Cookie, nuove linee guida del Garante Privacy: 𝟲 𝗺𝗲𝘀𝗶 𝗽𝗲𝗿 𝗮𝗱𝗲𝗴𝘂𝗮𝗿𝘀𝗶.


Il Garante per la protezione dei dati personali ha approvato il provvedimento 10 giugno 2021, n. 231 “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.

Il documento è volto a chiarire ed uniformare le indicazioni contenute nel Regolamento europeo 679/2016 (il cosiddetto GDPR), nelle prassi rilevate dall’Autorità nel corso della sua attività, nelle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e nelle indicazioni che sono emerse dalla consultazione pubblica.

Il Garante individua un termine di sei mesi per adeguarsi poiché riconosce che potrebbero derivare interventi tecnici anche piuttosto complessi per le organizzazioni dei titolari.

 

Cookie e altri strumenti di tracciamento

Le linee guida si applicano al trattamento dei dati personali effettuato tramite i cookie e gli altri strumenti di tracciamento poiché le finalità perseguite sono grosso modo le stesse: seguire l’attività di un utente online, per motivi tecnici o anche di studio comportamentale e profilazione.

I cookie vengono generalmente distinti dal punto di vista temporale (“di sessione”, cioè che vengono eliminati al temine della navigazione, o “permanenti” cioè che vengono mantenuti per un determinato periodo di tempo dopo la chiusura del browser), dal punto di vista soggettivo (“di prima parte” se il titolare del sito web si serve di cookie di sua proprietà e li gestisce o “di terza parte” se il titolare si serve di cookie di publisher o fornitori terzi) o dal punto di vista della finalità (“tecnici” se sono strettamente necessari al corretto funzionamento del sito web e “di profilazione” se vengono usati per ricondurre a soggetti determinati così da fornire servizi personalizzati.)

I cookie sono stringhe di testo che vengono archiviate sul terminale dell’utente e che, quindi, possono essere da questo cancellate. Questo permette all’utente un maggiore e più efficace controllo dei propri dati personali.

Gli altri strumenti di tracciamento possono anche avere una natura “passiva”, per cui vengono raccolte informazioni sul comportamento dell’utente su Internet che, però, rimangono unicamente nella disponibilità del titolare del trattamento. In questo caso, quindi, gli utenti hanno un minore controllo sul trattamento dei propri dati e, spesso, anche una minore consapevolezza del tracciamento.

Esiste una terza categoria dei cookie, i cookie analytics, che si ritrova nel provvedimento del 2014, viene nominata dal Garante in un paragrafo a parte in chiusura delle linee guida.

Il Garante, tuttavia, precisa che non esiste ancora un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento, per cui la distinzione tra le varie categorie resta, di fatto, affidata alla determinazione dei singoli titolari del trattamento. Per questo l’Autorità auspica che tale codifica generale venga effettuata in tempi rapidi e, nel frattempo, chiede ai titolari di indicare nell’informativa almeno i criteri che hanno utilizzato per classificare i loro cookie o altri strumenti di tracciamento.

 

I cookie analytics

Il Garante dedica un apposito paragrafo delle Linee guida ai cookie analytics, ossia quelli utilizzati per finalità valutative della performance del sito e per la sua progettazione, attraverso analisi di tipo statistico del traffico degli utenti.

Nelle vecchie indicazioni del Garante, per la disciplina dei cookie analytics era necessario distinguere tra cookie di prima parte, assimilabili a quelli tecnici (quindi utilizzabili senza consenso) e cookie di terze parti, per i quali era possibile una equiparazione ai cookie tecnici solo laddove i dati fossero anonimizzati.

Nelle nuove linee guida vengono però evidenziate le criticità date dalla possibile aggregazione di dati, che potrebbe inficiare l’anonimizzazione. Il Garante sottolinea quindi la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

 

Cookie, tracciamento e consenso

Una indicazione fondamentale contenuta nelle Linee guida e che deriva dall’intersezione della normativa dettata dalla Direttiva e-Privacy e di quella del GDPR riguarda la base giuridica del trattamento dei dati personali tramite cookie e altri strumenti di tracciamento.

L’art. 122 del Codice Privacy impone ai titolari di chiedere agli interessati il consenso per il trattamento per finalità diverse da quelle tecniche.

Il Garante precisa, quindi, che in questi casi non è lecito invocare il legittimo interesse del titolare quale condizione di liceità del trattamento; prassi che, invece, era molto diffusa sul web, come rilevato dall’Autorità nel corso delle sue verifiche.

Dunque, per i cookie tecnici il titolare dovrà unicamente fornire l’informativa sul trattamento dei dati personali, anche inserendola in quella generale del sito web. Per i cookie di profilazione e per tutti gli strumenti di tracciamento non tecnici, invece, sarà necessario chiedere il consenso all’utente.

 

Lo scrolling della pagina o la continuazione della navigazione possono essere considerati come consenso?

Come già ha sottolineato l’EDPB nelle sue Linee guida 5/2020, il Garante affronta la questione delle modalità di acquisizione del consenso tramite “scrolling” (scorrimento della pagina web), che presenta importanti criticità per quanto riguarda l’inequivocabilità dell’azione.

Il semplice “scroll” della pagina, quindi, non è da considerarsi come un consenso valido. Lo stesso vale per la continuazione della navigazione senza indicar4e una preferenza specifica sul banner.

Fanno eccezione a questa regola le rare circostanze in cui lo scrolling sia inserito in un processo più articolato volto a consentire all’interessato di manifestare il proprio consenso in modo libero, consapevole, inequivocabile e documentabile.

 

Privacy by design e by default e il cookie banner

È possibile rispettare il principio di by default garantendo che al momento del primo accesso non venga utilizzato nessun cookie o strumento di tracciamento che non abbia natura tecnica. In tale modo, il titolare potrà assicurare che, per impostazione predefinita, vengano trattati solo i dati strettamente necessari al funzionamento del sito web.

Deve essere poi data all’interessato la possibilità di prestare il consenso all’utilizzo dei cookie di profilazione o altri strumenti di tracciamento non tecnici, attraverso l’apposito banner con l’informativa breve.

Come dovrebbe essere costruito il banner perché sia funzionale e in linea con le indicazioni normative?

Il Garante fornisce un modello in linea con i requisiti normativi, aggiornando quello che aveva indicato con il provvedimento del 2014.

Vediamo di seguito le caratteristiche:

- le dimensioni del banner devono essere tali da costituire una “percettibile discontinuità nella fruizione dei contenuti”, evitando allo stesso tempo il rischio che l’utente possa fare ricorso a comandi in modo inconsapevole (ad esempio, cliccando per sbaglio sulla “X” di chiusura). Per questi motivi, le dimensioni dovranno essere parametrate anche in base ai diversi dispositivi che l’utente potrebbe utilizzare per accedere al sito web.

- il banner dovrà consentire in modo immediato, usabile e accessibile sia di proseguire la navigazione senza prestare alcun consenso, sia di acconsentire all’utilizzo di cookie di profilazione o strumenti di tracciamento non tecnici. A tal fine il Garante richiede che sia posizionata una “X” in alto a destra all’interno del banner, per poterlo chiudere con facilità, in questo modo mantenendo le impostazioni predefinite. La “X” dovrà avere la stessa evidenza grafica degli altri pulsanti forniti all’utente per selezionare le varie opzioni.

- proprio perché il banner deve causare una percettibile discontinuità nella fruizione del sito web e per le considerazioni che si sono dette sopra, la chiusura dello stesso tramite il click sulla “X” dovrà impedirne la riproposizione per un periodo di almeno sei mesi, salvo le eccezioni, specificate dal Garante, in cui può essere reiterata la richiesta di consenso. In questo modo si evita di inondare l’utente di eccessive richieste che rischierebbero di minare la percezione del valore del contenuto del banner.

 

L’Autorità elenca gli elementi che costituiscono il contenuto minimo del banner, ossia:

- l’avvertenza che la chiusura del banner cliccando sulla “X” comporterà il permanere delle impostazioni predefinite (solo cookie o strumenti di tracciamento di tipo tecnico);

- l’informativa minima, che specifica se vengono usati cookie o altri strumenti tecnici e che cookie e strumenti di altro tipo potranno essere selezionati tramite i comandi appositamente forniti;

- il link all’informativa estesa, che deve essere reperibile anche nel footer di ogni pagina e deve consentire all’interessato di accedere all’informativa tramite un solo click;

- un comando per esprimere il consenso al posizionamento di tutti i cookie o impiego di tutti gli strumenti di tracciamento;

- il link a un’ulteriore area in cui potranno essere selezionati analiticamente i cookie di profilazione o gli strumenti di tracciamento non tecnici, anche in base ai soggetti (prima o terze parti) e alle funzionalità, nell’ottica di consentire all’interessato di fornire un consenso granulare (specifico per ogni singolo trattamento). Nel rispetto del principio di privacy by default, tutte le scelte dovranno essere preselezionate in modo da negare l’utilizzo, dando così modo all’utente di esprimere il proprio consenso tramite un’azione positiva inequivocabile.

 

Oltre al banner, dovrà essere presente nel footer delle varie pagine del sito web un link che consenta di accedere a un’area tramite cui l’utente potrà modificare, in qualsiasi momento, le scelte compiute in relazione ai cookie e agli altri strumenti di tracciamento.

 

Il cookie wall: posso bloccare la navigazione con il banner cookie così che l’utente sia obbligato ad indicare una preferenza riguardo i cookie prima di accedere al sito web?

Riguarda, invece, il requisito della libertà del consenso la problematica del cosiddetto “cookie wall”, ossia quel meccanismo vincolante per cui l’utente, per accedere al sito, deve necessariamente prestare il proprio consenso al trattamento dei dati personali tramite cookie. È chiaro che, in questi casi, la manifestazione dell’interessato risulta coartata dalla mancanza di alternative, per cui non si può certo parlare di una scelta libera.

 

È necessario che il banner sia sempre visibile?

La continua comparsa del banner contenente l’informativa breve può essere invasiva per gli utenti e incidere sulla loro libertà nella prestazione del consenso, portandoli ad accettare trattamenti cui altrimenti non avrebbero acconsentito pur di fare sparire il banner.

 

L’Autorità individua solo alcuni casi in cui sia possibile reiterare la richiesta:

- quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento;

- quando sia impossibile per il titolare tenere traccia del fatto che un cookie sia già stato installato sul terminale dell’utente (ad esempio quando questi abbia cancellato i cookie memorizzati);

- quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

 

Strumenti a supporto

Esistono diversi strumenti che permettono la gestione delle informative e la creazione dei banner cookie.

Per una corretta gestione della problematica, è necessario individuare uno strumento con almeno le seguenti caratteristiche:

- Gestione di siti web, app mobile, touchpoint in generale;

- Scansione automatica dei cookie e altri sistemi di tracciamento installati sul sito web con la possibilità modificare le informazioni degli stessi;

- Informative personalizzate: informative standard e autogenerate non sono spesso applicabili ad ogni realtà;

- Banner personalizzato: deve essere possibile personalizzare il proprio banner per adattarlo al design del sito web / app e gestirne le dimensioni così da seguire le indicazioni del Garante;

- Blocco preventivo dei cookie: i cookie di natura non tecnica devono essere bloccati fino a che l’utente non acconsenta ad altre tipologie di cookie.

- Gestione del consenso: deve essere possibile

- Progettato da consulenti privacy e designer esperti: le informazioni devono essere rese in modo semplice ed intuitivo, una buona user experience passa quindi anche da una progettazione grafica chiara e funzionale.

 

CORA CookieCheck – Designed by Jump, integrated by Compet-e

Jump Group è una Digital Creative Company che progetta e realizza esperienze e soluzioni digitali fuori dall’ordinario, guidate da una forte creatività e radicate nella tecnologia, nei dati e nella strategia orientata ad impatti reali e misurabili.

CORA CookieCheck nasce dalle competenze condivise di JumpGroup e Compet-e. Offre una soluzione completa per la compliance dei siti web e della app al GDPR e alle disposizioni in materia di cookie.

 

CORA CookieCheck consente alle aziende di gestire in modo snello, semplice e strutturato i processi di gestione dei cookie e successivamente dei consensi.
La soluzione è in grado di centralizzare la gestione di tutti i touchpoint aziendali, mobile e web.

 

 

 

Maggiori informazioni:

- Il testo delle Linee Guida cookie e altri sistemi di tracciamento – 10 giugno 2021 [9677876] - https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876

Informazioni su CORA CookieCheck.