Autore: Tiziana Pica
•
22 settembre 2021
Premessa Nel mondo informatico e digitale, nella navigazione tra siti e app mobile, hanno assunto un ruolo da protagonisti i famigerati “cookies”, i pionieri dei sistemi di tracciamento dell’utente del web. Fino a pochi giorni fa la disciplina dell’uso corretto dei cookies era quella tracciata dalle Linee guida adottate dal Garante per la Protezione dei Dati Personali nel 2014. Tuttavia, di fronte al persistere di uno sconfinato utilizzo dei cookie in violazione delle Linee Guida del Garante nonché dei principi stabiliti dal Regolamento UE n. 2016/679 (il GDPR), l’Autorità è nuovamente intervenuta sul punto per delineare in modo più chiaro e netto l’impiego dei “biscotti digitali” affinché il “barattolo” dei cookies si riduca a un mero baratto tra accesso a piattaforme, siti web e servizi in cambio dei dati personali dell’Interessato navigatore. La disciplina dei Cookies prima del Regolamento UE n. 2016/679 Come noto, il Garante Privacy con provvedimento dell’8 maggio 2014 aveva adottato le Linee guida per un uso dei cd. Cookies conforme a quella che all’epoca, ante GDPR, era la normativa vigente in materia di privacy e tutela dei dati personali. Perseguendo l’obiettivo di tutelare gli utenti da profilazioni effettuate a loro insaputa sulla base dei loro comportamenti in rete, il Garante aveva adottato un provvedimento per chiarire e semplificare l’osservanza della disciplina sul corretto utilizzo di tali strumenti di tracciamento e profilazione derivante dalla normativa comunitaria che in Italia era stata recepita nel 2012. Ebbene, l’ambito applicativo della normativa sui cookie rileva per tutti i siti web e le web app che, a prescindere dalla presenza di una sede nel territorio italiano, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (così recitava il vecchio testo dell’art. 5, comma 2, del Codice privacy, abrogato con il d.lgs. n. 101/2018). In particolare, secondo i capisaldi delle linee guida del 2014: • i siti che non utilizzano cookie non sono soggetti ad alcun obbligo; • per l´utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner; • i cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità; • se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (tra cui in primis la notificazione al Garante) qualora: i) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell´IP) e ii) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone; • se sul sito ci sono link a siti di terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l´installazione di cookie di profilazione non c´è bisogno di informativa e consenso; • nell´informativa estesa il consenso all´uso di cookie di profilazione potrà essere richiesto per singole categorie (es. viaggi, sport); • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell´ambito dello stesso dominio; • gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia. Le novità introdotte dal provvedimento del Garante Privacy del 10 giugno 2021 Il quadro giuridico di riferimento attualmente è costituito tanto dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento italiano all’art. 122 del Codice Privacy, quanto dal Regolamento UE n. 2016/679 per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7) e al Considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020. Sennonchè, la figura dell’Interessato sempre più esigente e propenso a perfezionare o massimizzare la navigazione sul web e i profili personali delle app attivate sui propri dispositivi, da una lato, e le novità del GDPR, incentrato sui principi di privacy by design e privacy by default, e le sempre più numerose segnalazioni prevenute all’Autorità di Controllo negli ultimi due anni, dall’altro latro, hanno inevitabilmente condotto il Garante privacy all’adozione di un aggiornamento della disciplina. L’upgrade delle Linee guida del 2014, passa per i seguenti punti fermi e le relative considerazioni. Anzitutto, osserva il Garante, i cookie e gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”). La loro classificazione poggia essenzialmente su due macro categorie: a) i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice); b) i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari sempre più mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. Anche per gli altri strumenti di tracciamento si può ricorrere al criterio della finalità per la quale sono utilizzati, ovvero quella meramente tecnica e quella commerciale, per procedere alla loro classificazione. Ciò premesso, il Garante ha chiarito che per l’impiego di cookie tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire l’informativa, anche eventualmente inserita all’interno dell’informativa di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato. Invece, per i cookie di profilazione e gli altri strumenti di tracciamento potranno essere utilizzati esclusivamente dopo la previa acquisizione del consenso informato dell’interessato utente così come prevede ancora oggi l’art. 122 del Codice privacy. Tale norma è stata introdotta nel d.lgs. n. 196/2003 a seguito del recepimento in Italia della direttiva ePrivacy n. 2002/58/Ce, che, come le norme di diritto interno che la recepiscono, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche. Difatti, il Garante sottolinea come ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono dunque essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento UE n. 2016/679, con la specificazione tuttavia che, per la parte di potenziale sovrapposizione ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sugli articoli del Regolamento. Le disposizioni del GDPR sono invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti, come appunto quella sull’acquisizione del consenso. Ebbene, le Linee guida del 10 giugno 2021 fissano le seguenti novità: a) ai fini della corretta acquisizione del consenso dell’utente al trattamento dei dati il solo “scrolling” (ovvero l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve) non è sufficiente ad integrare un valido consenso dell’interessato all’installazione e all’utilizzo di cookie di profilazione nonché all’utilizzo del c.d. cookie wall che vincolano l’utente a cliccare solo su “ok” pena l’impossibilità di navigare sul sito. Mentre tale ultima tecnica è ritenuta illegittima dal Garante, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta all’utente l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori, con riferimento allo scrolling l’Autorità ritiene possa essere utilizzata ma solo come componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie. b) sempre nell’ambito dell’acquisizione del consenso è stato evidenziato che, al fine di evitare ridondanti richieste del consenso all’utilizzo dei cookies effettuati da alcuni siti web ad ogni singolo accesso dell’utente che già aveva espresso le sue preferenze al primo accesso – riproposizione della richiesta del consenso e delle preferenze che integra peraltro una sorta di pratica defatigante che mira a sfiancare l’utente del web, che aveva già espresso le sue preferenze, inducendolo a dare in maniera forzosa il consenso all’utilizzo di tutte le diverse tipologie di cookies – , i gestori di siti web debbano evitare di attivare il banner per la raccolta delle preferenze dell’interessato ad ogni accesso. Una volta che l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato salvo che in specifici casi, ovvero: i) quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti”; ii) quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie, ricordando che la cancellazione dei cookie dalla cronologia effettuata dall’utente non integra la revoca del consenso dell’interessato); iii) quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner. c) per impostazione predefinita (privacy by design e privacy by default), al momento del primo accesso dell’utente a un sito web, alcun cookie diverso da quelli tecnici può essere posizionato all’interno del dispositivo dell’utente, né può essere utilizzata alcuna altra tecnica attiva o passiva di profilazione. Tuttavia, poiché occorre assicurare anche la libertà di scelta di chi invece intenda accettare di essere profilato, il Garante suggerisce che i gestori dei siti web implementino un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, che sia parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di una azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell’interessato. d) Dunque, secondo il Garante, l’utente che sceglie di mantenere le impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di profilazione, dovrebbe dunque limitarsi a chiudere tale finestra o area cliccando sulla famosa “X” del comando “annulla” posizionata in alto a destra del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate. In tal modo, il Titolare del trattamento opererebbe nel rispetto dei principi della privacy by default e il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo, libero e consapevole dell’utente, riscontrabile e dimostrabile da parte del Titolare (accountability), che consenta di qualificarlo come in linea con il Regolamento. e) Già nelle Linee guida del 2014 ha affermato che i cookie identificativi, ovvero i cookie analytics, possono essere ricompresi nella categoria di quelli tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni. Ma, affinché il Titolare operi anche nel rispetto dell’art. 25, paragrafo 1, del Regolamento ovvero attuando “in modo efficace i principi di protezione dei dati”, dovrà anche adottare misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”. Ciò implica, a parere dell’Autorità di Controllo italiana, che i cookie analytics possano essere equiparati ai cookie tecnici solo laddove attraverso il loro utilizzo non sia possibile risalire all’identificazione dell’interessato (cd. single out): dunque bisogna impedire l’uso di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci. Infine, il Garante ricorda che l’uso dei cookie analytics deve essere limitato alla produzione di statistiche aggregate e deve avvenire in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi. f) Anche l’informativa, antefatto della raccolta del consenso e delle eventuali preferenze dell’interessato, deve essere migliorata affinché gli utenti ricevano un’informativa conforme ai rinnovati requisiti di trasparenza imposti dagli articoli 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite. Al riguardo il Garante suggerisce il ricorso a modelli di informativa che sia multilayer, ovvero dislocata su più livelli, e che al contempo possa essere resa, eventualmente in relazione a specifiche necessità, anche per il tramite di più canali e modalità (cd. multichannel), in modo da sfruttare al massimo più canali comunicativi dinamici (es. canali video, pop-up informativi, interazioni vocali, assistenti virtuali, all’impiego del telefono, etc.). I soggetti che in qualità di Titolari del trattamento gestiscono siti web, siti app o app mobili dovranno adeguarsi al testo definitivo delle Linee Guida sottoposte entro il termine di 6 mesi dalla pubblicazione sulla Gazzetta Ufficiale.