Guida agli adempimenti cookie per gli operatori di internet

Una tabella riassuntiva per identificare i necessari adempimenti in materia di cookie, con l’obiettivo di chiarire dubbi e perplessità derivanti da una normativa obsoleta

23 Giu 2022

Davide Marchese

Qubit Law Firm

Ilaria Giulia Bortolotto

Qubit Law Firm

Vogliamo fornire agli operatori di internet una chiara guida, sotto forma di tabella riassuntiva, al fine di facilmente identificare i necessari adempimenti in materia di cookie. L’obiettivo principale è quello di chiarire dubbi e perplessità derivanti da una normativa obsoleta, frammentata e spesso non chiara in ambito europeo e permettere agli operatori di avere un sito web legalmente conforme senza future sorprese.

Si precisa che per informazioni ulteriori e più esaustive rispetto a tali questioni e per ulteriori riflessioni sul tema, si rimanda all’articolo dal titolo: “Normativa sui cookie, uno scenario “spezzettato”.

Nella presente tabella verranno rappresentate in verde i requisiti e gli adempimenti previsti nello scenario europeo in materia di cookie, mentre in rosso verranno indicate le pratiche vietate.

Temi Adempimenti Normativa
Consenso ai cookie (non si applica per i c.d. cookie tecnici[1]) Obbligatoria richiesta del consenso all’utente in merito all’installazione dei cookie Art. 5.3 della Direttiva E-privacy[2].
Blocco preventivo dei cookie Obbligatorio che i cookie rimangano bloccati di default e che vengano attivati solo qualora l’utente presti il consenso Art. 5.3 della Direttiva E-privacy, Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Diritto al rifiuto Obbligatorio garantire all’utente la possibilità di rifiutare l’installazione dei cookie e, nel caso in cui questi fossero stati precedentemente attivati, procedere alla loro disattivazione.

N.B. è importante che la disattivazione dei cookie non determini pregiudizi in merito alla fruibilità del sito da parte dell’utente.

Art. 5.3 della Direttiva E-privacy
Caselle preselezionate Vietato prevedere il preselezionamento delle caselle per la richiesta del consenso ai cookie. art. 2 Direttiva E-privacy la quale rimanda al considerando 32 del GDPR secondo cui: “Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”.
Cookie banner (N.B.: per le caratteristiche e i necessari requisiti del banner secondo la normativa, si rimanda alla tabella successiva) dev’essere presente un “avviso immediatamente visibile” in cui vengano fornite informazioni, dislocate su più livelli, e in cui sia presente un link, o una serie di link, attraverso i quali l’utente viene indirizzato su una specifica pagina in cui potrà trovare informazioni ulteriori e più esaustive su ogni tipologia di cookie utilizzata. Per rendere tale “avviso immediatamente visibile” la soluzione maggiormente adottata è il Cookie banner ossia un pop-up che viene mostrato alla prima visita sul sito, nella pagina iniziale, tramite il quale l’utente potrà rifiutare o accettare l’attivazione dei cookie. Guidelines 02/2013 del WP29 che si riferiscono alla necessaria presenza di un “avviso immediatamente visibile riguardo ai cookie”.
Cookie policy La cookie policy deve sempre essere presente e deve contenere informazioni ulteriori e più dettagliate sui cookie rispetto a quanto previsto nel banner ed, in particolare, informazioni specifiche sui cookie di terze parti (ad es. se si tratta di cookie tecnici o meno) e, per ogni cookie, dovrà essere presente 1) descrizione della funzione di quel cookie, 2) luogo del trattamento, 3) tempi di conservazione, nonché informazioni in merito all’archiviazione dei dati personali acquisiti tramite cookie. Direttiva E-privacy all’art.5.3, precisa che l’utente debba essere sempre “(…) informato in modo chiaro e completo sugli scopi del trattamento” e che tali informazioni, a norma del considerando 66, debbano essere comunicate nel modo più chiaro e comprensibile possibile.
Comando di gestione delle preferenze cookie (Widget cookie e/o link al banner) Obbligatorio inserimento di un comando, sempre disponibile sul sito, attraverso il quale, con un click, il banner si riaprirà. In questo modo, l’utente potrà, in ogni momento, accedere alle informazioni relative ai cookie e modificare le preferenze fornite, revocando il proprio consenso riguardo a tutti o singoli cookie per i quali lo abbia prestato o rilasciando il proprio consenso rispetto a cookie per i quali non lo avesse ancora prestato. Le Guidelines 02/2013 del WP29 prescrivono che è necessario concedere all’utente “la possibilità di cambiare successivamente le preferenze date riguardo ai cookie” e che “le informazioni non devono scomparire dal sito una volta espresso il consenso”
Scrolling e/o proseguimento alla navigazione Il consenso deve essere “inequivocabile” e deve rappresentare una “scelta attiva” dell’utente. Pertanto, lo “scrolling” (ossia lo scorrimento della pagina verso il basso che permetta all’utente di procedere nella consultazione del sito) o il semplice proseguimento alla navigazione da parte dell’utente, non possono essere considerati come mezzi idoneo e assimilabili all’espressione di un consenso ai cookie tramite un comportamento “attivo” quale il click su un pulsante o la selezione di una casella Art. 2 Direttiva E-privacy, la quale rimanda all’art. 4 co. 11 GDPR (determinazione delle caratteristiche del consenso) e al considerando 32 GDPR (il consenso deve essere “inequivocabile” e, di conseguenza, “il silenzio o l’inattività” non si possano configurare come consenso”). Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020 in cui si stabilisce che “in base al considerando 32, azioni quali scorrere un sito o sfogliarne le pagine o azioni analoghe dell’utente, non potranno in alcun caso soddisfare il requisito di un’azione positiva inequivocabile”.
Cookie wall[3] Non è possibile bloccare l’accesso “generalizzato” al sito in caso di non accettazione dei cookie (ossia bloccare l’accesso al sito/al servizio principale). Ciò nonostante, è possibile bloccare l’accesso ad una sezione “specifica” del sito o limitare alcuni contenuti/servizi in caso di mancato consenso, ma sempre permettendo all’utente di usufruire del servizio principale. Guidelines 02/2013 del WP29: il consenso è “libero” solo nel caso in cui non vengano prospettate all’utente “significative conseguenze negative qualora questo non acconsenta”; in aggiunta, al considerando 25 della prima versione della Direttiva, si è stabilito che l’accesso ad uno specifico contenuto di un sito internet possa venire subordinato all’accettazione dei cookie, se usato per scopi legittimi.
Ricorso al legittimo interesse in luogo del consenso ai cookie. Il legittimo interesse non può essere considerato quale base legale idonea all’installazione dei cookie.[4] Art. 5.3 della Direttiva E-privacy (per l’attivazione dei cookie è necessario il consenso) in combinato disposto con l’art. 1 comma 2 della Direttiva e-privacy (Direttiva e-privacy si pone come lex specialis, mentre il regolamento GDPR come lex generalis, il quale si applica solo in caso di lacune della Direttiva). [5]

Cookie banner compliance

Elementi del banner Adempimenti normativa
Presenza del pulsante “rifiuta” e del pulsante “accetta” Obbligatorio che all’utente vengano fornite entrambe le opzioni affinché il consenso sia specifico e fornito liberamente Considerando 17 della Direttiva E-privacy, art. 2 Direttiva E-privacy la quale rimanda all’Art. 4 paragrafo 11 GDPR per la determinazione delle caratteristiche del consenso; Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Pulsante “accetta tutto” e “rifiuta tutto”. Il consenso deve rappresentare una scelta libera, specifica e una reale scelta dell’utente. Di conseguenza, all’utente deve essere fornita la possibilità di accettare o rifiutare l’installazione di tutti i cookie. Guidelines 02/2013 del WP29, secondo le quali, affinché il consenso sia “concesso liberamente” e sia conseguenza di una “reale scelta”, è necessario che l’utente abbia avuto la possibilità di “scegliere liberamente tra l’opzione di accettare alcuni o tutti i cookie o di rifiutare tutti o solo alcuni cookie”.
Pulsante “accetta” e pulsante “rifiuta” con uguale rilevanza. Il consenso deve essere “fornito liberamente” e deve rappresentare una “vera scelta” dell’utente, in assenza di condizionamenti, sotterfugi o inganni. Di conseguenza, il pulsante “accetta” (o “accetta tutto”) che il pulsante “rifiuta” (o “rifiuta tutto”) devono avere uguale rilevanza. art. 2 Direttiva E-privacy la quale rimanda all’Art. 4 paragrafo 11 GDPR per la determinazione delle caratteristiche del consenso; Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Informazioni nel banner All’interno del banner dovranno essere contenute le seguenti informazioni: 1) l’elenco delle categorie di cookie, divise per finalità, presenti sul sito, 2) i meccanismi sulla base dei quali si procederà all’installazione di questi (ad es. tramite il consenso o in assenza di consenso, in caso di soli cookie tecnici), 3) informazioni sulle conseguenze derivanti dall’accettazione dei cookie (ad es. il fatto che, come conseguenza, avverrà un monitoraggio delle attività dell’utente), 4) informazioni sulla possibilità di revocare il consenso in ogni momento e sulle modalità di revoca e 5) ogni altra informazione utile che possa rendere il consenso dell’utente valido secondo la normativa applicabile. Art. 5.3 Direttiva E-privacy precisa che l’utente debba essere sempre (…) informato in modo chiaro e completo sugli scopi del trattamento” e che tali informazioni, a norma del considerando 66, debbano essere comunicate nel modo più chiaro e comprensibile possibile”.
Presenza del link alla privacy policy Il consenso deve esser informato. Il consenso deve essere specifico, non in bianco, ossia fornito sulla base di determinate informazioni. Per questo motivo è necessario inserire sul banner il link alla privacy policy in cui saranno contenute informazioni ulteriori e più dettagliate in merito al trattamento dei dati personali. Guidelines 02/2013 del WP29
Consenso “granulare”, “per categoria” All’utente deve essere fornita la possibilità di acconsentire o rifiutare all’attivazione di cookie appartenenti alle singole categorie, diverse a seconda delle finalità dei cookie e dello scopo per cui essi sono utilizzati Guidelines 02/2013 del WP29 e art. 2 Direttiva E-privacy la quale rimanda al considerando 32 GDPR
Indicazione dei cookie di terze parti Obbligatorio inserire nel banner informazioni riguardanti cookie di terze parti. Ulteriori dettagli sono poi inseriti nella Cookie policy. Guidelines 02/2013 del WP29
Presenza di una “X” (in alto a destra del banner) o di altro comando che permetta agli utenti di esimersi dall’esprimere una preferenza in merito ai cookie[6] Per garantire una piena tutela dell’istituto del consenso, sarebbe necessario permettere all’utente di non esprimerne nessuno. In mancanza di un’espressa scelta da parte dell’utente, rimarranno disattivati tutti i cookie tranne quelli tecnici (utili al corretto funzionamento del sito) Garante privacy italiano (cfr Art. 5.3 della Direttiva E-Privacy)

Note

  1. Con “cookie tecnici” si intendono quei cookie che vengono attivati per la trasmissione delle comunicazioni e nella misura strettamente necessaria a fornire il servizio richiesto dall’utente, per l’attivazione dei quali non è mai necessario richiedere il consenso all’utente come previsto ai sensi dell’art. 5.3 della Direttiva E-privacy.
  2. Direttiva e-Privacy (2002/58/CE), così come modificata dalla direttiva 2009/136/CE.
  3. Per cookie wall si intende “un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza avere alcuna alternativa, ad esprimere il proprio consenso all’attivazione di cookie, pena l’impossibilità di accedere al sito”. Cfr “Linee guida cookie e altri strumenti di tracciamento” (n. 9677876) del Garante italiano al sotto-paragrafo 6.1.
  4. Tale interpretazione è quella maggiormente condivisa tra gli stati membri, pur sussistendo un orientamento contrario da parte della Germania. Si riassumono in tabella i principali riferimenti normativi alla base di tale interpretazione. Per un’analisi più approfondita sul tema si rimanda all’articolo pubblicato su “Risk management 360 “Normativa sui cookie, uno scenario “spezzettato”, di Ilaria Giulia Bortolotto e Davide Marchese, pubblicato il 30 marzo 2022 e disponibile al link: https://www.riskmanagement360.it/analisti-ed-esperti/normativa-sui-cookie-uno-scenario-spezzettato/ .
  5. Ad avvalorare tale ipotesi l’art. 2 e il considerando 17 della Direttiva specificano che il “consenso” deve avere la stessa definizione e significato del consenso della persona interessata così come definito ed ulteriormente determinato nel GDPR”. Di conseguenza, il rinvio posto dalla Direttiva al GDPR riguarda solo la definizione e le caratteristiche del consenso. Non viene invece previsto un rinvio al GDPR in merito alla determinazione di ulteriori basi legali oltre il consenso. Non viene dunque posto alcun rinvio all’art. 6 GDPR, il quale prevede ulteriori basi legali, oltre al consenso, per il trattamento dei dati personali, compreso il legittimo interesse.
  6. Rispetto a tale tema, si precisa che non esiste ancora un orientamento uniforme dettato dalle istituzioni europee ma che, basandosi sull’interpretazione data dal garante italiano, tale elemento dovrebbe essere necessariamente previsto in tutti gli stati europei proprio al fine di tutelare l’istituto del consenso posto, dalla Direttiva e-privacy (art. 5.3.), quale baluardo per la tutela degli utenti in materia di cookie.

@RIPRODUZIONE RISERVATA
M
Davide Marchese
Qubit Law Firm
B
Ilaria Giulia Bortolotto
Qubit Law Firm
Argomenti trattati

Approfondimenti

P
privacy

Articolo 1 di 4