LINEE GUIDA DEL GARANTE PRIVACY IN TEMA DI COOKIE: TEMPO (QUASI) SCADUTO!
Avv. Silvia Borrini
Si avvicina la scadenza del termine (09 gennaio 2022) entro cui i soggetti tenuti alla raccolta dei dati degli utenti tramite “cookie”, dovranno recepire e uniformarsi al contenuto delle “Linee guida cookie e altri strumenti di tracciamento” del 10/06/2021, approvate dal Garante per la Protezione dei Dati Personali e pubblicate sulla Gazzetta Ufficiale n. 163 del 09/07/2021.
Come sappiamo, i cookie sono stringhe di testo di piccole dimensioni che un sito web può inviare, nel corso della navigazione, al dispositivo impiegato e vengono conservati sul browser utilizzato per la navigazione. Questi browser possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così una memoria della sua precedente interazione con uno o più siti web.
Sappiamo, inoltre, che:
a) i cookie “tecnici” (utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica) non richiedono al titolare del trattamento la raccolta del consenso dell’interessato, essendo quest’ultimo solo assoggettato all’obbligo di fornire specifica informativa, mentre
b) i cookie “di profilazione” (utilizzati per ricondurre a soggetti determinati – identificati o identificabili – specifiche azioni o schemi di comportamento ricorrenti nell’uso delle funzionalità offerte) e, in generale, gli altri strumenti di tracciamento per finalità non tecniche, possono essere utilizzati esclusivamente previa acquisizione del consenso (informato) dell’utente.
A ciò aggiungasi che, rispetto ai cookie che sono, in ogni caso, “identificatori attivi” del tracciamento, vi sono anche strumenti “passivi” del tracciamento tra cui il fingerprinting: tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.
A differenza del tracciamento “attivo” (ove l’interessato può rifiutare il consenso alla profilazione e può rimuovere direttamente i cookie), nel tracciamento “passivo” l’utente non dispone di strumenti autonomamente azionabili. In questi casi, infatti, il titolare fa uso di una tecnica di lettura che presuppone la mera osservazione delle configurazioni che contraddistinguono l’utente rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare. L’interessato, ovviamente, non ha alcun accesso libero e diretto e, prima ancora, potrebbe non avere neppure consapevolezza del tracciamento “passivo”.
In ragione dell’evoluzione comportamentale degli utenti in rete, è aumentato il rischio per gli interessati di essere soggetti a profilazioni estremamente specifiche e dettagliate, tanto da rendersi necessario un aggiornamento in merito all’utilizzo dei cookie e degli altri strumenti di tracciamento con l’obiettivo di tutelare gli utenti e garantire che la raccolta del loro consenso avvenga in modo legittimo.
Per raggiungere il predetto obiettivo, il Garante interviene dando una lettura armoniosa della normativa in vigore in tema di cookie e, al contempo, offre spunti e soluzioni (talvolta tecniche) per permettere ai titolari di operare nel rispetto delle norme.
Nello specifico, il Garante, con le Linee Guida, ci dice che:
a) il ricorso a cookie o altri strumenti di tracciamento in ragione di un “interesse legittimo” del titolare, non può in nessun caso ritenersi legittimo. La disciplina di carattere speciale in tema di cookie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento dei dati ad eccezione del consenso dell’interessato;
b) lo scrolling, tecnica che permette di ottenere il consenso dell’interessato mediante il semplice “scroll down” del cursore di pagina, è ritenuto “inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione, ovvero altri strumenti di tracciamento”. Tuttavia, qualora lo scrolling intervenga quale componente di un più articolato processo che permetta di registrare una scelta consapevole e inequivoca (registrabile e documentabile) dell’utente, l’uso dei cookie (o di altri strumenti di tracciamento), è legittimo;
c) il cookie wall, meccanismo vincolante (cd “take it or leave it”) nel quale l’utente viene obbligato ad esprimere il proprio consenso alla ricezione di cookie (ovvero altri strumenti di tracciamento) pena l’impossibilità di accedere al sito, è in linea generale ritenuto strumento invalido alla raccolta di un consenso univoco e informato. Tuttavia, anche come per lo scrolling, il Garante non si esprime in termini assoluti, e lo legittima a condizione che il titolare del sito sia in grado di offrire all’utente la possibilità di accedere ad un contenuto o ad un servizio equivalente senza prestare il proprio consenso all’installazione;
d) la reiterazione della richiesta di consenso, esplicabile mediante la (spesso) ridondante e invasiva riproposizione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia già scelto. Il Garante, anche con le Linee Guida conferma che questo meccanismo va a ledere la libertà dell’utente inducendolo a prestare il proprio consenso pur di continuare la navigazione. Tuttavia, nel caso in cui (a) mutino significativamente una o più condizioni del trattamento, (b) sia impossibile per il gestore del sito web avere contezza che un cookie sia stato già in precedenza memorizzato dal dispositivo, ovvero (c) siano trascorsi almeno 6 mesi dalla precedente presentazione del banner, allora è legittima la reiterazione della richiesta;
e) il titolare, in applicazione dei principi “privacy by design e privacy by default” (art. 25 GDPR), ha l’obbligo di tutelare i dati personali come impostazione predefinita. Trasferendo questa previsione in tema di cookie, è possibile sostenere che il titolare del trattamento è tenuto a garantire che, al momento del primo accesso, non venga utilizzata nessuna tecnica di tracciamento sia essa attiva o passiva (ad eccezione per i cookie tecnici). Per l’effetto, il consenso potrà intendersi come validamente raccolto soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile che consenta di qualificarlo come in linea con tutti quei requisiti richiesti dal GDPR.
A tal fine, il Garante suggerisce il seguente meccanismo: nel momento in cui l’utente accede per la prima volta alla homepage di un sito web, deve essere messo nelle condizioni di visualizzare un’area o banner le cui dimensioni siano “sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando” e tali da “evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli”.
Il Garante suggerisce “l’aspetto” e i contenuti minimi che il banner deve avere per raggiungere la finalità a cui è deputato. Vediamole sinteticamente: (i) la”X” in alto a destra cosicché l’utente possa sin da subito negare il proprio consenso all’utilizzo dei cookie con la relativa informativa all’interessato degli effetti della sua scelta; (ii) informativa minima in merito a quali cookie vengono utilizzati in quel sito; (iii) un link alla privacy policy; (iv) un comando che permetta di esprimere il consenso all’utilizzo di alcuni (o tutti i) cookie; (v) il link ad un’area dedicata in cui sia possibile selezionare i soggetti cd. terze parti ed i relativi cookie.
Inoltre, il Garante raccomanda che gli utenti siano posti nella condizione di modificare le scelte compiute in ogni momento e in maniera semplice, posizionando in ciascuna pagina del dominio un segno grafico (ad esempio) che indichi lo stato dei consensi resi in precedenza. Per permettere ciò, il gestore del sito web potrebbe avvalersi anche di appositi cookie tecnici;
f) in merito ai “cookie analytics” di prima parte che sono quelli utilizzati per “valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher e monitorare il traffico”, il Garante (ri)afferma che il rischio maggiore si concretizza quando i cookie analytics vengano utilizzati ad opera di terze parti. Infatti, i cookie analytics possono essere parificati ai cookie tecnici solo quando sia preclusa la diretta individuazione dell’interessato. A tal fine il Garante propone un “mascheramento di alcune porzioni dell’indirizzo IP all’interno del cookie”.
Ciò detto, possiamo affermare che il Garante abbia voluto chiarire alcune regole generali contenute nella disciplina (sia generale che speciale) dei cookie. Infatti, in ragione della evoluzione tecnologica che sempre più spesso fa risultare inadeguato l’assetto normativo, la normativa non risulta sempre al passo con i tempi.
Il Garante ha dunque precisato ciò che è illegittimo, lasciando al titolare del trattamento, in applicazione (ancora una volta) del principio generale dell’accountability sancito dal GDPR, lo studio e l’adozione di ogni altro strumento anche sul piano tecnologico idoneo a garantire il rispetto dei diritti degli utenti.