Le nuove linee guida del Garante Privacy sull’utilizzo dei cookie e di altri strumenti di tracciamento

Introduzione

Il 10 dicembre 2020, l’Autorità garante per la protezione dei dati personali (“Garante Privacy” o l’”Autorità”) ha avviato una consultazione pubblica sulle “Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento” (“Linee Guida”), destinata a concludersi il prossimo 11 gennaio 2021.

La stessa Autorità era già intervenuta sul tema “cookie” con il Provvedimento n. 229 dell’8 maggio 2014, denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (“Provvedimento Cookie”).

Tuttavia, a seguito dell’entrata in vigore del Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), nonché delle novità e dei chiarimenti in tema di consenso forniti dall’European Data Protection Board (“EDPB”) con le Linee Guida 5/2020 sul consenso[1], il Garante Privacy ha ritenuto necessario aggiornare il precedente Provvedimento Cookie adottando le Linee Guida, le quali hanno lo scopo di specificare sia le modalità di acquisizione, ove necessario, del consenso online degli interessati per l’installazione dei cookie, sia le informazioni relative all’utilizzo dei cookie che dovranno essere comunicate agli interessati ex art. 13 del GDPR.

Il presente contributo analizzerà quindi:

• le novità in merito all’acquisizione del consenso online per l’installazione dei cookie;
• l’applicazione del principio di privacy by design e privacy by default ai cookie;
• il contenuto dell’informativa privacy da consegnare agli interessati.

1. I cookie e gli altri strumenti di tracciamento

I cookie sono stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (i.e. tablet, smartphone o dispositivi di IoT). Le informazioni codificate nei cookie possono includere sia dati personali (ad esempio, un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail) sia dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie possono essere qualificati sotto vari profili:

• il profilo temporale e dunque classificati in base alla loro durata (cd. “cookie di sessione” o “cookie permanenti”);
• il profilo soggettivo e dunque classificati a seconda che il publisher agisca autonomamente (i c.d. “cookie di prima parte”), ovvero per conto di terze parti (c.d. “cookie di terze parti”).

Le funzioni svolte dai cookie sono molteplici (quali, a titolo esemplificativo e non esaustivo, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, la profilazione, etc.) e variano a seconda della loro tipologia.

A tal fine, i cookie vengono distinti nelle seguenti macro categorie:

La vera novità delle Linee Guida è rappresentata dall’applicabilità delle stesse anche ad ulteriori strumenti di tracciamento, i cd. identificativi “attivi” e “passivi”. Ciò in ragione del fatto che le medesime finalità perseguite con l’utilizzo dei cookie possono essere realizzate attraverso l’utilizzo dei predetti identificativi attivi e passivi.

Tra gli strumenti “passivi”, il più utilizzato risulta essere il “fingerprinting”, ossia una tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

Tra le finalità perseguite con il fingerprinting, vi è (inter alia) quella della profilazione dell’utente, tesa alla visualizzazione di pubblicità comportamentale personalizzata e all’analisi e al monitoraggio dei comportamenti dei visitatori di siti web.

Sebbene le finalità perseguite con l’utilizzo degli strumenti di tracciamento e dei cookie siano le medesime, vi è una principale differenza:

• nel caso di utilizzo di cookie l’utente che non intenda essere profilato può negare il suo consenso per tale attività e deselezionare i cookie di profilazione;
• nel caso del fingerprinting, l’utente non dispone di strumenti autonomamente azionabili, risultando necessaria l’azione del titolare del trattamento.

2. Profilazione e modalità di acquisizione del consenso: scroll down e cookie wall

Il tema delle modalità di acquisizione del consenso degli interessati online era già stato esaustivamente affrontato nel precedente Provvedimento Cookie nel quale il Garante Privacy aveva previsto che, al momento di accesso a un sito web, dovesse comparire una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page, integrata da un’informativa "estesa", alla quale fosse possibile accedere attraverso un link cliccabile dall’utente.

Tale banner, completo delle informazioni minime richieste[2], doveva essere “eliminato” dalla home page attraverso un’azione positiva dell’interessato/utente, con la quale si sostanziava la sua manifestazione del consenso all’utilizzo dei cookie. In particolare, come specificato dal Garante Privacy, al fine di considerare il consenso prestato, era necessario creare una discontinuità (seppur minima) durante l’esperienza di navigazione dell’utente – ad esempio attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso.

Tale tesi, sebbene risalente al 2014, è tutt’ora condivisa dall’Autorità.

Tuttavia, nelle richiamate Linee Guida 5/2020 sul consenso, l’EDPB ha sostenuto che il semplice scrolling non sarebbe mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio dispositivo, di cookie diversi da quelli tecnici.

Ciò ha creato dei problemi interpretativi in relazione a prassi diffuse di raccolta di consenso attraverso attività di “scroll down” ed ha rappresentato l’occasione per il Garante Privacy di fornire, attraverso le Linee Guida, alcune precisazioni in merito sia all’attività di “scrolling” sia all’utilizzo di cd. “cookie wall”.

Con riferimento all’attività di scrolling, il Garante Privacy, conformemente a quanto sostenuto dall’EDPB, ha chiarito che tale attività è di per sé inadatta alla raccolta di un idoneo consenso, ad eccezione del solo caso in cui lo scrolling venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento[3].

Relativamente al tema “cookie wall”, ossia un meccanismo di “take it or leave it” attraverso il quale l’utente è obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito, il Garante Privacy ha chiarito che tale meccanismo, non consentendo di qualificare l’eventuale consenso prestato dall’interessato conforme a quanto disposto dall’art. 4, comma 11 del GDPR, è generalmente da considerarsi illecito, ad eccezione del caso in cui il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti[4].

3. Privacy by design e by default in relazione ai cookie e agli altri strumenti di tracciamento

Ai sensi dell’art. 25, comma 2, del GDPR, rubricato “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” (cd. “privacy by design” e “privacy by default”), il titolare dovrà garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite.

Ciò implica dunque che, per impostazione predefinita:

• possano essere installati sul dispositivo dell’utente solo ed esclusivamente cookie tecnici;
• debba essere presente un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.

Si garantirebbe, in tal modo, che “by default”, l’interessato che non intenda esprimere il proprio consenso non sia in alcun modo profilato.

Tuttavia, è anche necessario prevedere la possibilità per gli interessati di manifestare il proprio consenso ad un utilizzo più ampio dei suoi dati personali (ad esempio per finalità di profilazione). A tal fine, le Linee Guida suggeriscono ai gestori dei siti web di implementare “un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, che sia parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di una azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell’interessato”[5].

In ogni caso, come dichiarato dall’Autorità, “Il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente (ad esempio la selezione di un esplicito comando ovvero di un elemento contenuto nella pagina sottostante l’area stessa), opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal GDPR”[6].

4. L’informativa privacy da rendere agli utenti

Al fine di agevolare il rispetto degli obblighi di trasparenza imposti dal Regolamento, il Garante Privacy ha elaborato un elenco di informazioni essenziali che i titolari del trattamento, con linguaggio semplice e accessibile, dovranno fornire all’utente in merito all’installazione e all’utilizzo dei cookie.

Come specificato dall’Autorità, le informazioni da comunicare agli interessati variano in base alla tipologia di cookie utilizzati:

• se si utilizzano solo cookie tecnici, tale informazione potrà essere inserita nella home page del sito o direttamente nell’informativa generale;
• se il sito installa ulteriori cookie oltre a quelli tecnici, il titolare dovrà informare l’utente attraverso un banner a comparsa immediata e di adeguate dimensione che contenga le seguenti informazioni:
• il sito utilizza cookie tecnici e, previa acquisizione del consenso dell’utente, anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari in linea con le preferenze dell’utente;
• il link all’informativa privacy estesa, completa di tutte le indicazioni di cui agli artt. 12 e 13 del GDPR;
• l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano…” che produca un evento informatico registrabile comporta la prestazione del consenso alla profilazione;
• un comando attraverso il quale sia possibile esprimere il proprio consenso alla profilazione, accettando l’installazione di cookie e altri strumenti di tracciamento a ciò dedicati;
• il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti - il cui elenco deve essere tenuto costantemente aggiornato - ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire;
• un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.

Inoltre, ai sensi del principio di privacy by default, è necessario che le possibili scelte granulari dell’utente (quali ad esempio la profilazione) siano impostate sul diniego all’impostazione dei cookie. In tal modo, solo attraverso un’azione positiva di selezione sarà possibile manifestare il proprio consenso.

Infine, dovrà essere altresì garantito all’utente il “diritto di ripensamento”, esercitabile attraverso un apposito comando idoneo a revocare il consenso inizialmente prestato.

[1] EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 adottate il 4 maggio 2020.

[2] Ai sensi dell’art. 4.1 del Provvedimento Cookie, il banner dovrà contenere le seguenti indicazioni:

1. che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
2. che il sito consente anche l’invio di cookie "terze parti" (laddove ciò ovviamente accada);
3. il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
4. l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
5. l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

[3] Cfr. Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, p. 6.

[4] Cfr. Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, p. 7.

[5] Cfr. Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, p. 7/8.

[6] Cfr. Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento, p. 9.