Linee Guida Cookie del Garante

Aggiornato il: gen 19

A. Introduzione

Il Garante per la Protezione dei Dati Personali italiano (a seguire “Garante” o “Autorità”) ha rilasciato in data 10 dicembre 2020 il comunicato stampa sulle nuove “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”, doc. 9498472, registro provvedimenti n. 255 del 26 novembre 2020 (a seguire “Linee Guida Cookie”), oggetto di consultazione pubblica per 30 giorni dalla pubblicazione in Gazzetta Ufficiale (ad oggi in corso), con cui fornisce chiarimenti sulla disciplina dei cookie.

A.1 Premessa

Le Linee Guida Cookie del Garante intendono aggiornare lo stato dell’arte dei temi privacy in merito all’utilizzo dei cookie e degli altri strumenti di tracciamento, che per l’Italia risaliva ai seguenti propri provvedimenti:

  • “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” n. 229 dell’8 maggio 2014

  • FAQ del 3 dicembre 2014

  • “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015

La necessità di aggiornamento si è manifestata, oltre che dal lato sociale a fronte della stessa evoluzione comportamentale degli utenti, soprattutto dal lato giuridico a fronte:

  • della nuova disciplina europea sulla protezione dei dati introdotta dal GDPR (Reg. UE 2016/679) a decorrere dal 25 maggio 2018,

  • della rinnovata lettura della Direttiva e-Privacy (Dir. 2002/58/CE) in rapporto al GDPR,

  • dei recenti interventi portati nella materia specifica dall’EDPB (European Data Protection Board) con le proprie Linee Guida sul Consenso n. 05/2020 del 4 maggio 2020, con cui tale Comitato europeo ha, tra le altre, affrontato i temi:

  1. dei cookie wall

  2. e dell’azione di scrolling

Le Linee Guida Cookie del Garante sono in consultazione pubblica per 30 giorni dalla pubblicazione in G.U., per cui devono essere intese allo stato come provvisorie ed aperte a possibili mutamenti.

Il presente documento costituisce una lettura ragionata del provvedimento del Garante, la cui versione originale può essere consultata a questo link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9498472

A.2 Quadro giuridico

Il Garante ha ricordato che il tema dei cookie e degli altri strumenti di tracciamento è disciplinato in primis dalla Direttiva e-Privacy, che in Italia è stata trasposta con l’art. 122 del Codice Privacy (D.Lgs. 196/2003), tuttora in vigore anche dopo l’ampia riforma apportata dal D.Lgs. 101/2018 in vigore dal 19 settembre 2018.

Tale disposizione prevede in sintesi che l’”archiviazione” delle “informazioni” nel terminale di un utente (leggasi: installazione dei cookie e degli altri strumenti di tracciamento nel dispositivo dell’utente ovvero nel software di navigazione, i.e. il browser) è ammessa solo qualora l’utente abbia “espresso il proprio consenso dopo essere stato informato con modalità semplificate”.

Mentre l’obbligo del consenso trova il proprio fondamento nella Direttiva e-Privacy, le modalità ed i requisiti per la sua prestazione sono invece disciplinati dal GDPR e dalle interpretazioni ad esso riferite (tra cui le Linee Guida sul Consenso del WP29 del 10 aprile 2018 e quelle predette dell’EDPB n. 05/2020 del 4 maggio 2020), per cui il consenso deve essere:

  • libero

  • specifico (“granulare”)

  • informato

  • inequivocabile (“non ambiguo”)

Sul punto si rinvia a questo nostro precedente post.

A.3 Cookie ed altri strumenti di tracciamento

Il Garante ricorda cosa debba intendersi per cookie: i cookie sono di regola stringhe di testo che i siti web (“publisher” o “prima parte”) visitati dall’utente ovvero siti o web server diversi (“terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno del dispositivo dell’utente, sia esso un personal computer, un tablet, uno smartphone, un dispositivo IoT (Internet of Things) o altro similare.

Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo utilizzato nella navigazione.

Le funzioni cui possono tendere i cookie sono varie ed il Garante le riassume con questi esempi:

  • esecuzione di autenticazioni informatiche

  • monitoraggio di sessioni

  • memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti

  • statistiche

  • agevolazione nella fruizione di contenuti online

  • tracciamento degli articoli in un carrello degli acquisti online

  • tracciamento delle informazioni utilizzate per la compilazione di un modulo informatico

  • pubblicità comportamentale (“behavioural advertising”).

Sulla classificazione dei cookie in tecnici/necessari, analytics e di profilazione torneremo a seguire.

Il Garante differenza questi strumenti di tracciamento “attivi” (quali appunto i cookie) da quelli “passivi”, tra cui annovera il fingerprinting, “ossia quella tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato”, utile al raggiungimento di analoghe operazioni di profilazione. Gli strumenti attivi si differenziano da quelli passivi in particolare per il controllo, che nei primi è esercitabile rifiutando il consenso a monte o rimuovendo direttamente i cookie, mentre nei secondi non è previsto non disponendo l’utente di mezzi autonomamente azionabili.

A.4 La classificazione dei cookie

Il Garante ripropone la classificazione dei cookie in:

  • cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122 comma 1 Codice Privacy); per essi non vige l’obbligo di alcun consenso preventivo, ma permane l’obbligo informativo soddisfabile anche tramite l’informativa di carattere generale pubblicata sul sito;

  • cookie analytics, utilizzati per l’esame del traffico e di altre informazioni analoghe per scopi statistici; potranno essere assimilati a quelli tecnici a determinate condizioni;

  • cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti, utili per la costruzione di cluster omogenei; il loro utilizzo è assoggettato all’obbligo di previo consenso informato.

B. Modalità di acquisizione del consenso online

Il Garante innanzitutto conferma che l’impianto delle proprie linee guida del 2014 rimane nella sostanza valido, nonostante le Linee Guida sul Consenso dell’EDPB n. 05/2020 potessero dare adito ad una lettura diversa; l’Autorità fornisce tuttavia una serie di chiarimenti.

B.1 L’azione di scrolling

Il Garante condivide l’opinione dell’EDPB secondo cui il semplice “scroll down” sarebbe sostanzialmente inidoneo alla raccolta di un consenso inequivocabile (perché l’utente potrebbe confonderlo con altre azioni che compie sui propri dispositivi usualmente e con una sorta di automatismo), tuttavia fa salva l’ipotesi per cui lo scrolling sia “una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie”.

In una parola, l’Autorità ammette lo scrolling, ma a condizione che possa essere comunque registrato e documentato al fine di costituire un’azione positiva ed inequivoca dell’utente.

Ampia libertà viene lasciata per l’adozione di questa tecnica di raccolta del consenso, purché documentabile nel pieno rispetto del principio di accountability.

B.2 Il cookie wall

Quanto al cookie wall, ossia a quel meccanismo del tipo “take it or leave it” per cui l’utente è posto davanti alla scelta tra accettare tutti i cookie (anche quelli di profilazione) oppure non accedere al sito web, il Garante ne conferma l’assoluta illiceità.

B.3 La reiterazione del consenso

Il Garante chiarisce inoltre che il consenso, una volta correttamente acquisito, non dovrà essere nuovamente richiesto se non all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto, ovvero quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato; ad esempio nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo ed il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso. Una simile azione, non coinvolgendo il titolare, non costituisce revoca del consenso.

C. Privacy by design e privacy by default

Il Garante ribadisce che i propri provvedimenti del 2014-2015 rimangono sostanzialmente validi anche per i meccanismi di acquisizione del consenso, ma che per essi bisogna tenere in considerazione la portata innovativa del GDPR soprattutto per quanto riguarda i principi disposti dall’art. 25, secondo cui i dati devono essere protetti fin dalla progettazione e per impostazione predefinita:

  • privacy by design

  • privacy by default

C.1 Impostazione predefinita per l’installazione dei cookie

Per impostazione predefinita, al momento del primo accesso dell’utente ad un sito web:

  • nessun cookie diverso da quelli tecnici potrà essere posizionato all’interno del suo dispositivo

  • non potrà essere utilizzata alcuna altra tecnica attiva o passiva di profilazione.

La prima regola, quindi, è che l’impostazione predefinita deve permettere la sola installazione dei cookie tecnici necessari (sui cookie analytics torneremo in seguito), mentre per quelli di profilazione servirà sempre il previo consenso in regime di opt-in.

C.2 Soli cookie tecnici

Nel caso il sito preveda l’utilizzo di soli cookie tecnici e non preveda invece cookie di profilazione, tale utilizzo potrà risultare dalla home page o dall’informativa generale senza specifici banner da gestire.

C.3 Cookie analytics

I cookie analytics possono essere assimilati ai cookie tecnici (e quindi essere utilizzati senza previo consenso), al ricorrere di tre requisiti:

  1. i cookie analytics dovranno essere riferibili non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che li riceve, per cui si dovrà “mascherare” (questo il verbo utilizzato dal Garante) la struttura dell’indirizzo IP all’interno del cookie “mascherandone” (questo ancora il verbo utilizzato dal Garante) almeno la quarta componente, opzione che introduce un’incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%; questo per gli indirizzi in versione IPv4; per quelli in versione IPv6 dovrà essere adottata analoga misura); a tale proposito si ricorda l’opzione “anonimizzazione IP” prevista già da Google ed analogamente da altri provider di servizi analytics;

  2. i dati, così minimizzati, non dovranno essere combinati con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o trasmessi a terzi; a tale proposito si ricorda l’opzione “emendamento elaborazione dati” prevista già da Google ed analogamente da altri provider di servizi analytics;

  3. in ogni caso, i cookie analytics dovranno limitarsi alla produzione di statistiche aggregate e dovranno essere utilizzati in relazione ad un singolo sito o ad una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

C.4 Cookie di profilazione

Per l’installazione dei cookie di profilazione deve invece essere implementato un meccanismo in base al quale l’utente, al primo accesso, visualizzi immediatamente:

  • un’area o finestra di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando,

  • che sia parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di un’azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell’interessato,

  • che l’utente, che non intenda prestare il proprio consenso, possa semplicemente chiudere mediante il comando solitamente in uso per questo tipo di azioni (una X di regola posizionata in alto a destra del banner medesimo), senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate.

C.5 Le indicazioni ed opzioni dell’area/finestra per la gestione dei cookie

L’area/finestra per la gestione dei cookie dovrà contenere almeno le seguenti indicazioni ed opzioni:

  • un’informativa minima che specifichi che il sito utilizza cookie tecnici e che potrà, esclusivamente previo consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti;

  • il link alla privacy policy, ovvero ad un’informativa estesa posizionata in un second layer ove vengano fornite in maniera chiara e completa tutte le indicazioni di cui agli artt. 12 e 13 GDPR, anche con riguardo ai cookie tecnici;

  • l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile”, che produca un evento informatico registrabile, comporta consenso alla profilazione;

  • un comando attraverso il quale sia possibile esprimere il proprio consenso alla profilazione accettando il posizionamento di tutti i cookie o l’impiego di altre tecniche di tracciamento; l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà in ogni caso essere volta alla manifestazione positiva del consenso (opt-in) e non potrà invece mai riferirsi all’espressione di un diniego (opt-out);

  • il link ad un’ulteriore area dedicata nella quale l’utente possa selezionare, in modo analitico e granulare:

  1. le funzionalità,

  2. i soggetti “terze parti”, il cui elenco dovrà essere costantemente aggiornato,

  3. i cookie, anche eventualmente raggruppati per categorie omogenee.

Ovviamente, le possibili scelte granulari dovranno essere tutte preimpostate sul diniego all’installazione dei cookie e l’utente dovrà sempre poterle selezionare in modo granulare, una per una.

Sempre all’interno di questa stessa area dovrebbero trovare collocazione due ulteriori comandi idonei a garantire il “diritto di ripensamento” e di revoca/modifica del consenso; ad ogni accesso successivo al primo non dovrà infatti essere riproposto il meccanismo del banner, ma la pagina iniziale del sito dovrà rendere sempre disponibile il link alla privacy policy, nonché all’area dedicata alle scelte di maggiore dettaglio. Oltre ai comandi relativi alle scelte granulari, in quest’area dovranno essere quindi previsti due ulteriori comandi che consentano di modificare anche in blocco una scelta precedente:

  1. uno per acconsentire all’impiego di tutti i cookie o di altri strumenti di tracciamento, se non già acconsentiti in precedenza,

  2. l’altro per revocare, anche in unica soluzione, il consenso eventualmente già espresso.

Anche tali scelte dell’utente dovranno naturalmente essere registrate per adeguata documentazione.

Per assicurare che gli utenti non siano influenzati da scelte di design che inducano a preferire un’opzione anziché l’altra, il Garante sottolinea altresì l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.

C.6 Tecniche e modalità di registrazione delle azioni e delle scelte dell’utente

Per memorizzare le azioni e le scelte dell’utente, il sito potrà utilizzare appositi cookie tecnici.

D. Informativa
D.1 Modalità aggiornate di resa dell’informativa

In aggiunta a quanto già stabilito nel provvedimento sui cookie del maggio 2014, per cui si ricorda che l’informativa deve essere resa con linguaggio e modalità di consultazione semplificati, il Garante ricorda che l’informativa, oltre che multilayer, cioè multistrato e quindi dislocata su più livelli, potrà essere resa anche per il tramite di più canali e modalità (“multichannel”), ad esempio tramite:

  • canali video

  • pop-up informativi

  • interazioni vocali

  • assistenti virtuali

  • impiego del telefono

  • chatbot.

D.2 Integrazione delle informazioni

Il Garante ricorda infine che, non esistendo ad oggi un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento e che l’individuazione ed il posizionamento dei cookie può dipendere anche dal browser utilizzato, dovranno essere resi manifesti, mediante apposita integrazione nell’informativa, almeno i criteri di codifica degli identificatori adottati.

Cervato Law & Business © 2020 Avv. Piergiovanni Cervato

Cervato Law & Business | Studio Legale
Intellectual Property | Diritto di Internet | Privacy GDPR | Diritto di Impresa
TEL 049 714975 | Galleria Europa 3 | 35137 Padova | P.IVA 03800020285
Tutti i diritti riservati | © 2020

Legal

Sponsor

Official

Sponsor

  • LinkedIn Icona sociale