Cookie: adottate le (nuove) linee guida del Garante Privacy

 

Background

Al termine della consultazione pubblica avviata a dicembre 2020[1], il Garante per la protezione dei dati personali (“Garante”) si è pronunciato in via definitiva sulla tematica in esame, annunciando la pubblicazione delle Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 (“Linee Guida”) e della relativa Scheda di sintesi.

Prima di entrare nel merito del contenuto di tali Linee Guida, si precisa che è stato concesso un tempo di 6 mesi per l’adeguamento (che decorre dal 9 luglio, giorno della pubblicazione delle Linee Guida in Gazzetta Ufficiale)[2].

 

Contenuti principali

Base legale

Rispetto alla base legale, occorre tenere presente che la disciplina di riferimento è da rinvenirsi, a livello nazionale, nell’art. 122 del D.lgs. 196/2003 (“Codice Privacy”) che recepisce il contenuto della Direttiva ePrivacy[3], così come integrata dalle norme del Regolamento (UE) 2016/679 (“GDPR”) su alcuni aspetti, come, ad esempio, per ciò che riguarda le caratteristiche del consenso[3]. In tal senso, il Garante conferma quanto era stato espresso dalle altre Autorità di Controllo europee e dall’European Data Protection Board con le Linee guida 5/2020 sul consenso[5], e quindi che il consenso all’uso dei cookie deve avere le caratteristiche richieste dal GDPR.

Premesso quanto sopra, il Garante ha precisato come non sia possibile ricorrere al legittimo interesse del titolare ex art. 6(1)(f) del GDPR per installare o leggere cookie o altre tecnologie traccianti sul terminale di un utente. Pertanto, è necessario il consenso dell’utente all’uso dei cookie salvo non ricorrano ipotesi di deroga, ipotesi che comunque non includono il legittimo interesse.

 

Classificazione dei cookie. Altri strumenti di tracciamento

Si conferma la distinzione “soggettiva” tra:

  • cookie di prime parti (o dei publisher), che sono installati direttamente dal sito web visitato dall’utente;
  • cookie di terze parti, ovvero i cookie installati da web server diversi da quello del sito visitato dall’utente.

È altresì confermata l’altra classica distinzione tra cookie di sessione e permanenti in ragione delle loro durata. Altra classificazione è poi quella che tiene conto dello “scopo” per cui i cookie sono installati; in ragione di ciò, i cookie possono essere:

  • tecnici, ove siano usati solo per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
  • di profilazione, ove “siano utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nelle navigazione in rete[6].

Ciò detto, è bene precisare che le Linee Guida si applicano ai cookie come pure ad altri strumenti di tracciamento (attivi) e agli identificatori “passivi”, come il fingerprinting – di seguito richiamati anche solo “cookie”.

Rispetto a quanto precede, la classificazione dei cookie tra “tecnici” e di “profilazione” è quella che assume maggior rilievo rispetto agli obblighi da seguire, posto che per i primi non occorre acquisire il consenso, preventivo ed inequivocabile, dell’utente al loro utilizzo.

 

Le modalità di acquisizione del consenso e di revoca

  • Scrolling

Le Linee Guida non escludono in via assoluta la possibilità di poter acquisire il consenso mediante tecniche di scroll down purché il suo rilascio faccia parte di un “articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivocabile e consapevole, che sia al tempo stesso registrabile e dunque documentabile” (si veda il paragrafo 6.1 delle Linee guida – Il c.d. “scrolling” e il cookie wall”).

  • Banner cookie

Il banner cookie – non necessario in caso di uso esclusivo di cookie tecnici – viene confermato come strumento utile per poter acquisire il consenso. A tal fine, il banner deve:

  • includere il link alla privacy policy/informativa generale, che deve contenere le informazioni ex 12 e 13 del GDPR;
  • contenere un’informativa minima sui cookie usati;
  • disporre di un comando, come una “X” in alto a destra, per permettere all’utente di navigare il sito senza esprimere il consenso all’uso dei cookie non tecnici;
  • riportare l’avvertenza che la chiusura del banner mediante la suddetta “X” ha l’effetto di consentire la navigazione in assenza di tracciatori non tecnici;
  • includere il link ad un’altra area dedicata in cui si potranno gestire le preferenze specifiche anche raggruppando i cookie per categorie omogenee. Tali preferenze devono essere impostate di default sul diniego all’uso di cookie;
  • includere il comando per accettare il posizionamento di tutti i tracciatori non tecnici.

La richiesta di consenso dell’utente all’uso dei cookie non deve, come regola generale, essere sollecitata prima di 6 mesi dalla presentazione del banner.

  • Altre modalità. Gli utenti registrati

Il gestore del sito è libero di adottare anche altre modalità di acquisizione del consenso: così, ad esempio, agli utenti che accedono a servizi mediante autenticazione si potrà assolvere agli obblighi in questione sin dal momento della registrazione; a tali utenti, dovrà essere consentito di scegliere se accettare o meno la possibilità che il tracciamento venga effettuato anche con l’analisi incrociata dei comportamenti tenuti mediante device differenti – e di ciò occorre darne atto anche nel banner cookie.

  • Revoca del consenso e modifica delle preferenze

Gli utenti dovranno essere posti in condizione di modificare, in ogni momento, le scelte compiute – sia in termini negativi che in termini positivi. Ciò dovrà avvenire attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer di ogni pagina del sito; tale area dovrà essere raggiungibile anche mediante il banner cookie (come detto al punto 5) che precede).

 

Alcuni ulteriori chiarimenti e specificità:

  • Cookie wall

L’uso dei cookie wall è, in generale, illecito, salvo che il gestore del sito non offra all’utente la possibilità di accedere ad un contenuto o servizio equivalente; ipotesi da verificare di volta in volta.

  • Cookie analitici

I cookie analitici sono equiparabili ai cookie tecnici solo se:

  • vengono usati solo per realizzare statistiche aggregate e in relazione a un singolo sito o app del publisher;
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP versione 4 e 6;
  • le terze parti si astengono dal combinare i cookie analitici, minimizzati come detto sopra, con altre elaborazioni e dal trasferirli ad altri terzi. È consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti o app che siano riconducibili al medesimo publisher[7].

Eccezione: in assenza delle misure di minimizzazione di cui sopra, sono lecite le analisi statistiche relative a più domini, siti o app dello stesso titolare purché quest’ultimo proceda in proprio all’elaborazione statistica e purché le elaborazioni non si traducano in decisioni commerciali.

  • Informativa

Anche la privacy policy dei publisher dovrà essere opportunamente integrata, dovendo riportare, tra gli altri, i tempi di conservazione delle informazioni acquisite mediante i cookie.

 

Implicazioni pratiche

 In conclusione, nei prossimi sei mesi, si dovrà procedere con l’adeguamento dei propri sistemi per allineare l’uso di cookie e delle altre tecnologie traccianti, anche passive, alle novità introdotte dalle Linee Guida.

Quanto ai consensi già raccolti ad oggi e fino al completamento delle azioni di compliance, essi restano validi se sono in linea con i requisiti del GDPR, per i quali il consenso deve essere: libero, informato, inequivoco, specifico e documentato (anche mediante evidenze informatiche).

 

 

Note:

[1] Comunicato stampa dal Garante: Cookie: il Garante privacy avvia una consultazione pubblica sulle regole per il loro uso, https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9501006

[2] Le Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 sono state pubblicate sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, https://www.gazzettaufficiale.it/eli/gu/2021/07/09/163/sg/pdf

[3] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) modificata dalla direttiva 2006/24/CE e dalla direttiva 2009/136/CE; essa è generalmente richiamata e nota come Direttiva e-Privacy. Si tratta di una lex specialis rispetto al GDPR

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32002L0058&from=IT

[4] L’art. 2 della Direttiva ePrivacy precisa, infatti, che il consenso ai sensi di questa norma, la citata direttiva, “… corrisponde al consenso … di cui alla direttiva 95/46/CE”. Essendo intervenuta l’abrogazione della direttiva 95/46/CE, ad oggi occorre far riferimento al Regolamento UE 2016/679 rispetto ai requisiti del consenso. Sul punto si vedano anche il considerando (17) della Direttiva ePrivacy (“… Ai fini della presente direttiva il consenso … dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/CE”) e le Linee guida 5/2020 dell’EDPB.

[5] Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679 dell’EDPB adottate il 4 maggio 2020: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_it

[6] Si veda il paragrafo 4. La classificazione di cookie ed altri strumenti di tracciamento delle Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021.

[7] Si veda:

 

ICTLC Italy
italy@ictlegalconsulting.com