Privacy

Cookie-correlati: trattamenti poco trasparenti, il Garante vuole approfondire

L’Autorità di controllo ha avviato un esame approfondito per verificare la liceità del trattamento e, in particolare, l’acquisizione del consenso. Ma questo è solo uno dei tanti problemi in campo

19 Ott 2022

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Cookie wall, o correlati: il Garante per la Privacy ha avviato un esame approfondito per verificare la liceità del trattamento, in particolare l’acquisizione del consenso. La notizia è stata pubblicata sul sito del Garante e rilanciata prima dagli account social dell’Autorità.

Negli ultimi giorni diverse testate giornalistiche on line, siti web e aziende operanti su Internet nel settore televisivo, hanno messo in campo sistemi e filtri, che condizionano l’accesso ai contenuti alla sottoscrizione di un abbonamento (il cosiddetto paywall) o, in alternativa, al rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali (il cosiddetto cookie wall).

L’Autorità, anche a seguito di alcune segnalazioni, sta esaminando tali iniziative alla luce del quadro normativo attuale, anche al fine di valutare l’adozione di eventuali interventi in materia.

Cookie wall: sotto la lente del Garante la mancanza di trasparenza

In questo caso, quindi, ciò che è sotto esame è rappresentato dal fatto che si voglia subordinare la fruizione dei contenuti multimediali, e il conseguente trattamento di dati personali, alla sottoscrizione di un contratto o all’installazione di cookie o altri strumenti di tracciamento. Quanto vorrà fare il Garante, dunque, sembrerebbe essere focalizzato alla verifica di un bilanciamento degli interessi in gioco, al fine di evitare ingerenze indebite e illecite, da parte degli editori dei siti, forti della loro posizione “dominante” sugli utenti del sito. È bene ricordare che, in questo frangente, che sia l’adempimento di misure contrattuali o precontrattuali, sia il consenso, rappresentano una delle molteplici basi giuridiche che possono rendere lecito il trattamento di dati personali.

WHITEPAPER
DATI: come PROTEGGERLI e mantenerli CONFORMI alle regole? Scarica la Guida
Sicurezza dei dati
Database

Questa nuova problematica, che giustamente è finita sotto la lente d’ingrandimento del Garante (e, a ben vedere, potrebbe finire anche sotto quella di altre autorità di settore), fa solo da corredo a quella che, invece, è facilmente riscontrabile da chiunque: la mancanza di trasparenza e facilità di accesso alle informazioni relative ai cookie, prassi tragicamente diffusa da sempre e che si è addirittura accentuata con l’entrata in vigore del GDPR e del più recente provvedimento sui cookie, risalente al 10 giugno 2021 e applicabile dal 9 Gennaio 2022, che hanno favorito le mire commerciali di certe imprese che offrono, come principale servizio, proprio quello di fornire i cookie wall o gli strumenti da implementare sui siti web per gestire i cookie e i consensi.

cookie wall

I cookie wall nel quadro normativo

Alla luce dell’attuale quadro normativo è evidente che la trasparenza e l’accessibilità alle informazioni devono essere criteri di estrema importanza nella progettazione di un sito affinché risponda ai principii di accountability, privacy by design e privacy by default, tant’è che l’ultimo provvedimento sopra menzionato consiglia alcuni miglioramenti che gli editori e i gestori dei siti possono adottare per mettere gli utenti nella condizione di ricevere le informazioni previste in maniera conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del GDPR e non solo, visto che dovrebbero essere considerate anche le Linee guida sulla trasparenza, emesse WP29 nel 2017, sul diritto d’accesso (EDPB, 2022), sull’interazione tra le norme sui servizi a pagamento e il GDPR (EDPB, 2020), sulla privacy by design e by default (EDPB, 2019), sul consenso (EDPB, 2020) o sull’accessibilità dei contenuti web (W3C, 2009), giusto per citarne alcuni.

Ciò che emerge dalla lettura di questi documenti normativi e non, è che l’utente deve sempre essere informato e che ciò deve avvenire (tipicamente attraverso un’informativa) con un linguaggio semplice e accessibile (in funzione delle caratteristiche del destinatario come lingua o disabilità percettive o cognitive, per esempio), eventualmente facendo ricorso a più media, più canali e modalità, come pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot, eccetera.

Tendenzialmente, solo se si utilizzano cookie tecnici, la relativa informazione può essere collocata in home page o nell’informativa generale del sito web, che dovrebbe essere sempre presente nel footer. Diversamente, se si trattano anche altri cookie e altri identificatori “non tecnici”, sorge l’obbligo di ricorrere a un banner a comparsa immediata (che dovrebbe essere bloccante, in alcuni casi) e di adeguate dimensioni (cioè ben visibile da chiunque e su qualunque dispositivo) che contengano gli elementi previsti dalla norma, tra cui la possibilità di esprimere il consenso all’installazione di determinati cookie, almeno suddivisi per categoria. Ed è proprio qui che i nodi vengono al pettine e iniziano i problemi e le criticità, sia sotto al profilo della programmazione, che sotto a quello della conformità normativa. Infatti, un meccanismo basato sulla logica “prendi o lascia” nel quale l’utente è sostanzialmente obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o di altri strumenti di tracciamento, è illecito.

I punti disattesi dagli editori

Il punto, ora, è che nella maggior parte dei siti (anche delle istituzioni pubbliche) tali aspetti sono sistematicamente non osservati, in spregio alla trasparenza e alla correttezza del trattamento, ovvero senza riguardo per l’intelligibilità dell’informazione. A partire dal fatto che non sempre le informazioni sono veritiere e molti editori dichiarano di avere cookie “non tecnici” e “di terze parti” (anche quando non sono affatto presenti), passando per il fatto che molti siti installano questo tipo di cookie per impostazione predefinita (cosa che ovviamente non dovrebbe avvenire), fino a giungere al fatto che sovente l’utente non abbia la possibilità di rifiutarli tutti con un’unica scelta… e senza considerare quei casi in cui, inspiegabilmente, si fa riferimento a un fantomatico “legittimo interesse” non meglio specificato e che può essere selezionato o deselezionato dall’utente, il che è un controsenso assoluto, perché se l’interesse fosse davvero legittimo, allora prevarrebbe sulla volontà dell’interessato, perché non avrebbe ripercussioni negative sui suoi diritti e sulle sue libertà.

Questi aspetti dovrebbero essere ben presi in considerazione, non solo per via del fatto che il Garante sta osservando da vicino i cookie wall di diverse testate giornalistiche on line, siti web e aziende operanti su Internet nel settore televisivo, ma anche alla luce del programma ispettivo dell’autorità, che per il secondo semestre di quest’anno prevede proprio, in via prioritaria, accertamenti relativi a profili di interesse generale, tra cui specifiche verifiche relative alla corretta applicazione delle indicazioni di cui alle Linee guida in materia di cookies e di altri strumenti di tracciamento.

@RIPRODUZIONE RISERVATA
D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Articolo 1 di 4