedere le finalità indispensabili alla fruizione del sito o della funzionalità messa a disposizione dell’utente.

Step 9 – Il legittimo interesse non è mai la base giuridica per i cookie di profilazione

La ricostruzione normativa effettuata dalle linee guida 2021 non consente in nessun caso il ricorso a basi giuridiche diverse dal consenso dell’interessato ai fini dell’installazione di cookie o altri strumenti di tracciamento. Ogni eventuale informativa (breve o estesa che sia) che si richiami per esempio al legittimo interesse per giustificare il ricorso ai cookie in deroga alla raccolta del consenso espresso dell’interesse laddove prescritto (cookie profilazione e/o strumenti di tracciamento) è del tutto priva di supporto giuridico ed espone il titolare a sanzioni connesse all’illecito trattamento dei dati.

Step 10 – Icona sullo stato dei consensi

Le linee guida 2021 suggeriscono una buona prassi suggerita in sede di consultazione che consiste nell’impiego di un segno grafico, un’icona o altro accorgimento tecnico che indichi in modo essenziale all’utente il riepilogo dello stato dei consensi resi in precedenza e che consenta in ogni momento la modifica o il suo aggiornamento. La collocazione naturale di questo strumento è il footer di qualsiasi pagina del dominio.

È bene segnalare che l’Autorità Garante ha più volte richiamato il concetto che nell’ambito della propria autonomia imprenditoriale ed in ossequio al principio dell’accountability espresso dal Regolamento il titolare possa decidere di adottare le modalità ritenute più idonee per assicurare il rispetto delle linee guida sui cookie e gli strumenti di tracciamento. La scelta che avrà il titolare nella progettazione di comandi, grafiche, tool specie in assenza di una codifica standardizzata accettata dai provider e dai publisher e dalle rispettive associazioni di categoria che il Garante ha auspicato che venga avviata quanto prima, dovrà essere ispirata dall’obiettivo di mettere l’utente che fruisce del servizio di navigazione davanti ad una scelta:

  • libera (no ai cookie wall);
  • consapevole (no a comandi ingannevoli);
  • inequivoca (no falsi positivi, no opzioni opt in predefiniti);
  • friendly user (no a impedimenti per portatori di handicap);
  • non discriminatoria (no a contenuti premium solo ai visitatori che accettano di profilarsi);
  • revocabile in qualsiasi momento (si a icona sullo stato dei consensi);
  • privacy by default (predefinita con i soli cookie tecnici ed analitici di prima parte);
  • dimostrabile ex post (si a sistemi di registrazione consenso).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4