La regolamentazione dei cookies alla luce delle nuove Linee guida del Garante del 2021: come strutturare la cookie policy e il banner
Con le “Linea Guida cookie e altri strumenti di tracciamento” del 10 giugno 2021, il Garante per la Protezione dei Dati Personali ha fornito importanti chiarimenti in merito alla disciplina vigente sui cookies, adeguandola alle ultime novità normative, in particolare al GDPR. L’esigenza di adottare le nuove Linee Guida è dipesa anche dalla crescente diffusione delle nuove tecnologie sempre più pervasive, e dall’evoluzione del comportamento degli utenti del web, che moltiplicano i profili digitali anche attraverso i social networks. Per tali ragioni, il Garante ha considerato opportuno rafforzare le tutele degli utenti, favorendo un effettivo controllo sulle informazioni personali oggetto del trattamento. Le principali novità contenute nelle nuove linee Guida riguardano le basi giuridiche del trattamento dei dati raccolti con i cookies e con gli altri strumenti di tracciamento, la regolamentazione della “zona grigia” che finora aveva permesso di adottare pratiche ai limiti della liceità, la responsabilità del Titolare del trattamento, il banner, l’acquisizione del consenso. Il Garante ha riconosciuto che dalle nuove Linee guida possono derivare interventi tecnici anche piuttosto complessi e, per tale motivo, ha individuato un termine per permettere ai titolari del trattamento di adeguarsi, scaduto il 9 gennaio 2022. Le aziende che utilizzano un sito web devono quindi adeguarsi alle indicazioni delle Linee guida, per evitare di incorrere in rischi di sanzioni e di danno di immagine. Tale attività di adeguamento non dovrà e non potrà limitarsi all’aggiornamento del banner e della cookie policy, ma dovrà consistere in un vero e proprio restyling tecnico del sito.
1. Cosa sono i cookies?
I cookies sono delle stringhe di testo che vengono posizionate ed archiviate all’interno del device usato dall’utente (smartphone, computer, tablet etc.) da parte del sito web visitato dall’utente stesso (c.d. cookies di “prime parti”) oppure da altri siti web o web server (c.d. cookies di “terze parti”).
I softwares usati dall’utente per la navigazione in internet (browsers), memorizzano tali stringhe identificative posizionate dai siti web e, nel momento in cui l’utente attraverso lo stesso software visita nuovamente i siti web che hanno creato quelle stringhe, li trasmettono nuovamente al sito, permettendo di mantenere la memoria delle interazioni che l’utente aveva avuto precedentemente con il sito web e le caratteristiche dell’utente stesso. Tra i dati memorizzabili attraverso tale sistema vi sono sia dati personali (come, ad esempio, l’indirizzo IP, il nome utente, l’indirizzo e-mail etc.), sia dati non personali (come, ad esempio, le impostazioni della lingua utilizzata, informazioni sul tipo di device impiegato per navigare sul sito, etc.).
I cookies evidenziano quindi le tracce di ciò che l’utente fa sul web quando lo naviga, ovvero a quale sito è collegato e quali pagine ha visitato al suo interno. Poiché i cookies rimangono sul dispositivo utilizzato, ogni volta che l’utente si ricollega con lo stesso dispositivo allo stesso sito, anche a distanza di tempo, è possibile tracciare l’attività dell’utente sul web, a meno che i cookies non vengano nel frattempo cancellati.
Inoltre, attraverso i cookies è possibile veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, nonché confermare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.
I cookies sono strumenti di tracciamento “attivi”, in quanto l’utente che non intenda essere profilato, oltre a poter rifiutare il proprio consenso o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al GDPR, ha anche la possibilità di rimuovere direttamente i cookies dal proprio dispositivo.
Essi di differenziano dagli strumenti di tracciamento identificatori “passivi”, che non permettono all’utente di azionare autonomamente degli strumenti per impedire il tracciamento, in quanto per evitarlo l’utente deve rivolgersi al titolare del trattamento. Tra gli strumenti di tracciamento passivi vi è il c.d. fingerprinting, cioè la raccolta delle informazioni relative alla configurazione del device usato dall’utente, tali da identificare in maniera univoca il device stesso.
2. Come sono classificati i cookies
I cookies possono essere distinti nelle seguenti macro-categorie:
- cookies “tecnici“: sono quelli, come previsto dall’art. 122 del D.Lgs. n.196/2003 (“Codice Privacy”), utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. I cookies tecnici consentono il funzionamento delle aree riservate della navigazione di un sito web, senza i quali non sarebbe possibile tenere in memoria i dati fino al termine dell’operazione che viene effettuata online, e dunque della sessione; contengono informazioni, ad esempio, relative al carrello dell’e-commerce dei prodotti che stiamo acquistando, o al biglietto del concerto al quale vogliamo assistere.
- cookies “analitici”: sono quelli utilizzati per valutare l’efficacia di un servizio fornito dal proprietario del sito web oppure per la progettazione di un sito web oppure per misurare il numero dei visitatori di un sito web (eventualmente anche con suddivisione per area geografica, fascia oraria di connessione etc.).
- cookies “di profilazione“: sono quelli utilizzati per ricondurre a soggetti determinati, identificati o identificabili specifiche azioni o schemi di comportamento ricorrenti nell’uso delle funzionalità offerte, allo scopo di raggrupparli in cluster omogenei, in modo che il titolare possa fornire un servizio (od offrire un servizio) sempre più personalizzato. I cookies di profilazione servono per creare dei profili accurati dell’utente, tracciando in maniera dettagliata la sua attività e le sue preferenze, per andare poi a rivolgergli attività commerciali mirate e specifiche. Grazie ai cookies di profilazione il gestore del sito ha quindi la possibilità di conoscere l’utente, di tracciarne preferenze e abitudini, di monitorare l’attività di ricerca, in modo da canalizzare sempre meglio gli annunci pubblicitari e, conseguentemente, aumentare il profitto. Tipico esempio dei cookies di profilazione sono i banner pubblicitari legati alle ultime ricerche o all’ultimo acquisto fatto sul web.
- cookies delle terze parti, i quali sono impostati da un sito web diverso da quello che l’utente sta visitando, in grado di captare le informazioni rilasciate da quest’ultimo. In tal caso, dunque, ad ottenere ed utilizzare i dati non è (quanto meno non solamente) il sito visitato, ma terzi soggetti che dal sito traggono informazioni utili per la propria attività: si tratta, principalmente, di imprese con finalità di marketing.
Come si vedrà meglio più avanti, per l’installazione dei cookies tecnici non è richiesto il preventivo consenso degli utenti, salvo restando l’obbligo di dare l’informativa, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà adempiere con le modalità che ritiene più idonee. L’installazione dei cookies di profilazione e di terze parti necessita invece del consenso dell’utente, la sussistenza dei cui requisiti – necessari per rendere il trattamento dei dati personali legittimo – deve opportunamente valutarsi ponendo attenzione alle particolarità di tale specifica modalità di trattamento dei dati.
3. Dal Codice Privacy alla Cookie law
I cookies sono quindi strumenti mediante i quali l’utente di internet acconsente alla cessione di propri dati personali durante la navigazione online, a beneficio essenzialmente di società commerciali, le quali utilizzano i dati ottenuti per la profilazione dell’utente-consumatore, identificandone i gusti principali e la propensione all’acquisto. Tra le informazioni analizzate, accanto a quelle espressamente richieste agli utenti, vi sono quelle ricavabili dalla sua navigazione online (ricerche effettuate, siti più visitati, etc.), dall’utilizzo di app o di particolari strumenti di pagamento.
La ricerca competitiva dell’attenzione dei consumatori online ha indotto le imprese a fornire, mediante la piattaforma digitale, servizi sempre più ritagliati sulle preferenze del singolo cliente, per incrementare le proprie possibilità di vendita. In questo senso, i cookies rappresentano il principale strumento con cui le imprese raccolgono i big data, con particolare attenzione alle abitudini personali e alle preferenze dei diversi consumatori. Dunque, l’evoluzione tecnologica ha aperto nuove vie alla profilazione degli individui, attraverso il monitoraggio delle loro attività nel contesto telematico e l’accumulo, sempre crescente, delle relative informazioni.
Le esigenze di regolamentazione del fenomeno dei cookies, sotto il profilo della privacy, riguardano principalmente l’assenza, nell’utente accettante, di una vera consapevolezza e libertà in merito alla decisione di cedere i propri dati. Date infatti le tecniche di indebita pressione adottate dai siti, il consumatore può essere indotto a cedere i propri dati in modo tutt’altro che razionale, ponderato e quindi libero. Vi è quindi l’esigenza di evitare il rischio che attraverso i cookies venga aggredita la sfera di riservatezza e di libertà nel consenso che è fondamentale in materia di privacy.
In particolare, la regolamentazione dei cookies risponde a duplice esigenza: da un lato, evitare una concentrazione eccessiva di dati personali in capo ad un unico soggetto privato, idonei a consentirgli la profilazione di molte persone; dall’altro, compensare la disparità, informativa e negoziale, sussistente tra titolare del trattamento e soggetto interessato, la quale, anche grazie all’utilizzo di tecnologie pervasive, può ben indurre ad un consenso privo di adeguata ponderazione.
L’utilizzo dei cookies e degli altri strumenti di tracciamento è stato disciplinato dapprima dalla Direttiva e-Privacy del 2002 (Direttiva 2002/58/CE), la quale aveva imposto ai titolari del trattamento di dati personali di chiedere agli interessati il consenso per il trattamento per finalità diverse da quelle tecniche.
Per poter legittimamente utilizzare i cookies e gli altri strumenti di tracciamento online, era quindi obbligatorio in primo luogo informare l’utente del web sulla presenza e sull’utilizzo di questi strumenti e sulle finalità che il gestore della pagina intendeva perseguire con gli stessi, e successivamente raccogliere il consenso, solo nei casi previsti dalla legge. Dunque, per prima cosa il titolare del sito web doveva sapere quale categoria di cookies fosse presente sul proprio sito, e poi decidere quale finalità intendesse perseguire con gli stessi.
Una volta stabilita la presenza di cookies di profilazione e di terze parti delle proprie pagine web, ed in generale di strumenti di tracciamento non tecnicamente indispensabili al corretto funzionamento del sito, il Garante stabiliva che il titolare del sito dovesse chiedere il consenso esplicito dell’utente, tenendo traccia del consenso prestato ed essendo effettivamente in grado fi bloccare i cookies in caso di diniego, prima che l’utente avesse la possibilità di esprimere la propria libera scelta.
La direttiva comunitaria 2009/136/CE ha quindi modificato la direttiva 2002/58/CE (E-Privacy), imponendo al gestore del sito web di informare l’utente del fatto che fa uso dei cookie sul sito, e in determinati caso a ottenere il consenso preventivo all’uso degli stessi. La direttiva europea del 2009 si limitava a creare un quadro normativo all’interno del quale spettava ai singoli Garanti nazionali di definire una regolamentazione di dettaglio.
La normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con l’art.122 del Codice Privacy, il quale prevede al comma 1 che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” e al comma 2 che “ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”.
Il Codice Privacy prevede quindi la necessità di un preventivo consenso alla profilazione, stabilendo per i cookies la regola dell’opt-in fatta propria, successivamente, dal GDPR: in base ad essa, il consenso non può essere prestabilito da parte di colui che tratta i dati, ma deve essere di volta in volta conferito dall’utente per ogni specifico trattamento. In altre parole, non si ammette che si pre-configuri l’accettazione del trattamento da parte del gestore di un sito.
Con il Provvedimento n. 229 del 8 maggio 2014 (c.d. Cookie Law), il Garante ha quindi dettato le regole sulle modalità di adempimento agli obblighi di rilascio dell’informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookies. Con tale provvedimento sono state individuate modalità semplificate di informativa on line sull’uso dei cookies, e fornite indicazioni volte ad acquistare il consenso.
Il Garante ha previsto le modalità di richiesta ed ottenimento del consenso su due livelli: nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve” (I livello), contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata poi da un’informativa “estesa” (II livello), alla quale l’utente può accedere attraverso un link. Solo la seconda informativa deve contenere tutti gli elementi previsti dall´art. 13 del Codice Privacy, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookies installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
Ai fini della semplificazione, si riteneva necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderassero avere maggiori e più dettagliate informazioni, e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, potevano accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche.
Il banner contenente l’informativa breve, oltre che ben distinguibile dal resto della pagina visitata, doveva in ogni caso contenere le seguenti indicazioni:
- che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell´ambito della navigazione in rete;
- che il sito consente anche l´invio di cookie a “terze parti” (laddove ciò ovviamente accada);
- il link all´informativa estesa, ove è possibile differenziare il consenso in relazione ai diversi tipi di cookie;
- l´indicazione che alla pagina dell´informativa estesa è possibile negare il consenso all´installazione di qualunque cookie;
- che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporta la prestazione del consenso all´uso dei cookie (cd. scrolling down).
Per quanto concerne i cookies analitici, che nascono come ausilio per progettare i siti web e per valutarne l’efficacia, il Garante ha più volte raccomandato che gli stessi siano usati soltanto a fini statistici, per evitare il rischio che i cookies analitici di terze parti, combinati con informazioni raccolte da altri siti o dispositivi usati dallo stesso utente, possano consentire la sua identificazione. Per l’individuazione della base giuridica del trattamento dei cookies analitici è quindi necessario distinguere tra cookies di prima parte, assimilabili a quelli tecnici, e cookies di terze parti, assimilabili ai cookies tecnici soltanto qualora i dati vengano «anonimizzati», in modo da impedire o non consentire più l’identificazione dell’interessato.
Successivamente il Garante ha chiarito che:
- per l’uso di cookies esclusivamente tecnici è richiesto il solo rilascio dell’informativa che le modalità ritenute più idonee (ad esempio, inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare alcun banner;
- i cookies analitici di terze parti possono essere assimilati ai cookies tecnici purché realizzati ed utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi);
- per i semplici link a siti terze parti i quali non installano cookies di profilazione non occorrono né informativa né tanto meno consenso;
- i soggetti tenuti a realizzare i banner, rispetto all’istallazione dei cookies di profilazione, svolgono un ruolo di mero intermediario tecnico;
- circa l’applicazione della normativa italiana anche a siti con sede in Paesi Terzi, non rileva il criterio territoriale, dal momento che i cookies vengono installati sui terminali degli utenti,
- al Regolamento UE 679/2016 in materia di dati personali (“GDPR”).
Il Regolamento UE 679/2016 in materia di dati personali (“GDPR”) ha stabilito, all’art. 22, par. 2, lettera c), che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. In questo modo, si ribadisce la necessità di un preventivo consenso dell’utente nel caso in cui il trattamento consista nella sua profilazione, con la precisazione che il consenso deve essere anche “esplicito”, e dunque comunicato mediante dichiarazione espressa, ancorché in una forma digitalizzata.
Nel maggio 2020, l’EDPB (European Data Protection Board) ha emanato delle nuove linee guida in materia di consenso al trattamento dei dati personali, nelle quali è stato ribadito che, relativamente ai cookies, il consenso deve essere libero, e il mancato consenso non deve pregiudicare in alcun modo l’interessato, impedendogli di navigare correttamente la pagina web che sta consultando in quel momento.
Non è quindi consentito utilizzare (compresi quelli di profilazione, per i quali è obbligatorio il consenso), e non è possibile il consenso implicito, desunto dal semplice atto di scrollare il sito.
4. Le Linee Guida del Garante del giugno 2021
Con il provvedimento del 10 giugno 2021 n. 231, denominato “Linea Guida cookie e altri strumenti di tracciamento” (“Linee Guida”), pubblicato sulla G.U. n. 163 del 9 luglio 2021, il Garante ha ritenuto necessario integrare e fornire chiarimenti in merito alla disciplina vigente, anche al fine di adeguarla alle novità normative frattanto intervenute e, in particolare, al GDPR.
L’esigenza di adottare le nuove Linee Guida è dipesa anche dalla crescente diffusione delle nuove tecnologie sempre più pervasive, e dall’evoluzione del comportamento degli utenti del web, che moltiplicano i profili digitali anche attraverso i social network. Per tali ragioni, il Garante ha considerato opportuno rafforzare le tutele degli utenti, favorendo un effettivo controllo sulle informazioni personali oggetto del trattamento.
In particolare, le Linee Guida recepiscono le raccomandazioni dell’EDPB e i principi che sorreggono il GDPR, e si pongono una duplice finalità:
- individuare le corrette modalità per la fornitura dell’informativa, per i cookies tecnici;
- specificare le corrette modalità di acquisizione del consenso online degli interessati, per i cookies di profilazione.
Non si tratta di un provvedimento meramente programmatico, in quanto l’Autorità, riprendendo le disposizioni rilevanti del settore, a cominciare dalla Direttiva e-Privacy, ha inteso fornire un quadro operativo ai titolari del trattamento aggiornato ai nuovi sviluppi tecnici e giuridici della materia.
Il Garante ha riconosciuto che le nuove Linee guida implicano interventi tecnici piuttosto complessi per le organizzazioni dei titolari e, per questo motivo, ha individuato un termine di sei mesi per adeguarsi alle nuove regole. Tale termine è scaduto il 9 gennaio 2022.
Le aziende che utilizzano un sito web devono quindi adeguarsi alle indicazioni delle Linee guida, per evitare di incorrere in rischi di sanzioni e di danno di immagine. Il GDPR, per la violazione delle norme inerenti i principi di base del trattamento, comprese le condizioni relative al consenso, prevede infatti sanzioni amministrative pecuniarie fino a venti milioni di Euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
5. Le nuove regole sui cookies contenute nelle Linee Guida del Garante
5.1 Informativa e basi giuridiche del trattamento
Per quanto riguarda i cookies tecnici, l’unico obbligo del Titolare è quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito.
L’informativa estesa (privacy policy) da fornire all’interessato deve contenere in modo chiaro e completa tutte le informazioni previste dagli articoli 12 e 13 del GDPR, anche con riferimento ai cookies e a agli altri strumenti di tracciamento. Per quanto riguarda specificamente questi ultimi, l’informativa deve possedere i seguenti requisiti:
- deve riguardare i singoli cookies effettivamente installati nel sito web; se in un sito web sono presenti esclusivamente cookies tecnici, è sufficiente indicarli nella homepage o nell’informativa generale, senza la necessità di apporre specifici banners da rimuovere a cura dell’utente;
- deve indicare gli eventuali altri soggetti cui sono destinati i dati personali acquisiti tramite i cookies, nonché i tempi di conservazione delle informazioni acquisite;
- deve essere dislocata su più livelli e resa anche attraverso più canali e modalità (ad esempio con l’uso di canali video oppure di pop-up informativi oppure interazioni vocali oppure assistenti virtuali).
Tutti i cookies o strumenti di tracciamento utilizzati nel sito per finalità diverse da quelle tecniche (come ad esempio profilazione, analisi e monitoraggio dei comportamenti dei visitatori di siti web o per inviare messaggi pubblicitari), possono essere utilizzati esclusivamente previa acquisizione del consenso informato da parte dell’utente, con le modalità su cui ci soffermeremo nel successivo paragrafo.
Rispetto alla precedente normativa, il Garante ha chiarito, sulla base del coordinamento tra la normativa generale del GDPR e quella speciale in tema di comunicazioni elettroniche (direttiva ePrivacy), che il consenso informato costituisce l’unica base giuridica legittimante l’utilizzo di cookie di profilazione, con conseguente esclusione e inapplicabilità di ulteriori basi giuridiche (diverse dal consenso) volte a rendere legittimo il trattamento.
Pertanto, in nessun caso è possibile invocare altre basi giuridiche diverse dal consenso, ed in particolare, ad esempio, il legittimo interesse del titolare, per giustificare il ricorso a cookies di profilazione o altri strumenti di tracciamento.
5.2 Modalità di acquisizione del consenso dell’utente per l’utilizzo dei cookies
Il Garante – in ottemperanza al principio della c.d. “privacy by default” di cui all’art. 25, par. II, GDPR – ha precisato che il titolare deve garantire che siano tracciati solo i dati personali necessari per ciascuna specifica finalità del trattamento; la quantità dei dati raccolti e la durata della loro conservazione non può eccedere il minimo necessario per raggiungere tali finalità. In altri termini, le informazioni raccolte devono riguardare soltanto quelle che servono per permettere la fruizione del servizio e deve essere lasciata alla libera volontà dall’utente la scelta di permettere al titolare del trattamento di acquisire più dati per le altre finalità indicate.
Il sito web deve quindi essere impostato in modo predefinito, così da garantire che, nel momento in cui l’utente effettua il primo accesso al sito, non venga posizionato all’interno del suo device alcun cookie o strumento di tracciamento. In caso di mancata osservanza del suddetto obbligo, il titolare del trattamento può essere sanzionato secondo quanto previsto dal GDPR.
Al fine di acquisire in modo corretto il consenso da parte dell’utente, è necessario che nel sito sia predisposto un banner, ovvero un’immagine a comparsa immediata (pop-up) che appare al visitatore del sito web. Il Garante ha suggerito l’adozione di uno specifico modello per strutturare il banner relativo al consenso, che il Garante stesso considera in linea con i principi sopra indicati.
Il Garante prevede infatti che i gestori dei siti web devono far sì che l’utente, accedendo per la prima volta alla homepage (o ad altra pagina del sito web), visualizzi immediatamente il banner o un’area dedicata alla manifestazione di volontà circa il posizionamento dei cookies. Tale banner o area deve avere le seguenti caratteristiche:
- dimensioni sufficienti a far percepire all’utente una discontinuità rispetto alla fruizione dei contenuti della pagina web che sta visitando;
- dimensioni tali da evitare il rischio che l’utente possa compiere scelte inconsapevoli o indesiderate;
- non deve impedire all’utente di poter mantenere le impostazioni di default (che devono essere impostate sul diniego all’uso dei cookies o degli altri sistemi di tracciamento) e deve permettere all’utente di poter manifestare il proprio consenso attraverso un’azione positiva;
- qualora l’utente decida di mantenere le impostazioni di default, deve permettere all’utente medesimo di chiudere il banner o l’apposita area dedicata semplicemente attraverso l’apposito comando di solito usato a tale scopo per chiudere le pagine web, cioè la “X” posta (di regola) in alto a destra all’interno del banner o dell’area suddetta, senza che l’utente debba essere costretto ad accedere ad altre aree o pagine appositamente dedicate;
- il comando grafico di chiusura del banner deve avere una evidenza grafica pari a quella degli altri comandi o pulsanti che l’utente può utilizzare per esprimere la propria scelta; in tal modo, l’utente che non intenda dare il proprio consenso al posizionamento dei cookie non può essere tracciato o profilato, e allo stesso tempo il titolare del trattamento dispone di un evento informatico – appunto la chiusura del banner tramite il tasto X – che può essere registrato per documentare la scelta dell’utente e per impedire al sito di presentare nuovamente il banner a quell’utente durante i suoi successivi accessi.
Il banner deve inoltre contenere le seguenti opzioni:
- l’avvertenza che, nel caso in cui l’utente chiuda il banner attraverso la “X”, resteranno efficaci le impostazioni di default(e quindi continuerà a essere negato il consenso all’uso dei cookies e la navigazione continuerà senza che nel device dell’utente vengano posizionati cookies o sistemi di tracciamento diversi da quelli tecnici);
- nel caso in cui il sito web utilizzi cookies o altri strumenti tecnici e altresì i cookies di profilazione o altri strumenti di tracciamento, una informativa minima in ordine al fatto che il sito utilizza detti cookies o strumenti tecnici, che i cookies di profilazione e gli altri strumenti di tracciamento possono essere utilizzati soltanto previa acquisizione del consenso dell’utente e che tale consenso viene reso con le modalità indicate nell’informativa stessa;
- il link alla informativa estesa(privacy policy), avente i contenuti prima precisati;
- un comando con cui l’utente possa esprimere il proprio consenso, accettando così il posizionamento di tutti i cookies o di tutti gli altri strumenti di tracciamento;
- il link ad una ulteriore area dedicata nella quale l’utente possa selezionare specificamente le funzioni, “terze parti” o cookies sceglie di acconsentire, eventualmente anche raggruppati per categorie omogenee.
Indipendentemente dai colori usati per i vari pulsanti e in generale dalle modalità scelte dal gestore del sito web per permettere la manifestazione del consenso dell’utente, l’azione positiva che l’utente potrà compiere al momento del primo accesso alla pagina deve sempre essere volta a manifestare il suo consenso ai cookies (c.d. opt-in) e non il proprio diniego (c.d. opt-out).
Il Garante precisa, poi che gli utenti in qualsiasi momento e in modo semplice devono poter modificare le scelte già compiute – siano esse positive o negative – attraverso un’apposita area loro accessibile attraverso un link, che deve essere posizionato nella parte inferiore della pagina web (footer) e che deve essere evidenziata con la esplicita indicazione “rivedi le tue scelte sui cookies” (o analoga indicazione). In tal modo agli utenti deve essere consentito di revocare il consenso precedentemente prestato oppure prestare il proprio consenso precedentemente negato in qualsiasi momento, semplicemente entrando nel link appositamente indicato per modificare le scelte in materia di posizionamento dei cookies e collocato nel footer del sito.
Inoltre, il gestore del sito deve utilizzare dei comandi e dei caratteri di uguali dimensioni, nonché analoga enfasi e colori, per tutte le scelte che l’utente può compiere, in modo che esse siano tutte ugualmente facili da visionare e utilizzare. Ciò, per garantire che gli utenti non siano influenzati oppure penalizzati da scelte di design che li inducano a scegliere una opzione piuttosto che un’altra.
Infine, il Garante suggerisce ai gestori di garantire effettivamente che gli utenti possano cambiare liberamente la propria volontà in ordine al posizionamento dei cookie, posizionando in ciascuna pagina del proprio dominio (eventualmente accanto al link dell’area dedicata alle scelte) un segno grafico, un’icona o un altro accorgimento tecnico con cui indicare lo stato dei consensi in materia di posizionamento dei cookies prestati dall’utente e in vigore in quel momento.
In conclusione, il Garante ricorda che il titolare del trattamento, proprio in applicazione del principio di accountability previsto dal GDPR, può sempre adottare delle modalità di raccolta del consenso degli utenti al posizionamento dei cookies diverse da quelle ora indicate, purché vengano rispettate le regole e i diritti riconosciuti agli interessati dalla normativa in materia di privacy, sotto la responsabilità del titolare medesimo. Ad esempio, gli utenti possono accedere ai servizi offerti dal gestore del sito web attraverso l’uso di credenziali di autenticazione o di accesso, rispetto ai quali il gestore può assolvere gli obblighi su di lui gravanti circa l’impiego dei cookies fin dal momento della creazione del profilo dell’utente.
5.3 Le condotte da evitare nell’acquisizione del consenso
In base al Considerando 32 del GDPR, il consenso deve essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano. Non configurano quindi un valido consenso:
- il silenzio dell’utente;
- l’inattività dell’utente;
- la preselezione di caselle da parte del sito web.
Qualora il trattamento dei dati abbia più finalità, il consenso deve essere prestato specificatamente per ognuna di esse. Inoltre, nel caso in cui il consenso dell’interessato sia richiesto attraverso l’uso di mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire con l’uso del servizio per cui è richiesto il servizio stesso.
In considerazione di tali principi, il Garante ritiene che il c.d. “scrolling” (cioè il semplice movimento del mouse e quindi del puntatore della pagina web) non è mai idoneo, di per sé, ad esprimere in maniera legittima la volontà dell’utente ad acconsentire al posizionamento dei cookie all’interno del proprio device o all’uso di altri strumenti di tracciamento (fatto salvo il posizionamento dei cookies tecnici). In altri termini, lo scrolling non può mai essere equiparato al consenso.
Secondo il Garante, tuttavia, lo scrolling può essere utilizzato dal titolare nella procedura di acquisizione del consenso insieme ad altri strumenti che consentono all’utente di fornire al gestore del sito web una propria volontà inequivoca e consapevole all’uso dei cookies o degli altri strumenti di tracciamento, che sia altresì registrabile e documentabile. In base al principio di accountability, ogni singolo titolare del trattamento deve individuare le eventuali modalità per far sì che il consenso dell’utente all’uso dei cookies abbia le caratteristiche di cui sopra.
Analoga indicazione vale per il c.d. “cookie wall”, ovvero il sistema per cui l’utente è obbligato a esprimere il proprio consenso a ricevere i cookies per poter procedere con la navigazione sul sito web, risultando, in caso contrario, impossibile accedere al sito. Il Garante ha precisato che tale sistema è illecito, in quanto non permette di qualificare il consenso reso dall’utente come libero e quindi conforme alle caratteristiche indicate dal GDPR. In particolare, il cookie wall viola l’art. 4 del GDPR, in quanto un consenso che viene prestato a pena di impossibilità di accedere al sito (“take it or leave it”),, non può essere considerato libero.
Infine, sempre con riferimento alle modalità di acquisizione del consenso, il Garante si occupa della prassi di reiterare la richiesta di consenso ad ogni accesso al sito effettuato dall’utente, anche nel caso in cui l’utente abbia già espresso in precedenza la propria volontà di non prestare il consenso stesso.
Ad avviso del Garante, l’eccessiva riproposizione del banner per acquisire il consenso all’uso dei cookies nel caso in cui l’utente lo abbia in precedenza negato, è idoneo a ledere la libertà dell’utente medesimo, in quanto lo induce a fornire il proprio consenso per evitare la continua riproposizione del banner e poter quindi continuare liberamente la propria navigazione sul sito web.
Pertanto, nel caso in cui l’utente non acconsenta all’uso dei cookie e quindi mantenga immodificata l’impostazione di default che deve essere fornita dal sito (che deve essere appunto quella del diniego all’uso dei cookie), il titolare del trattamento deve registrare tale decisione dell’utente e non può ulteriormente chiedere a quest’ultimo di esprimere il proprio consenso all’uso dei cookies.
Il titolare del sito potrà riproporre all’utente il banner relativo alla prestazione del consenso all’uso dei cookies solo se:
- siano modificate in modo significativo una o più condizioni del trattamento; in tal caso, pertanto, il banner svolge la funzione di informare l’utente circa la modifica intervenuta (come, per esempio, in caso di mutamento delle “terze parti”);
- non sia possibile per il gestore del sito web sapere se un cookie è già stato archiviato in precedenza sul device dell’utente (come, ad esempio, nel caso in cui l’utente abbia cancellato i cookie dal proprio dispositivo);
- sono passati almeno 6 mesi dall’ultima volta in cui il gestore del sito ha presentato il banner all’utente.
5.4 I cookies analitici di prima parte e delle c.d. terze parti
Nella parte finale delle Linee guida, il Garante si occupa dei cookies analitici, ribadendo che gli stessi possono essere ricompresi nella categoria dei cookies tecnici, e quindi possono essere usati senza che il gestore del sito web debba preventivamente acquistare il consenso degli interessati.
Tuttavia, a seguito dell’entrata in vigore del GDPR, il Garante ha precisato che i gestori delle pagine web devono individuare delle soluzioni che tutelino maggiormente l’interessato e proteggano i suoi dati, impiegando misure che rispettino il principio della privacy by design. In particolare, devono essere introdotte misure di minimizzazione dei dati, tali sa ridurre significativamente la possibilità per le c.d. terze parti di identificare l’utente attraverso l’uso dei cookies analitici. In altri termini, le c.d. terze parti le quali hanno la diponibilità dei risultanti dei cookies analitici non devono essere in grado di pervenire, proprio attraverso l’uso di tali cookies, all’individuazione dell’utente. Soltanto quando ciò non sia possibile per le terze parti, i cookies analitici possono essere equiparati a quelli tecnici.
Per raggiungere tale obiettivo, è necessario che la struttura dei cookies analitici preveda la possibilità che lo stesso cookie sia riferibile a più dispositivi diversi (e non invece in modo univoco ad un solo dispositivo), in modo che chi analizza i risultati di quel cookie non possa avere certezza sulla identità informatica del soggetto che lo ha ricevuto nel proprio dispositivo. Per quanto concerne le modalità tecniche per ottenere tale risultato, il Garante suggerisce di mascherare delle porzioni dell’indirizzo IP all’interno del codice.
Il Garante ha inoltre precisato che l’uso dei cookies analitici deve necessariamente essere limitato a produrre statistiche aggregate a che gli stessi devono essere usati solo con riferimento ad un singolo sito internet o una sola applicazione mobile, senza poter incrociare i dati risultati dalla navigazione di più siti o con più applicazioni, in modo da non permettere a chi analizza i risultati del cookie analitici di tracciare tutta la navigazione di un utente che visiti diversi siti web oppure che usa diverse applicazioni mobili.
In considerazione di ciò, i soggetti terzi che forniscono al gestore del sito web il servizio di “misurazione” del traffico internet (attraverso i risultati dei cookies analitici), non devono combinare i dati acquistati, anche se minimizzati (attraverso la oscurazione di parte del codice IP), con altri dati e informazioni; ciò al fine di evitare che aumenti il rischio che l’utente possa essere identificato.
Per approfondire i nostri servizi di assistenza e consulenza in tema di e-commerce, visionate la pagina dedicata del nostro sito.
Avv. Valerio Pandolfini
Avvocato specializzato in E-commerce
Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.
Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.