Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento, la consultazione del Garante - Riskmanagement

Normative

Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento, la consultazione del Garante

Banner, scrolling down, cookie wall, consenso, cookie tecnici, privacy by design e by default. Ecco tutti gli argomenti affrontati con le associazioni di categoria più rappresentative

19 Mag 2021

Andrea Citterio

Privacy Officer

Si è conclusa il 10 gennaio 2021 la pubblica consultazione sulle nuove “Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento”, avviata dal Garante Privacy l’11 dicembre 2020. La consultazione ha interessato le associazioni di categoria più rappresentative. Obiettivo della consultazione è stato quello di acquisire osservazioni e proposte rispetto alle indicazioni che si intendono fornire con specifico riferimento all’utilizzo di cookie e di altri strumenti di tracciamento, nonché quello di specificare le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso on-line degli interessati, chiarendo che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere libera, specifica, informata ed inequivocabile, ed esigendo che i principi di protezione dei dati vengano già previsti sin dalla progettazione e attraverso impostazioni predefinite. In attesa dei risultati di questa consultazione proviamo a riassumere le indicazioni del Garante.

Il quadro giuridico di riferimento

Come indicato dal Garante il quadro giuridico di riferimento è disciplinato:

  • dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva e-Privacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del D.lgs. 196/2003 il quale prevede che “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate”;
  • dal Regolamento europeo per ciò che concerne la nozione di consenso (che deve essere libero, specifico, informato, inequivocabile) di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali il 25 maggio 2018 e sostituite, da ultimo, dalle “Guidelines 05/2020 on consent under Regulation 2016/679” adottate il 4 maggio 2020.

Gli strumenti di identificazione attivi e passivi

Il considerando 30 del Regolamento afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza”. Tali identificativi possono essere suddivisi in due categorie: attivi e passivi.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Nella prima categoria facciamo rientrare i c.d. cookie, file di testo necessari affinché il sito sul quale sono installati possa ottenere informazioni sull’attività compiuta dall’utente del sito stesso. Questi possono svolgere importanti funzioni quali ad esempio l’autenticazione informatica, il monitoraggio di sessioni o possono tenere traccia degli articoli in un carrello degli acquisti online sino alla verifica in ordine al soggetto che accede a determinati servizi (cd. “di autenticazione”). Sempre attraverso i cookie è possibile veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario. Possono quindi contenere dati personali (ad es. il nome utente o l’indirizzo email) o dati non personali (ad es. le impostazioni sulla lingua).

Nella seconda categoria possiamo annoverare ad esempio il fingerprinting definito come “la tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato”. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web.

La differenza tra queste categorie sta nel fatto che mentre nel primo caso l’utente, che non intende essere profilato, oltre a poter rifiutare il proprio consenso ha la possibilità pratica di rimuovere direttamente i cookie, nel secondo caso si fa uso ad una tecnica di accesso che presuppone la mera lettura delle configurazioni del dispositivo, rendendolo identificabile, ma il cui esito si sostanzia in un profilo che resta nella sola disponibilità del Titolare, ed a cui l’interessato non ha accesso libero e diretto.

La classificazione dei cookie

Se da un lato possiamo considerarli dal punto di vista temporale (di sessione o permanenti) o dal punto di vista soggettivo (autonomi o per conto della “terza parte”), la classificazione che risponde alla ratio della disciplina di legge è quella che si basa su due categorie:

  • Cookie tecnici – quelli utilizzati al fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice). Per questi non è richiesto il consenso preventivo degli utenti e il Titolare del trattamento sarà assoggettato al solo obbligo di fornire l’informativa, anche eventualmente inserita all’interno dell’informativa di carattere generale. Possono essere suddivisi in:
  • Cookie di navigazione o di sessione – garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  • Cookie analytics – assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
  • Cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua o i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
  • Cookie di profilazione e gli altri strumenti di tracciamento – volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete, sono utilizzabili previa acquisizione del consenso, comunque informato, del contraente o utente.

L’informativa con modalità semplificate e l’acquisizione del consenso online (provv. N.229 dell’8 maggio 2014)

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente. Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve.

Il banner contenente l’informativa breve e richiesta di consenso – nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni o tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando contenente le seguenti indicazioni:

  1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
  3. il link all’informativa estesa, dove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, e dove viene data la possibilità di scegliere quali cookie autorizzare, indicando la procedura da eseguire per configurare tali impostazioni;
  4. l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  5. l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente. È necessario, inoltre, che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia. Ciò consente che non sia più riproposta all’utente l’informativa breve alla seconda visita sullo stesso sito, ferma restando la possibilità per questi di negare nuovamente il consenso e/o modificarlo in maniera agevole.

L’impianto viene ritenuto ancora valido e il Garante introduce opportuni chiarimenti circa il c.d. scrolling, il divieto di cookie wall e la reiterazione nella richiesta di consenso.

Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del Titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione. Tuttavia, qualora le soluzioni adottate “siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”, idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento, esse saranno da ritenersi “in linea con i requisiti di legge”.

Circa il cd. cookie wall, nel quale l’utente viene obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione pena l’impossibilità di accedere al sito, tale meccanismo è da ritenersi illecito, salva l’ipotesi, da verificare caso per caso, nella quale il Titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie.

Circa il consenso, l’articolo 7 del Regolamento europeo richiede che la sua acquisizione sia dimostrabile: i Titolari devono implementare meccanismi che permettano loro di provare, in qualsiasi momento, di aver ottenuto validamente il consenso dell’utente. Una volta correttamente acquisito, non dovrà essere nuovamente richiesto se non all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto ovvero quando sia impossibile avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo e il Titolare non abbia adottato altro sistema per tenere traccia del consenso espresso).

Utilizzo di cookie e altri strumenti di tracciamento: privacy by design e by default

Il meccanismo di acquisizione del consenso – il Titolare dovrà garantire che per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione. Poiché occorre assicurare la libertà di scelta di chi intenda accettare di essere profilato, il Garante suggerisce che i gestori dei siti web implementino un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito, visualizzi immediatamente “un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, che sia parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di una azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell’interessato”. Il consenso, potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, ed espresso in relazione a ciascuna finalità del trattamento. Il Garante specifica che tale area dovrà contenere almeno le seguenti indicazioni e opzioni:

  1. l’indicazione di una informativa minima relativa al fatto che il sito utilizza cookie tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente;
  2. il link alla privacy policy estesa (inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento);
  3. l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano” comporta la prestazione del consenso alla profilazione;
  4. un comando attraverso il quale sia possibile esprimere il proprio consenso alla profilazione accettando il posizionamento di tutti i cookie o l’impiego di altre tecniche di tracciamento;
  5. il link ad una ulteriore area dedicata nella quale sia possibile selezionare soltanto le funzionalità, i soggetti cd. terze parti – il cui elenco deve essere tenuto costantemente aggiornato – e i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire;
  6. un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  7. il cd. “diritto di ripensamentoe di revoca del consenso agli utenti che, avendo già effettuato una specifica scelta al momento del primo accesso al sito web, intendano poi optare per una scelta diversa. A tali utenti, ad ogni accesso successivo al primo, non verrà riproposto il meccanismo del banner, ma la pagina iniziale del sito dovrà comunque rendere sempre disponibile il link alla privacy policy nonché all’area dedicata alle scelte di maggiore dettaglio;
  8. vengano collocati, oltre ai comandi relativi alle scelte granulari (le possibili scelte granulari potranno essere inizialmente preimpostate sul diniego all’installazione dei cookie), due ulteriori comandi che consentano di modificare anche in blocco una scelta precedente; uno per acconsentire all’impiego di tutti i cookie o di altri strumenti di tracciamento per chi non vi avesse acconsentito in precedenza, l’altro per revocare, anche in unica soluzione, il consenso eventualmente già espresso. Anche tale scelta dell’utente dovrà naturalmente essere adeguatamente documentata dal Titolare.

Laddove sia prevista la sola presenza di cookie tecnici, di essi potrà essere data informazione nella home page o nell’informativa generale senza l’esigenza di appore specifici banner da rimuovere a cura dell’utente.

I cookie analytics di prima parte e delle cd. terze parti – l’Autorità ha affermato, nel provvedimento del maggio 2014, che possono essere ricompresi nella categoria di quelli tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, ma solo se:

  1. si precluda la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out);
  2. venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  3. i dati, anche così minimizzati, non dovranno essere combinati con altre elaborazioni o trasmessi a terzi, pena l’inaccettabile potenzialità di identificazione dell’utente.

Il Garante sottolinea la necessità che il loro uso sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione a un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

Conclusioni

Attualmente restiamo in attesa di ricevere indicazioni dall’Autorità. Qualche considerazione già trapela soprattutto nel campo dell’editoria e dei gestori di siti web. Seppur i contributi che saranno presentati non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante stesso, sicuramente risulterà importante arrivare alla definizione di regole chiare e certe a tutela sia degli interessati ma anche dei Titolari del trattamento.

@RIPRODUZIONE RISERVATA
C
Andrea Citterio
Privacy Officer
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
P
privacy

Articolo 1 di 5