Cookie, le nuove linee guida del Garante Privacy: suggerimenti pratici per le aziende - Cyber Security 360

GUIDA NORMATIVA

Cookie, le nuove linee guida del Garante Privacy: suggerimenti pratici per le aziende

Con l’entrata in vigore delle nuove linee guida del Garante Privacy su cookie e strumenti di tracciamento online, è utile effettuare un self assessment per verificare la conformità del proprio sito web e apportare le necessarie modifiche onde evitare l’applicazione di sanzioni da parte dell’Autorità. Ecco la checklist

13 Gen 2022
F
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Dal 10 gennaio scorso sono in vigore le nuove linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento dell’Autorità Garante per la Protezione dei Dati Personali che vincolano chiunque abbia un sito web, indipendentemente dall’attività esercitata con esso.

Rispetto al passato, cambiano le modalità con cui i titolari dei siti web devono gestire la raccolta del consenso all’installazione dei cookie da parte degli interessati e le modalità con cui somministrare loro l’informativa.

In realtà, come si vedrà in seguito, chi negli scorsi anni ha rispetto le vecchie linee guida del Garante e quelle dell’EDPB del 05 maggio 2020, oltre ad aver rispettato il principio di accountability del GDPR, è quasi sicuramente compliant con le nuove disposizioni.

Ad ogni modo, è opportuna una breve disamina, a mo’ di checklist, di modo che con un self assessment si possa verificare la conformità del proprio sito web ed eventualmente apportare le necessarie modifiche onde evitare l’applicazione di sanzioni da parte dell’Autorità.

Cookie: il quadro giuridico e la normativa applicabile

Il provvedimento del 10 giugno 2021 dell’Autorità Garante, entrato in vigore, come s’è detto, il 10 gennaio scorso, ben tratteggia il quadro giuridico all’interno del quale si collocano le nuove linee guida: oltre al già accennato GDPR e, ovviamente, al nostro Codice Privacy, sono degni di menzione la c.d. Direttiva ePrivacy, il parere dell’EDPB del 12 marzo 2019 sulle interazioni tra la stessa e il GDPR, le Linee Guida del 5 giugno 2020 sempre dell’EDPB e i vari provvedimenti della stessa Autorità in materia, che si sono succeduti dall’8 maggio 2014 ad oggi.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Dunque, l’esigenza del nuovo provvedimento in esame è stata quella di armonizzare e razionalizzare il complesso quadro normativo in vigore, tenendo conto della rapida evoluzione tecnologica degli ultimi anni, di modo da fornire agli operatori del web strumenti semplici per la tutela dei dati personali dei propri utenti.

Cosa sono i cookie

Dato che è una definizione notoria, in questa sede ci si limita solo a ricordare che i cookie sono piccoli file di testo che i siti web posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dei loro visitatori.

Sono, per loro stessa natura, file temporanei (anche se, in alcuni casi, qualche publisher ritiene di dover impostare la loro permanenza anche per un anno) e sono dei “marcatori temporanei” (cfr. Considerando 30 del GDPR) che possono contenere diverse informazioni sull’utente: il suo indirizzo IP, un suo identificativo univoco, il suo indirizzo e-mail, le preferenze espresse (dalla tonalità della propria area utente sino alle categorie di prodotti maggiormente acquistati).

Consentono, peraltro, di tracciare il comportamento dell’interessato su più siti web, di modo da costruirne un profilo (c.d. persona) che gli inserzionisti pubblicitari e le piattaforme da loro utilizzate (fra le tante: Google Analytics, Facebook Ads) sfruttano per proporre loro annunci pubblicitari quanto più pertinenti possibili.

Addirittura, con i cookie è possibile misurare l’efficacia di un messaggio pubblicitario, monitorandone l’impatto su tutto il pubblico per, eventualmente, correggerlo e migliorarlo anche nell’immediato futuro.

Gli altri strumenti di tracciamento

Come s’è visto in altre occasioni, i cookie non rappresentano l’unica tecnologia di tracciamento dell’utente esistente: proprio per questo, il provvedimento del Garante si spinge oltre essi, abbracciando anche il fingerprinting (ossia quella particolare tecnica che permette di identificare il dispositivo utilizzato dall’utente dalla sua specifica configurazione hardware e software), sempre più utilizzato per la profilazione ai fini della pubblicità comportamentale, e tutti gli altri strumenti che possono essere invasivi della privacy dei visitatori del sito.

Cookie vs. altri strumenti di tracciamento

Nel provvedimento in esame, il Garante opera, per la prima volta, un’importante distinzione, evidenziando come in base all’uso delle tecnologie di tracciamento adottate sia più o meno a rischio la riservatezza degli utenti.

Infatti, mentre i cookie sono strumenti di tracciamento attivi, contro i quali l’utente può ben difendersi disabilitandoli o impedendone l’installazione, il fingerprinting e gli altri strumenti di tracciamento sono definiti passivi, contro i quali l’utente non dispone di strumenti autonomamente azionabili, senza far ricorso al titolare del trattamento (ossia il titolare del sito web).

Infatti, in tali casi, i dati degli utenti sono raccolti e memorizzati negli archivi del titolare (o, peggio, in quelli dei suoi fornitori, come Google e Facebook).

Le tipologie di cookie e degli strumenti di tracciamento

Come già contemplato nelle vecchie linee guida, il Garante distingue tre diverse categorie di cookie:

  1. cookie tecnici: sono quelli necessari al funzionamento del sito web (ad esempio, i cookie che consentono di lasciare attiva la sessione dell’utente anche dopo che costui ha chiuso il browser). Per questa categoria di cookie non è necessaria l’acquisizione del consenso dell’interessato;
  2. cookie di profilazione: sono quelli, invece, che consentono la profilazione, anche cross site degli utenti, ai fini di tracciare le personas per formulare gli annunci basati sul marketing comportamentale. Per questa categoria di cookie è necessaria l’acquisizione del consenso dell’interessato.

L’Autorità precisa, inoltre, che la stessa distinzione deve essere operata per gli altri strumenti di tracciamento che il Titolare vuole installare e configurare sul suo sito web.

Una menzione a parte meritano i c.d. cookie analitici, ossia di quei cookie che sono utilizzati per misurare l’efficacia di un servizio della società dell’informazione. Già nel provvedimento del 2014, il Garante aveva specificato che i cookie analitici possono essere ritenuti di prima parte e, quindi, tecnici, a condizione che sia impedita l’identificazione diretta dell’interessato (il c.d. single out): dunque, i cookie in questione non devono contenere identificatori diretti e univoci.

Dunque, lo stesso cookie analitico dovrà essere riferibile a più dispositivi, di modo da garantire un certo grado di incertezza che consenta di non identificare l’utente. Per ottenere questo risultato, si può, ad esempio, mascherare l’indirizzo IP dell’utente in tutto o in parte.

Ancora, l’uso dei cookie analitici deve essere limitato ad un solo sito web (o app) e solo per la formulazione di statistiche aggregate, mai per il tracciamento cross site. I dati rilevati, inoltre, non dovranno mai essere incrociati con quelli di altri sistemi.

È tuttavia possibile, secondo il Garante, senza il ricorso alle misure di minimizzazione del dato innanzi accennate, effettuare mere analisi statistiche relative a più domini, siti web o app riferibili allo stesso Titolare senza che tali analisi siano svolte per assumere decisioni di natura commerciale.

Il banner informativo e l’acquisizione del consenso

Le nuove linee guida circostanziano meglio il contenuto del banner informativo che siamo ormai abituati a trovare su ogni sito web.

Innanzitutto, come già in passato, il banner deve essere posizionato in modo che l’utente possa vederlo e prenderne contezza, con colori a contrasto con quelli del sito stesso.

Se si utilizzano cookie e identificatori non tecnici, il banner dovrà contenere:

  1. l’avviso espresso sullo sfruttamento degli accennati strumenti;
  2. un pulsante (una X in alto a destra, o un pulsante “non presto il mio consenso”) chiudere il banner senza prestare il consenso all’uso dei cookie che, quindi, per impostazione predefinita, non andranno installati (fatta eccezione di quelli tecnici);
  3. il link alla privacy policy e alla cookie policy contenente l’informativa completa;
  4. un pulsante per accettare l’installazione dei cookie o di altri strumenti di tracciamento;
  5. il link a un’altra pagina del sito web da cui gestire in modo granulare le funzionalità, le terze parti e i cookie che si vogliono installare, tramite due ulteriori comandi, prestando il consenso a nuove tipologie di cookie o revocandolo anche in blocco.

Il Garante consiglia caldamente di implementare un segno grafico (come, ad esempio, una o più icone) che indichi nel footer del sito lo stato dei consensi resi dall’utente, con il link per poter modificare, in qualsiasi momento, le scelte di dettaglio.

Come già ribadito in più di un’occasione, il Titolare del trattamento deve essere in grado, in ossequio ai principi di privacy by design, privacy by default e di accountability previsto dal GDPR, di documentare nel dettaglio ogni consenso raccolto o revocato dagli utenti, ed anche per quali cookie o altri strumenti di tracciamento viene reso.

Dunque, deve essere predisposto un registro dei consensi cookie che permetta di documentare la storia di ogni consenso raccolto.

Se, invece, si utilizzano solo cookie tecnici la relativa informazione può essere pubblicata in home page o nell’informativa generale del sito web.

Il Titolare può reiterare la richiesta di consenso per gli utenti che abbiano scelto di non manifestarlo nei seguenti casi:

  1. se cambiano significativamente le condizioni del trattamento;
  2. quando sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo;
  3. quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Il divieto d’uso dei cookie wall e dello scrolling

Come già ribadito in più di un’occasione dal Garante, il titolare del sito web non può ricorrere ai c.d. cookie wall per obbligare l’utente ad accettare l’installazione dei cookie non tecnici.

I cookie wall sono quei particolari sistemi che inibiscono l’accesso a determinate aree del sito web ove l’utente non accetti o revochi il consenso all’installazione dei cookie: tale condotta è fortemente lesiva della riservatezza dell’utente stesso e, pertanto, il Garante ritiene i cookie wall illeciti.

Ad ogni modo il Garante ne ammette l’uso, previa verifica del rispetto dei principi del GDPR, ove il Titolare consenta ai propri utenti di accedere a servizi o contenuti equivalenti senza prestare il proprio consenso. Ovviamente, essendo un terreno abbastanza spinoso, se ne sconsiglia a priori l’utilizzo.

L’Autorità torna anche sul consenso raccolto tramite scrolling del sito web, non ritenendola una modalità conforme ai principi del GDPR che, come è noto, prevedono che il consenso debba essere costituito da un atto positivo e volontario dell’interessato.

Anche in questo caso, il Garante ne ammette l’uso nell’ipotesi residuale in cui lo scrolling sia collocato in un processo articolato, nel quale l’utente generi un evento, registrabile e documentabile presso il server su cui è collocato il sito, che possa essere qualificato come azione positiva idonea alla manifestazione del consenso.

Dunque, il Titolare non solo dovrà strutturare un complesso pattern, preciso ed inequivocabile, ma dovrà anche essere in grado di dimostrare l’avvenuta acquisizione del consenso, anche tramite l’installazione di un apposito cookie tecnico. Anche in questo caso, data la complessità della soluzione, se ne sconsiglia l’implementazione.

I cookie e il legittimo interesse

Altro argomento su cui si è dibattuto in passato è se l’uso dei cookie e degli altri strumenti di profilazione possa basarsi sul legittimo interesse come condizione di liceità del tracciamento, ossia se, in questo modo, si potesse superare la necessità di dover raccogliere il consenso degli utenti.

Il Garante ha stabilità che non è possibile basare il tracciamento sul legittimo interesse, dato che, in base ai principi del GDPR, i diritti degli interessati sarebbero compressi rispetto a quelli del Titolare.

L’informativa privacy sui cookie

Le nuove linee guida suggeriscono anche dei miglioramenti per la redazione delle informative privacy che dovranno essere conformi ai requisiti di trasparenza previsti dagli artt. 12 e 13 del GDPR.

In particolare, l’informativa, oltre a contenere tutti i requisiti previsti espressamente dal GDPR:

  1. dovrà essere redatta con un linguaggio semplice ed accessibile;
  2. deve essere multilayer, ossia dislocata su più livelli;
  3. può essere resa tramite più canali e modalità (deve essere, cioè, multicahannel), con il ricorso a pop-up informativi, interazioni vocali, chatbot e via discorrendo.

È, quindi, onere del titolare decidere come implementare l’informativa e con che modalità, sulla scorta dei servizi offerti.

Infine, secondo quanto disposto dal Garante, dovrà contenere l’indicazione espressa dei cookie installati, della loro tipologia, della data retention di ciascuno di essi e, come novità, anche l’indicazione degli altri strumenti di tracciamento utilizzati diversi dai cookie, indicando i criteri di codifica di ciascuno di essi.

I consensi raccolti prima del 10 gennaio 2022

Ove i consensi raccolti prima dell’entrata in vigore delle nuove linee guida del Garante siano conformi alle disposizioni del GDPR, potranno essere ritenuti ancora validi, purché siano stati correttamente registrati e documentabili.

Qualora ciò non sia possibile, il Titolare del trattamento dovrà raccoglierli ex novo.

Conclusioni

Dunque, i titolari dovranno procedere, ove non l’abbiano già fatto, ad una approfondita analisi dei loro processi legati ai propri siti web e alle app, aggiornare le informative e gli strumenti di raccolta dei consensi, di modo che questi siano sempre dimostrabili e incontestabili.

Ovviamente, come sempre, l’avvertenza è quella di comprendere una volta per tutte che la mera pubblicazione di una informativa privacy e cookie aggiornata non rende il sito conforme alle nuove linee guida, dato che essa è, di fatto, il frutto di un lavoro di analisi ed adeguamento approfondito.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5