COOKIES, NUOVE LINEE GUIDA GARANTE PRIVACY: COME ADEGUARSI

0
44

Il nuovo provvedimento emanato dal Garante della Privacy indica quali regole applicare alle operazioni di lettura e scrittura all’interno del terminale di un utente, con riferimento all’utilizzo di cookie e di altri strumenti di tracciamento e specifica le corrette modalità di acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Regolamento in materia di protezione dei dati personali (GDPR).

Il documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014 alla luce delle novità introdotte dal Regolamento europeo 679/2016 (il cosiddetto GDPR), delle prassi rilevate dall’Autorità nel corso della sua attività, delle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica.

LA NORMATIVA SUI COOKIES

In tema di cookie e altri strumenti di tracciamento è possibile definire due livelli normativi: il livello speciale e quello generale.

Per quanto riguarda il primo livello, la normativa applicabile è la Direttiva 2002/58/CE (Direttiva ePrivacy), recepita in Italia dal Codice privacy. In particolare, l’articolo 122 costituisce il riferimento in tema di “archiviazione di informazioni” nei dispositivi degli utenti (operazione effettuata anche mediante i cookie). L’articolo infatti definisce la regola generale di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi, definendo comunque alcune eccezioni alla regola relative all’archiviazione per finalità tecniche.

Se il Codice privacy costituisce lex specialis, è comunque necessario riferirsi al Regolamento (UE) 2016/679 (GDPR) per le disposizioni generali applicabili. Quindi, per esempio, il Codice privacy con l’art. 122 indica la regola del consenso per l’archiviazione di informazioni sui dispositivi, mentre il GDPR con l’art. 4, punto 11) ne precisa la definizione generale e le caratteristiche, specificando anche le condizioni del consenso con l’art. 7.

I SISTEMI DI TRACCIAMENTO

Quando parliamo di cookie facciamo riferimento a stringhe di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e archiviano all’interno del suo dispositivo durante la navigazione, allo scopo di identificare chi ha già visitato il sito in precedenza (cookie tecnici).

Ciò permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte da questo online (cookie analitici e di profilazione). 

Questi strumenti possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo) e per tale motivo vengono definiti anche “identificatori attivi”.

Al fianco di questi ultimi troviamo gli “identificatori passivi”. Come i primi, anche questi consentono di effettuare trattamenti analoghi ai cookie – come il fingerprinting – con la differenza che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del sito.

QUALI TIPOLOGIE DI COOKIE ESISTONO

Il Garante definisce due macro-categorie di cookie:

  • cookie tecnici, necessari al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice privacy). La definizione tratta dal Codice privacy permette di considerare cookie tecnici, per esempio, i cookie necessari a ricordare la scelta dell’utente con riferimento alla chiusura del banner oppure i cookie che permettono di gestire l’autenticazione di un utente nella sua area riservata;
  • cookie di profilazione, utilizzati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (nuove linee guida, par. 4). In tal caso è possibile indicare in tale categoria alcuni esempi come i cookie di Doubleclick, di Facebook, di Hubspot o di Criteo.

COME RICHIEDERE IL CONSENSO ATTRAVERSO IL BANNER

Per raccogliere il consenso in modo conforme alla normativa, il banner deve contenere:

  • il comando (es. una “X” in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento (interruttore acceso/spento). Questa area dedicata alle scelte di dettaglio deve essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.

Inoltre, il Garante descrive alcune ulteriori modalità di raccolta del consenso: lo scrolling e i cookie wall. In particolare, lo scrolling è ritenuto di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

I cookie wall, invece, sono illeciti salva l’ipotesi – da verificare caso per caso – n lla quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.

ADEGUAMENTO ALLE NUOVE LINEE GUIDA

Il periodo di adeguamento alle disposizioni delle nuove Linee guida del Garante per la protezione dei dati personali deve avvenire entro il 10 Gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 Luglio 2021. 

Per i consensi ottenuti prima del 20 luglio 2021 saranno validi a patto che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui