È stato pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021 il provvedimento n. 231 del Garante per la Protezione dei Dati Personali (“Garante”) denominato “Linea Guida cookie e altri strumenti di tracciamento” (“Linee Guida”).
Nonostante la materia fosse già stata oggetto di una specifica regolamentazione (provvedimento n. 229 dell’8 maggio 2014), il Garante ha ritenuto necessario integrare e/o fornire chiarimenti in merito alla disciplina vigente, anche al fine di adeguarla alle novità normative frattanto intervenute e, in particolare, al Regolamento UE 679/2016 in materia di dati personali (“GDPR”).
L’esigenza di adottare le nuove Linee Guida è dipesa anche (i) dall’esperienza maturata in questi anni dal Garante, tramite il monitoraggio da esso effettuato attraverso numerosi reclami, segnalazioni e richieste di pareri, (ii) dalla crescente diffusione delle nuove tecnologie sempre più pervasive, nonché (iii) dall’evoluzione del comportamento degli utenti del web, che moltiplicano i profili digitali anche attraverso i social network.
Per tali ragioni, il Garante ha considerato opportuno rafforzare le tutele degli utenti, favorendo un effettivo controllo sulle informazioni personali oggetto del trattamento.
Cosa sono i cookie e gli altri strumenti di tracciamento?
I cookie sono di regola stringhe di testo che i siti web (c.d. “Publisher” o “prime parti”) visitati dagli utenti ovvero siti o web server diversi (c.d. “terze parti”) posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente stesso.
Tali dispositivi sono, ad esempio, il computer, il tablet, lo smartphone e, più in generale, ogni dispositivo in grado di archiviare informazioni, compresi i dispositivi IoT (Internet of Things), progettati per connettersi alla rete e fornire servizi di varia natura.
I software per la navigazione in internet e il funzionamento dei dispositivi sopra citati (ad esempio, i browser) possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web. Le informazioni codificate nei cookie possono includere dati personali (ad esempio, un nome utente, un identificativo univoco, un indirizzo e-mail o un indirizzo IP,) oppure dati non personali (ad esempio, le impostazioni informazioni sul tipo di dispositivo utilizzato, oppure informazioni della lingua).
I cookie, quindi, possono avere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online; inoltre, attraverso i cookie è possibile veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, nonché conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.
I risultati anzi descritti possono essere raggiunti anche attraverso l’utilizzo di altri strumenti di tracciamento che consentono di effettuare trattamenti analoghi a quelli sopra indicati.
Generalmente, si distingue tra i c.d. “identificatori attivi”, come i cookie, e gli identificatori “passivi”, che presuppongono la semplice osservazione.
Tra questi ultimi è ricompreso il c.d. “fingerprinting”, vale a dire la tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.
Questa tecnica può essere utilizzata per raggiungere i summenzionati obbiettivi di behavioural advertising: profilazione finalizzata alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.
Per tali ragioni, il Garante ha ricompreso il fingerprinting e gli ulteriori strumenti di tracciamento nell’ambito di applicazione delle nuove Linee Guida, pur evidenziando una importante differenza tra gli identificatori “attivi” e quelli “passivi”.
Nel caso degli identificatori “attivi”, come i cookie, l’utente che non intenda essere profilato, oltre a poter rifiutare il proprio consenso (come vedremo in seguito), o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al GDPR, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.
Al contrario, con riguardo agli altri identificatori “passivi”, tra cui il fingerprinting, l’utente non ha strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, creando così un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha accesso libero e diretto e del quale potrebbe non avere neppure consapevolezza.
Come possono essere classificati i cookie e gli altri strumenti di tracciamento?
Ci sono diversi criteri per classificare i cookie e gli altri strumenti di tracciamento (ad esempio, in base alla durata, in base al fatto che il publisher agisca per conto proprio o di terzi), tuttavia, per quanto riguarda le esigenze di tutela della persona e quindi ai fini del GDPR e delle nuove Linee Guida, i cookie possono essere distinti in due macro-categorie:
- i “cookie tecnici”: sono quelli, come previsto dall’art. 122 del D.Lgs. n. 196/2003 (“Codice Privacy”), utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
- i “cookie di profilazione”: sono quelli utilizzati per ricondurre a soggetti determinati, identificati o identificabili specifiche azioni o schemi di comportamento ricorrenti nell’uso delle funzionalità offerte, allo scopo di raggrupparli in cluster omogenei, in modo che il titolare possa fornire un servizio (od offrire un servizio) sempre più personalizzato.
Allo stesso modo, anche gli altri identificatori possono essere catalogati secondo la loro finalità, per cui si distinguono identificatori di natura “tecnica” o identificatori di natura “non tecnica”, dovendosi intendere quest’ultima categoria in senso ampio.
La differenza non è meramente testuale. Infatti il Garante, non discostandosi da quanto già previsto dal provvedimento del 2014 e conformemente a quanto previsto dall’art. 122 del Codice Privacy – introdotto nel Codice Privacy a seguito del recepimento della direttiva ePrivacy 2002/58/CE, tuttora applicabile allo specifico settore dei trattamenti dei dati nell’ambito delle comunicazioni elettroniche – ha confermato che, mentre per l’utilizzazione di cookie e degli altri identificatori c.d. “tecnici” il titolare del trattamento sarà assoggettato al solo obbligo di fornire all’utente una specifica informativa (che può essere inserita direttamente in quella generale), viceversa l’utilizzo di cookie aventi finalità di tracciamento diverse da quelle tecniche (cookie di profilazione) nonché di altri identificatori “non tecnici” potranno effettuarsi solo previa acquisizione del consenso, informato, del contraente o dell’utente.
Quali sono le principali disposizioni contenute nelle nuove Linee Guida?
Nel prosieguo, passeremo in rassegna le principali novità ed i chiarimenti introdotti dalle Linee Guida, le quali, come vedremo, si pongono una duplice finalità: da un lato individuare le corrette modalità per la fornitura dell’informativa (cookie tecnici), dall’altro specificare le corrette modalità di acquisizione del consenso online degli interessati (cookie di profilazione).
-
Cookie di profilazione. Individuazione della base giuridica del trattamento.
Al pari del provvedimento del 2014, anche le nuove Linee Guida prevedono che l’utilizzo di cookie di profilazione sia subordinato al previo consenso dell’interessato. Tuttavia, rispetto alla precedente normativa, il Garante ha chiarito, sulla base del coordinamento tra la normativa generale del GDPR e quella speciale in tema di comunicazioni elettroniche (direttiva ePrivacy), che il consenso informato costituisce l’unica base giuridica legittimante l’utilizzo di cookie di profilazione, con conseguente esclusione e inapplicabilità di ulteriori basi giuridiche (diverse dal consenso) volte a rendere legittimo il trattamento.
Pertanto, contrariamente a quanto osservato nella prassi, in nessun caso sarà possibile invocare, ad esempio, la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie di profilazioni o altri strumenti di tracciamento.
-
Modalità di acquisizione del consenso.
Con riferimento alla modalità tecnica per l’acquisizione del consenso online per il tracciamento a mezzo cookie tramite presentazione di un banner, il Garante ha chiarito di ritenere tuttora sostanzialmente valido l’impianto del precedente provvedimento del 2014.
Tuttavia, rispetto alla precedente normativa, il Garante – in ottemperanza al principio della c.d. “privacy by default” di cui all’art. 25, par. II, GDPR – ha stabilito che il titolare debba garantire che, per impostazione predefinita, siano tracciati solo i dati personali necessari per ciascuna specifica finalità e che, pertanto, al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da cookie tecnici venga posizionato all’interno del suo dispositivo, né venga utilizzata alcuna tecnica attiva o passiva di tracciamento.
Nella propria autonomia imprenditoriale e in ossequio al principio di accountability, ciascun titolare può adottare le modalità ritenute più idonee per assicurare il rispetto dell’obbligo che precede, tuttavia il Garante ha suggerito l’adozione di uno specifico modello, di seguito illustrato, che il Garante considera in linea con gli obblighi appena descritti.
In particolare, i gestori dei siti web dovranno implementare un meccanismo in base al quale l’utente, accedendo per la prima volta alla homepage (o ad altra pagina) del sito web, visualizzi immediatamente un’area o banner. Le dimensioni del banner devono essere impostate in modo da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma, al contempo, anche tali da evitare il rischio che l’utente possa fare incidentalmente ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli; nel valutare l’adeguatezza e congruità delle dimensioni del banner dovrà tenersi, inoltre, conto delle diverse tipologie di dispositivi utilizzabili dagli utenti e, quindi, delle relative conseguenze in termini di visualizzazione (ad esempio, un design non adattivo/responsivo potrebbe dar luogo a layout inadeguati per alcuni device).
Il banner dovrà essere parte integrante di un meccanismo che permetta sia di mantenere le impostazioni di default, sia di esprimere un’azione positiva in cui si sostanzi la manifestazione del consenso dell’interessato.
Qualora l’utente decidesse, com’è suo diritto, di mantenere quelle impostazioni di default (non prestando il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento), dovrebbe dunque limitarsi a chiudere il banner, attraverso lo specifico comando comunemente impiegato a tal fine, vale a dire quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo.
Tale comando X dovrà avere una “evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali idonei ad esprimere le altre scelte nella disponibilità dell’utente”, e le modalità per proseguire nella navigazione del sito web senza dare alcun consenso dovranno essere “immediate, usabili e accessibili quanto quelle previste per la prestazione del consenso”.
Oltre al comando X appena citato, secondo il Garante il banner deve avere le seguenti opzioni/indicazioni:
(i) l’avvertenza che la chiusura del medesimo mediante selezione dell’apposito comando X comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o strumenti di tracciamento;
(ii) un’informativa minima circa l’utilizzo, da parte del sito, di cookie o strumenti tecnici nonché circa la possibilità di utilizzare anche cookie di profilazione al fine di inviare messaggi pubblicitari esclusivamente previa acquisizione del consenso dell’utente;
(iii) il link alla privacy policy ovvero ad una informativa estesa posizionata in un cd. second layer;
(iv) un comando con cui sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
(v) un link di accesso ad un’ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, le funzionalità, i soggetti c.d. “terze parti” e le tipologie di cookie al cui utilizzo l’utente scelga di acconsentire.
Il Garante ha altresì chiarito, tra le altre cose, che:
- nel caso in cui in un sito web vi siano solo cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale, senza dover apporre specifici banner da rimuovere a cura dell’utente;
- l’azione positiva nella disponibilità dell’utente al momento del primo accesso ad un sito web dovrà essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out);
- in ogni momento gli utenti dovranno essere posti in condizione di modificare le scelte compiute – prestando un consenso negato o revocando un consenso prestato – in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o formulazione analoga.
-
Acquisizione del consenso. Le condotte da evitare.
Scrolling. Il Garante, in conformità al parere n. 5/2020 dell’EDPB (European Data Protection Board), ha altresì chiarito che il semplice scroll down del cursore di pagina è inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento. Sul punto, tuttavia, il Garante, diversamente dall’EDPB che sembra più tranchant sul punto (“Based on recital 32, actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action”) non esclude che lo scrolling possa intervenire nella procedura di acquisizione del consenso e costituire non la sola bensì una delle componenti di un articolato processo che consenta comunque all’utente di segnalare al titolare del sito, mediante la generazione di un preciso pattern, una scelta inequivocabile e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento, in conformità a quanto richiesto dalle norme vigenti.
Cookie wall. È stata altresì specificata l’illegittimità dei c.d. “cookie wall”, intendendosi con tale espressione meccanismi (take it or leave it) con i quali l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. Infatti, il cookie wall non consente di qualificare l’eventuale consenso come “libero”, come richiesto dal GDPR e, pertanto, tale consenso sarebbe illecito.
Riproposizione del banner. Risulta altresì sproporzionata e invasiva la riproposizione da parte dei gestori dei siti web del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente effettuato la sua scelta.
Pertanto, nel caso in cui l’utente non presti il proprio consenso all’impiego di cookie o strumenti di tracciamento, così come abbia invece acconsentito all’impiego di alcuni cookie o altri strumenti di tracciamento, tale scelta dovrà essere debitamente registrata e l’eventuale prestazione del consenso non potrà più essere sollecitata, se non al ricorrere, alternativamente, delle seguenti ipotesi:
(i) mutamento di una o più condizioni di trattamento indicate nel banner;
(ii) impossibilità avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente tramesso;
(ii) qualora siano trascorsi 6 mesi dalla precedente presentazione del banner.
-
Cookie analytics. Disciplina applicabile.
Con tale espressione ci si riferisce ai cookie utilizzati per valutare l’efficacia di un servizio fornito da un publisher per la progettazione di un sito o per contribuire a misurarne il traffico ossia il numero di visite da parte degli utenti.
I cookie analitici possono essere di prima o di terza parte e, solitamente, necessitano del consenso, salvo il caso in cui gli stessi possano essere equiparati ai c.d. cookie tecnici.
Sul punto il provvedimento del 2014 stabiliva infatti che i cookie analytics potevano essere ricompresi nella categoria dei cookie tecnici e, come tali, utilizzati in assenso di uno specifico consenso da parte dell’utente, esclusivamente qualora venissero utilizzati direttamente dal titolare del sito per raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitassero il sito.
Il Garante, con atteggiamento “critico” rispetto alla precedente impostazione, in virtù del principio della privacy by design di cui all’art. 25, par. I, del GDPR e con il fine specifico di offrire agli interessati maggiore tutela, ha ritenuto invece necessario individuare in concreto le misure che i titolari del sito dovranno adottare per poter beneficiare di tale esenzione.
Tali misure, in particolare, vengono individuate in quelle in grado di minimizzare i dati, precludendo la possibilità che si pervenga mediante l’utilizzo di cookie analytics all’individuazione dell’interessato (c.d. “single out”) nonché l’impiego di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci.
Più in particolare, il provvedimento del Garante prescrive che l’istallazione dei cookie analytics possa prescindere dal consenso (e quindi possano essere equiparati a quelli tecnici) a condizione che:
(i) vengano utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi;
(ii) venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP opzione che, di fatto, introduce un’incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%) (ad esempio, si vedano le misure di minimizzazione dei dati adottate da Google Analytics reperibili cliccando qui);
(iii) le terze parti che forniscono al publisher il servizio di web measurement, al fine di evitare il rischio di identificazione degli utenti, si astengano dal combinare i dati, anche minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terze parti, fatto salvo il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.
Le Linee Guida considerano tuttavia lecito, anche in assenza dell’adozione delle prescritte misure di minimizzazione, il ricorso ad analisi statiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in attività che, travalicando i confini di un mero conteggio statistico, assumano in realtà caratteristiche di un elaborazione volta all’assunzione di decisioni di natura commerciale.
-
Informativa agli utenti.
Con riguardo all’informativa da rendersi agli utenti, il Garante, in aggiunta a quanto stabilito nel provvedimento del maggio 2014, ha ritenuto che quest’ultima oltre che multilayer (ossia dislocata su più livelli), possa ad oggi essere resa anche per il tramite di più canali e modalità (c.d. multichannel) in modo da sfruttare al massimo più dinamici e meno tradizionali punti di contatto tra il titolare e gli interessati (si pensi ad esempio al ricorso a canali video, pop-up informativi, interazioni vocali, ecc.).
Inoltre, in conformità ai rinnovati requisiti di trasparenza imposti dagli artt. 12 e 13 del GDPR, l’informativa dovrà contenere l’indicazione dei criteri di codificazione utilizzati dai titolari del trattamento per la classificazione dei cookie e degli altri strumenti di tracciamento. Sarà pertanto onere del titolare, sulla scorta del principio di accountability di cui al GDPR, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità con i requisiti di cui al Regolamento europeo.
-
Entrata in vigore delle nuove disposizioni.
In considerazione delle possibili complessità degli eventuali adeguamenti ai sistemi di trattamento, i soggetti saranno tenuti ad uniformarsi alle Linee Guida in esame entro 6 mesi dalla pubblicazione in Gazzetta Ufficiale.
Con riguardo invece ai consensi già raccolti, il Garante ha chiarito che questi ultimi, purché conformi alle caratteristiche richieste dal GDPR, potranno essere ritenuti validi a condizione che al momento della loro acquisizione siano stati registrati e siano dunque debitamente documentabili, anche mediante evidenze informatiche.
