Nuove regole cookie in vista dal Garante Privacy: ecco quali - Cyber Security 360

consultazione linee guida

Nuove regole cookie in vista dal Garante Privacy: ecco quali

In consultazione le nuove linee guida per i cookie dal Garante Privacy. Recepiscono novità giuridiche sul tema dello scrolling e del cookie wall, ma anche spingono verso una necessaria standardizzazione per le richieste di consenso e nuove modalità di comunicazione dell’informativa. Si comincia anche ad affrontare il tema degli strumenti alternativi di tracciamento (fingerprinting)

10 Dic 2020
L
Angela Lo Giudice

Avvocato, Polimeni.Legal

Oggi il Garante della Privacy ha messo in consultazione pubblica le nuove linee guida sui cookie. Era ora. Era passato troppo tempo, infatti.

Un aggiornamento era necessario, alla luce sia di novità giuridiche sia di progressi tecnici in termini di strumenti di tracciamento utente.

Perché era il momento di rinverdire la normativa cookie in Italia

Ricordiamo che in tema di cookie, in Italia vige ancora il provvedimento lell’8 maggio 2014 rubricato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l´uso dei cookie”; un documento molto ben fatto ma entrato in vigore prima del GDPR (e quindi dell’introduzione dei principi di privacy by design e privacy by default e del principio cardine di tutto l’impianto normativo, quello dell’accountability) e prima che l’EDPB, con il provvedimento 5/2020, modificasse le linee guida sul consenso proprio limitatamente alla parte relativa ai cookie.

Si sentiva pertanto l’esigenza di un aggiornamento, più che di una modifica sostanziale, di quelle che fino ad oggi sono state le regole italiane sui cookie.

Il Garante è consapevole che il provvedimento attualmente in vigore aveva bisogno solo di qualche specificazione ulteriore ed infatti, in molti passi delle linee guida si percepisce, laddove non è espresso chiaramente, il rimando alla precedente normativa di cui, si ripete, queste linee guida sembrano un semplice aggiornamento.

Le novità in vista per le regole privacy sui cookie

Cosa cambia, quindi? E cosa resta uguale?

Cookie tecnici e analitici

Nessun cambiamento in relazione ai cookie tecnici, ancora assoggettati, come in passato al semplice obbligo di informativa. Identicamente, quelli analitici anche di terze parti che restano equiparabili ai cookie tecnici solo se vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile; se viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP; oppure se le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.

Un elemento importante è che laddove il sito consenta l’installazione dei soli cookie tecnici, di essi potrà essere data informazione nella home page o nell’informativa generale senza l’esigenza di appore specifici banner da rimuovere a cura dell’utente.

La novità più importante: profilazione e consenso

Scrolling

In tema di profilazione e consenso, invece, c’è da prestare attenzione.

Se, infatti, in termini generali, lo scrolling non è più consentito (in ottemperanza alle richiamate linee guida 5/2020), il Garante specifica che a non essere in linea con la disciplina attualmente in vigore è il consenso prestato attraverso il solo e semplice scrolling down perché non consente di poter considerare il consenso come manifestato in modo inequivocabile ma, nel caso in cui lo scrolling sia accompagnato da un gesto ulteriore, chiaramente positivo, torna ad essere un utile elemento.

Si legge, infatti: “Lo scrolling, tuttavia, può essere una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie.”

Più sinteticamente, nello schema riassuntivo, si legge questo: “l’indicazione che la prosecuzione della navigazione mediante la selezione di un esplicito comando o di un elemento contenuto nella pagina sottostante il banner comporta la prestazione del consenso alla profilazione”.

A ben guardare, questa frase non differisce molto da quella già presente nel provvedimento del 2014 che testualmente diceva: “l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporta la prestazione del consenso all´uso dei cookie.”

Come già detto, infatti, queste linee guida costituiscono solo un approfondimento necessitato dal mutato quadro giuridico.

Cookie wall

Diverso, invece, il discorso per i cookie wall, nella formula “take it or leave it” che sono assolutamente inutilizzabili perché in questo caso il consenso sarebbe “estorto” e pertanto non valido.

Anche per ciò che attiene il meccanismo di acquisizione del consenso online tramite presentazione del banner nessun cambiamento particolare; si parla in proposito di aggiornamenti o migliorie alla luce del mutato assetto normativo.

Il rispetto dei principi di privacy by design e by default infatti impone che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione.

Pertanto, dovrebbe essere presente un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.

In ottemperanza al noto principio di granularità del consenso, inoltre, si chiede che l’utente sia messo in condizione di accettare tutti o soltanto alcuni dei cookie e che questi siano impostati di default su diniego all’installazione dei cookie.

Inoltre, il Garante ha riscontrato che le interrogazioni e le verifiche circa il posizionamento di cookie da parte di uno specifico sito web possono avere esiti diversi a seconda del browser considerato.

Codifica standardizzata

Proprio in ragione di ciò, viene chiesto che per una migliore trasparenza ed usabilità dei siti, si arrivi ad adottare una codifica standardizzata relativa alla tipologia dei comandi, dei colori e delle funzioni da implementare all’interno dei siti web per conseguire la più ampia uniformità.

Un aspetto importantissimo, da tenere in considerazione, è che non è necessario reiterare il consenso dell’utente all’installazione dei cookie qualora questo sia stato precedentemente prestato, validamente acquisito (e il titolare è in grado di provarlo) e non ci sia stato nessun mutamento dei cookie; in ogni caso deve essere sempre possibile revocarlo.

Come farlo se il banner può non essere riproposto?

La pagina iniziale del sito dovrà rendere sempre disponibile il link alla privacy policy nonché all’area dedicata alle scelte di maggiore dettaglio.

In questa area andranno indicati i comandi relativi alle scelte granulari e due ulteriori comandi che consentano di modificare anche in blocco una scelta precedente; uno per acconsentire all’impiego di tutti i cookie o di altri strumenti di tracciamento per chi non vi avesse acconsentito in precedenza, l’altro per revocare, anche in unica soluzione, il consenso eventualmente già espresso.

Informativa

Per ciò che attiene alle novità in tema di informativa, si ritiene inoltre che questa, oltre che multilayer, e cioè dislocata su più livelli, possa ad oggi essere resa, eventualmente in relazione a specifiche necessità, anche per il tramite di più canali e modalità (cd. multichannel), in modo da sfruttare al massimo più dinamici e meno tradizionali ulteriori punti di contatto tra il titolare e gli interessati.

Anche, ad esempio, attraverso il ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all’impiego del telefono, al ricorso a chatbot, etc.

Si precisa quindi che, in applicazione del principio di accountability, spetta al titolare, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento.

Lo schema in sintesi, è disponibile qui.

Altri sistemi di tracciamento

Da ultimo, un accenno merita di essere fatto ad un elemento ulteriore e cioè il richiamo agli altri sistemi di tracciamento che sono la vera novità di queste linee guida.

Il Garante, infatti, ricorda che la veicolazione di pubblicità comportamentale non avviene solamente con l’utilizzo di cookie (identificatori attivi) ma anche attraverso altri strumenti quali, ad esempio il fingerprinting (identificatori passivi) e pertanto sia il fingerprinting che gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle Linee guida.

In casi come questo, tuttavia, occorre prestare sufficiente attenzione ad una basilare diversità e cioè che a differenza di quanto avvien con l’uso dei cookie, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare.

Ciò in quanto quest’ultimo fa uso di una tecnica di accesso che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera lettura delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5