Cookie, cosa cambia con le nuove linee guida del Garante Privacy

Con la pubblicazione in Gazzetta Ufficiale del 9 luglio 2021, sono entrate in vigore le nuove linee guida sull’uso dei cookie e degli altri strumenti di tracciamento che vanno a sostituire in via definitiva la versione “per la consultazione” pubblicata precedentemente dal Garante Privacy.

Da un confronto con le due versioni, emergono importanti novità e ora i siti hanno sei mesi di tempo per adottare le nuove regole di gestione dei cookie e degli altri strumenti di tracciamento.

Cookie: il quadro normativo attuale

L’emanazione di nuove linee guida si era resa necessaria dato il mutato quadro normativo di riferimento; quelle del 2014, infatti, erano state emanate prima dell’entrata in vigore del Regolamento UE 2016/679 (GDPR).

A livello nazionale, l’art. 122 del D.lgs. 196/03, che trae origine dalla direttiva ePrivacy, stabilisce che:

“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.

Le nuove linee guida sui Cookie, il GDPR e la Direttiva ePrivacy

In relazione al coordinamento tra le due normative, le linee guida chiariscono che, ad esclusione delle fattispecie disciplinate dalla sola direttiva ePrivacy, molte attività di trattamento devono essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento e quindi ogniqualvolta la direttiva renda più specifiche le prescrizioni dell Regolamento, essa, in quanto lex speciali, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento.

Le basi giuridiche del trattamento dei cookie

Il Garante interviene in modo diretto ed estremamente chiaro e stabilisce l’inidoneità del legittimo interesse a fungere da condizione di liceità dell trattamento. La direttiva ePrivacy, infatti, non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale

Le novità introdotte con le Linee guida

I cookie sono informazioni immesse sul browser dell’utente quando questi visita un sito web o utilizza un social network e possono essere classificati e definiti in base alla loro durata (di sessione o permanenti) o da un punto di vista soggettivo (di prima o di terza parte a seconda che siano installati dai siti web visitati dall’utente ovvero da web server diversi) o ancora, in base alla “finalità” che hanno.

La classificazione più importante è proprio quest’ultima che contempla, di norma, due macrocategorie: cookie tecnici e cookie di profilazione.

I cookie tecnici

Sono utilizzati al sol fine “di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” e per la loro installazione non vi è necessità di acquisizione del consenso.

I cookie di profilazione

Sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, rendendo possibile modulare la fornitura del servizio in modo personalizzato e di inviare messaggi pubblicitari mirati.

Per l’installazione di questa tipologia di cookie occorrerà chiedere il consenso dell’utente.

I cookie analitici

Possono essere utilizzati per valutare l’efficacia di un servizio o per contribuire a misurare il “traffico” di un sito internet, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione e altre caratteristiche.

Possono essere di prima o di terza parte e, generalmente, necessitano di consenso.

Le linee guida prescrivono che l’installazione di questi cookie possa prescindere dal consenso (e quindi possano essere equiparati a quelli tecnici) a condizione che:

• vengano utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
• venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
• le terze parti si astengano dal combinare i cookie analitici con altre elaborazioni o dal trasmetterli ad ulteriori terzi per evitare l’incremento del rischio di identificazione degli utenti; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.

Cookie e strumenti di tracciamento: minimizzazione dei dati

È possibile reputare lecito il ricorso ad analisi statistiche relativi a più domini, siti web o app riconducibili al medesimo titolare laddove questi proceda in proprio all’elaborazione statistica, senza che tali analisi si risolvano in attività che assumano in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni commerciali.

Accanto ai cookie, vengono poi indicati gli altri sistemi di tracciamento (definiti passivi) che basandosi sulla mera osservazione, consentono di effettuare trattamenti analoghi a quelli effettuati dai cookie (che invece sono identificatori attivi).

Gli strumenti passivi (es. fingerprinting) sono utili ad ottenere gli stessi risultati si quelli attivi a differenza del fatto che non presuppongono l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile ed il cui esito si sostanzia un una serie di informazioni che restano nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente alcun accesso libero e diretto e delle quali potrebbe non avere neppure consapevolezza.

Anche questi identificatori, al pari dei cookie possono essere suddivisi secondo diversi criteri ma il principale resta quello delle “finalità” e dunque possono essere di natura tecnica o di natura non tecnica e in base a ciò dovranno essere trattati come i cookie.

Cosa prevedono le linee guida sui cookie

Il banner

Al fine di consentire all’utente di decidere se accettare o meno l’installazione dei cookie, è necessario che sia adeguatamente informato e possa prestare liberamente e in modo consapevole il proprio consenso.

Solo nel caso in cui il sito utilizzi esclusivamente cookie tecnici, non sarà necessaria la predisposizione del banner perché non necessitano di consenso.

Sarà quindi obbligatorio ma sufficiente, in tale ipotesi, indicare nell’home page del sito che il sito utilizza esclusivamente cookie tecnici.

Se, invece, il sito utilizzi dei cookie diversi da quelli tecnici dovrà presentare, alla prima visita dell’utente, un banner di congrue ed adeguate dimensioni che non impedisca la consultazione dello stesso e che, per impostazione predefinita, non installi nessun cookie diverso da quelli necessari, né utilizzi alcuna altra tecnica di tracciamento.

Caratteristiche del banner

È previsto che sia presente un pulsante che consenta di chiudere il banner mantenendo le impostazioni di default e quindi il diniego all’installazione dei cookie diversi da quelli tecnici. Tale comando deve avere un’evidenza grafica pari a quella degli altri comandi, al fine della piena e libera determinazione dell’utente. Inoltre, per evitare che gli utenti possano essere influenzati da scelte di design che inducano a preferire una scelta piuttosto che un’altra, i comandi e i caratteri dovrebbero avere tutti uguali dimensioni, enfasi e colori e dovrebbero essere facili da visionare ed utilizzare.

All’interno del banner deve essere presente una informativa minima che informi l’utente che il sito potrebbe installare cookie di profilazione o altri strumenti di tracciamento previa acquisizione del consenso.

Il link all’informativa privacy o cookie estesa che sia sempre e comunque accessibile anche dal footer di qualsiasi pagina del sito che fornisca quanto previsto dagli art. 12 e 13 del GDPR.

Un comando che consenta di accettare l’installazione di tutti i cookie (o degli altri strumenti di tracciamento).

Un link ad un’area dedicata dove è possibile selezionare analiticamente solo le funzionalità, le terze parti e i cookie al cui utilizzo l’utente sceglie di acconsentire.

Si prevede che i cookie possano essere raggruppati per categorie omogenee mentre le terze parti devono essere elencate e devono essere raggiungibili attraverso link specifici che possono indirizzare anche al sito web di un soggetto che le rappresenti.

Ancora, spetta al gestore del sito vigilare sulla loro correttezza, soprattutto nel caso in cui si verificassero delle successive modifiche.

Non è possibile, poi, che queste scelte, una volta effettuate tramite il banner, siano immodificabili o difficilmente modificabili ma occorre invece che gli utenti abbiano sempre la percezione dello stato dei consensi e pa possibilità di modificare le scelte fatte in precedenza attraverso due strumenti da inserire nel footer del sito.

Il primo strumenti corrisponde ad una buona prassi e può essere attuato mediante l’impiego di un segno grafico o un’icona mentre il secondo – previsto come obbligo – si attua attraverso l’inserimento di un link che permetta la modifica dei cookie installati.

Come si ottiene il consenso all’uso dei cookie

Le linee guida hanno stabilito in tema di consenso due principi fondamentali:

1. il semplice scrolling non è di per sé idoneo ad esprimere compiutamente una manifestazione di volontà dell’interessato;
2. il cookie wall è tendenzialmente illecito tranne in ipotesi nelle quali il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti senza prestare il consenso all’installazione dei cookie.

Ai sensi del considerando 32, il consenso si esprime mediante un atto positivo ed inequivocabile, come la selezione di una casella.

L’azione, pertanto, deve essere di opt-in e mai di opt-out e il silenzio, l’inattività dell’utente o la preselezione delle caselle non siano idonee a configurare una valida prestazione del consenso. Si ribadisce, poi, che la richiesta di consenso non debba interferire immotivatamente con il servizio che si offre e deve essere chiara e concisa.

Il consenso, quindi, potrà dirsi validamente prestato solo se è conseguenza di un’azione positiva e consapevole che sia riscontrabile e dimostrabile.

Inoltre, deve essere specifico e cioè espresso in relazione a ciascuna diversa finalità di trattamento.

Il Garante non rifiuta completamente l’utilizzo dello scrolling, ma ritiene che questo possa intervenire nella procedura di acquisizione del consenso colo quale componente di un processo più articolato che consenta all’utente di segnalare al titolare sel sito una scelta che mantenga le caratteristiche di inequivocabili e consapevolezza.

Cosa succede se l’utente cambia idea sul consenso all’uso dei cookie

E nel caso in cui l’utente successivamente cambi idea e modifichi le scelte precedentemente fatte?

Il sistema deve essere in grado di memorizzare e sovrascrivere e le decisioni prese dall’utente così che il titolare del trattamento sia sempre in grado di dimostrare di aver ottenuto il consenso.

Cosa succede nel caso di utenti autenticati

È fatto obbligo al titolare di mettere gli utenti in condizione di scegliere consapevolmente – menzionando tale possibilità nell’informativa – se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device o di rifiutarla.

Cosa succede al consensi ottenuti prima del 10 luglio

Le linee guida stabiliscono che mantengono la loro validità a patto che siano conformi alle caratteristiche richieste dal Regolamento e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

Accountability e consenso

Il Garante ritiene che i titolari del trattamento possano valutare ogni possibile soluzione, anche da un punto di vista tecnico, che sia idonea ad essere interpretata e registrata come consenso espresso dall’utente all’impiego dei cookie o degli altri strumenti di tracciamento.

Afferma, infatti, che per realizzare la memorizzazione delle azioni e delle scelte, anche di dettaglio, rimesse all’interessato, il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici o anche di ulteriori modalità che la tecnologia dovesse rendere disponibili, la cui individuazione rientra nell’autonomia imprenditoriale e nell’accountability del titolare, adattando opportunamente la propria condotta in modo da tenere comunque costantemente aggiornata la documentazione delle scelte compiute dall’interessato.

Ciò che appare essenziale è che si rispettino tutti i requisiti previsti e che il titolare sia sempre in grado di motivare le proprie scelte e dimostrare di aver agito in modo compliant nell’ottenimento del consenso.

Una volta fatta la propria scelta il banner non dovrebbe essere più riproposto: la riproposizione del banner ad ogni accesso dell’utente finalizzata all’acquisizione del consenso in precedenza negato o conferito solo parzialmente in relazione ad alcune tipologie di cookie è oggi pratica non conforme al GDPR perché suscettibile di ledere la libera scelta dell’utente.

Si ritiene, in altre parole, che l’utente pur di evitare la riproposizione del banner ad ogni accesso sia indotto ad accettare l’installazione di tutti i cookie e questo compromette il processo decisionale che deve mantenersi libero.

Per tale ragione, il banner non può essere riproposto prima di sei mesi a meno che:

• mutano significativamente una o più condizioni del trattamento e dunque il banner assolve anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute;
• quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato come nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivi senza che il titolare abbia modo di tenere traccia della volontà di mantenere le impostazioni di default e dunque proseguire la navigazione senza essere tracciati.

Cookie policy

In ultimo, il Garante ha chiarito che l’informativa deve essere resa con linguaggio semplice e chiaro e in modo da rendere fruibili le informazioni contenute nel banner anche a coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari. Può essere dislocata su più livelli o anche attraverso più canali o modalità.

Dovrà contenere tutte le indicazioni di cui agli artt. 12 e 13 facendo particolare attenzione all’indicazione dei soggetti destinatari dei dati ed ai tempi di conservazione. Sarà dunque necessario fornire informazioni su come le persone fisiche possano esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.

Per quanto riguarda nello specifico i cookie, si stabilisce che all’interno dell’informativa debbano essere indicati i criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione.

Sei mesi di tempo per adeguarsi

Le nuove linee guida sull’uso dei cookie e degli altri sistemi traccianti stabiliscono, inoltre, che i siti web avranno sei mesi di tempo per adeguarsi, a partire dalla data di pubblicazione nella Gazzetta Ufficiale.