Cookies: le nuove linee guida del Garante Privacy

2582 0

Cookies: il Garante per la protezione dei dati personali ha approvato il 10 giugno 2021 le nuove “Linee guida sui cookie ed altri strumenti del tracciamento”. L’obiettivo è quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.

Cosa sono i cookies

Si ricorda che i cookies sono dei file di testo generati da programmi che raccolgono informazioni circa i gusti, le abitudini dell’utente; tramite il sito web consultato, le scaricano quindi nella memoria interna del computer utilizzato per navigare. 

Cookies di profilazione

I cookies sono anche chiamati cookies di profilazione proprio perché tendono a creare profili relativi all’utente; vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

Cookies tecnici

Dai cookies di profilazione si distinguono quelli tecnici che sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Le motivazioni delle nuove Linee Guida

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy; tuttavia ha le sue motivazioni anche in una serie di altri fattori:

  • l’esperienza maturata in questi anni in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici. Esperienza maturata sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati;
  • il crescente uso di tracciatori particolarmente invasivi;
  • la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Cookies: l’acquisizione del consenso

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web:

  •  nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente,
  • non venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Cookies tecnici: obblighi

Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso cookies di profilazione

Riguardo il consenso per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web; attraverso questo dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati; ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.

Lo scrolling

Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito; evento che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

C’è da rilevare che, in questo caso, il Garante mostra un atteggiamento meno rigoroso rispetto al Comitato Europeo sulla protezione dei dati personali che, nelle proprie linee guida, esclude categoricamente la possibilità dello scrolling.

Il cookie wall

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo; salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti, senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

Banner

L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato:

  • non trova ragione negli obblighi di legge
  • risulta una misura ridondante e invasiva.

La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente:

  • le condizioni del trattamento;
  • sia impossibile sapere se un cookie sia già memorizzato nel dispositivo;
  • siano trascorsi almeno 6 mesi.

Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Cookies: una codifica universale

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente; una codifica universale potrà consentire di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Dello stesso autore, consulta i volumi di EPC Editore!

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici. Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore