1. Premessa; 2. La funzione dei cookie; 3. Altri strumenti di tracciamento; 4. La classificazione di cookie e altri strumenti di tracciamento; 5. Normativa applicabile; 6. Le modalità per l’acquisizione del consenso online; 7. La privacy by design e by default in relazione ai cookie e agli altri strumenti di tracciamento; 8. Le novità in materia di informativa
1. PREMESSA
In data 10 giugno 2021 il Garante della Privacy ha adottato il provvedimento n. 231/2021 recante “Linee guida e altri strumenti di tracciamento” pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.
Dette Linee Guida riguardano tutti i fornitori di servizi della società di informazione nonché tutti i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti d comunicazione elettronica e cui si riferiscano siti web che facciano impiego di cookie e/o altri strumenti di tracciamento, con specifico riguardo ai trattamenti di dati personali relativi all’utilizzo delle funzionalità offerte, i quali dovranno tener conto, segnatamente: del consenso preventivo degli utenti al trattamento, per finalità di tracciamento online, delle informazioni che li riguardano, anche derivanti dall’uso di cookie e altri strumenti di tracciamento; del rispetto del diritto di revoca del consenso; del rispetto degli obblighi di privacy by design e privacy by default; dell’informativa da rendere agli interessati, con particolare riguardo all’indicazione dei criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione.
Il Garante ha reputato individuare, stante la potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto, un termine di 6 mesi dal momento della pubblicazione in Gazzetta Ufficiale delle nuove Linee Guida affinché i soggetti interessati dovranno conformarsi.
2. LA FUNZIONE DEI COOKIE
I cookie sono, di regola, delle stringhe di testo che i siti web visitati dagli utenti posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
I terminali a cui ci si riferisce sono, ad esempio, computer, tablet, smartphone o comunque ogni altro dispositivo in grado di archiviare informazioni.
I software per la navigazione in internet e il funzionamento dei dispositivi – ad esempio, i browser – possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una medesima visita da parte dello stesso utente, mantenendo così memoria della sua precedente interazione.
Le informazioni contenute nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo email, come possono contenere anche dati non personali.
I cookie possono quindi svolgere diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione online dei contenuti, etc.: se da un lato, quindi, è tramite i cookie che è possibile consentire alle pagine web di caricarsi più velocemente, sempre attraverso i medesimi è possibile anche veicolare la pubblicità comportamentale e misurare poi l’efficacia del messaggio pubblicitario.
3. ALTRI STRUMENTI DI TRACCIAMENTO
Oltre ai cookie, il medesimo risultato potrà essere raggiunto mediante l’utilizzo di altri strumenti che consentono di effettuare trattamenti analoghi.
Tra questi strumenti alternativi, è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato: tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata e all’analisi e monitoraggio dei comportamenti dei visitatori dei siti web.
L’Autorità, tuttavia, pone l’accento su una differenza non trascurabile tra cookie e fingerprinting: con l’utilizzo dei cookie, l’utente che non intenda essere profilato, oltre a poter rifiutare il proprio consenso o a ricorrere a tutele giuridiche, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno di un dispositivo; diversamente, con il fingerprinting, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare: ciò in quanto facendo uso di una tecnica di lettura, non si presuppone l’archiviazione delle informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile.
4. LA CLASSIFICAZIONE DEI COOKIE ED ALTRI STRUMENTI DI TRACCIAMENTO
I cookie e in buona misura, anche gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati per la loro durata oppure dal punto di vista soggettivo.
Si possono pertanto distinguere due macro categorie:
- i cookie tecnici, utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica (art. 122, co. 1, GDPR);
- i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di clusteromogenei di diversa ampiezza, di modo che sia possibile per il titolare anche modulare la fornitura del servizio in modo sempre più personalizzato.
Analogamente, anche gli altri identificatori possono essere catalogati secondo criteri diversi, dei quali il principale resta la finalità per la quale vengono utilizzati.
5. NORMATIVA APPLICABILE
Il titolare del trattamento, per l’utilizzo dei cookie e degli altri identificatori tecnici, sarà soggetto al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato.
I cookie con finalità diverse da quelle tecniche e gli altri strumenti di tracciamento potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o dell’utente, in base alla normativa tutt’ora applicabile dell’art. 122 GDPR.
Tale disposizione è stata introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva ePrivacy, antecedente all’entrata in vigore del Regolamento: tale direttiva è tuttora applicabile allo specifico settore che riguarda il trattamento di dati effettuati nell’ambito delle comunicazioni elettroniche.
Successivamente, con l’entrata in vigore del GDPR, viene imposta un’indagine tesa a ricercare il coordinamento tra le categorie poste: difatti, molte attività di trattamento devono essere ricondotte all’ambito di applicazione tanto della direttiva quanto del GDPR.
Da un punto di vista normativo, si trae una prima e importante conclusione: la disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se in presenza del consenso dell’interessato o al ricorrente di una delle ipotesi di deroga rispetto all’obbligo della sia raccolta previste proprio da tale disciplina speciale.
In nessun caso, quindi, sarà possibile invocare la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.
6. LE MODALITÀ PER L’ACQUISIZIONE DEL CONSENSO ONLINE
Il Garante ritiene che l’impianto teso alla individuazione della modalità tecnica per l’acquisizione del consenso online per il tracciamento a mezzo cookie sia da ritenersi tuttora valido, pur nel mutato assetto normativo che privilegia e impone ai titolari di agire in ossequio al nuovo regime di accountability consentendo loro, nel caso, anche l’adozione di modalità diverse attraverso cui assicurare la conformità alle regole e la tutela degli interessati.
Appare opportuno fornire alcuni chiarimenti in relazione all’utilizzo dei c.d. scrolling ai fini della raccolta del consenso all’installazione all’utilizzo di cookie e altri strumenti di tracciamento nonché all’utilizzo dei c.d. cookie wall.
In primis, va rammentato il Considerando 32 del GDPR secondo cui: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio, mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
L’EDPB – con una opinione condivisa anche dal Garante – ha inoltre chiarito come il semplice scrooling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e dunque, non equivale, di per sé, al consenso in nessuna circostanza.
Non pare potersi escludere, tuttavia, che lo scrolling possa intervenire nella procedura di acquisizione del consenso e costituire non la sola, bensì una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento, come richiesto dalle norme vigenti.
Ulteriori chiarimento sono stati approntati anche con riferimento ai c.d. “cookie wall”, intendendosi tale espressione con un meccanismo vincolante nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte al regolamento, è da ritenersi illecito, salva l’ipotesi di verificare caso per caso.
Sempre con riferimento alle modalità di acquisizione del consenso, l’osservazione del comportamento dei siti web e le segnalazioni pervenute hanno evidenziato l’ulteriore problematica della spesso ridondante e invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto.
L’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa di banner contenente l’informativa breve e la richiesta di prestazione del consenso.
In un contesto simile, nel caso in cui l’utente mantenga le impostazioni di default e dunque non acconsenta all’impiego di cookie o altri strumenti di tracciamento, tale scelta dovrà essere debitamente registrata e la prestazione del consenso non più nuovamente sollecitata se non quando ricorra uno dei seguenti casi:
- quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso in occasione di una successiva visita del medesimo utente, al sito che lo ha generato;
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
7. LA PRIVACY BY DESIGN E BY DEFAULT IN RELAZIONE AI COOKIE E AGLI ALTRI STRUMENTI DI TRACCIAMENTO
Il Garante della privacy sostiene che il meccanismo di acquisizione del consenso online tramite presentazione di un banner mantenga una sostanziale validità; tuttavia, è bene valutare l’opportunità di aggiornamenti o migliorie alla luce del mutato assetto normativo.
Al riguardo, bisogna prendere in considerazione la portata innovativa del Regolamento e i nuovi equilibri che esso tratteggia nelle relazioni tra titolare e interessato, con specifico riferimento al suo art. 25 il quale dispone, al secondo paragrafo, che: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità ...”.
In adempimento a tale obbligo, il titolare dovrà garantire che siano trattati solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite, in modo che l’utilizzo di informazioni per l’accesso ad un sito sia inizialmente limitato al minimo indispensabile per consentirne la fruizione e che sia rimesso interamente all’interessato un effettivo potere di scelta se consentire o meno un utilizzo più ampio dei propri dati.
Il rispetto di tali regole impone che, al momento del primo accesso dell’utente al sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né venga utilizzata alcuna tecnica attiva o passiva di tracciamento.
Quanto sopra costituisce un obbligo codificato il cui mancato adempimento è sanzionabile ai sensi del GDPR.
Tuttavia, considerato che occorre comunque assicurare la libertà di scelta di chi invece intenda accettare di essere profilato, il Garante suggerisce l’adozione di uno specifico modello tramite il quale, qualora i gestori dei siti web decidessero di conformarvisi, dovranno implementare un meccanismo in base al quale l’utente, accedendo per la prima volta alla home page (o altra pagina) del sito web, visualizzi immediatamente un’area o banner le cui dimensioni siano, al tempo stesso, sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli.
Qualora l’utente scegliesse di mantenere quelle impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una “X” posizionata, di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate: tale comando dovrà avere un’evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali idonei ad esprimere la altre scelte nella disponibilità dell’utente.
Nel caso sopra menzionato, il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità di trattamento) richiesti dal GDPR.
Oltre alla “X”, tale banner dovrà contenere, almeno, le seguenti opzioni:
- l’avvertenza che la chiusura del banner mediante la “X” comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri sistemi di tracciamento diversi da quelli tecnici;
- una informativa minima sul fatto che il sito utilizza cookie o altri strumenti di tracciamento;
- il link alla privacy policy;
- un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di altri strumenti di tracciamento;
- il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti e i cookie, al cui utilizzo l’utente scelga di acconsentire.
I cookie possono essere utilizzati, tra l’altro, per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
Il Garante ha affermato che tali identificativi, definiti come cookie analytics, possono essere ricompresi nella categoria di quelli tecnici e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni.
In primo luogo, si impone la necessità di individuare soluzioni di maggior tutela dell’interessato attraverso l’impiego di misure in linea con le disposizioni di cui all’art. 25, paragrafo 1, del GDPR in materia di privacy by design.
In questa prospettiva, il Garante reputa che, nel caso in specie, tale obiettivo debba essere conseguito attraverso il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics che, per le loro caratteristiche, possono risultare identificatori diretti e univoci.
8. LE NOVITÀ IN MATERIA DI INFORMATIVA
Da ultimo, il Garante intende illustrare alcuni miglioramenti che i titolari potranno adottare al fine di rendere agli utenti una informativa conforme ai rinnovati requisiti di trasparenza imposti dagli artt. 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni acquisite.
Si ritiene, inoltre, che l’informativa, oltre che multilayer, cioè dislocata su più livelli, possa ad oggi essere resa anche tramite più canali e modalità – multichannel – in modo da sfruttare al massimo ulteriori e più dinamici punti di contatto tra il titolare e gli interessati.
Sarà inoltre onere del titolare, cui è rimessa la scelta in ordine alla modalità oppure all’impiego combinato delle modalità ritenute più idonee, verificare la corrispondenza del sistema implementato, specie in termini di correttezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal GDPR.
Per il futuro, sarà buona cosa, in tema di integrazione delle informazioni da comunicare agli utenti, ad un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso della privacy policy.
