Funzioni dei cookie e degli altri strumenti di tracciamento
Le nuove linee guida chiariscono, innanzitutto, funzioni e natura dei cookie. Questi altro non sono che stringhe di testo che i siti web (“prime parti”) visitati dall’utente, o altri server/siti web di “terze parti”, archiviano nei terminali (quali computer o altri mobile-device).
Nello specifico, il Garante chiarisce come i software per navigare online (c.d. browser), memorizzano nei nostri device vari cookie, ritrasmettendoli nuovamente ai siti che li hanno generati in occasione di una successiva visita dello stesso utente, mantenendo memoria della sua precedente interazione con i siti visitati. Altrettanto può dirsi anche per altri strumenti o tecniche virtuali, che permettono di raggiungere finalità del tutto analoghe a quelle sopra indicate.
Tra questi, il più diffuso è, certamente, il fingerprinting, ossia quello strumento capace di identificare il device usato dall’utente raccogliendo varie informazioni sulla configurazione del device come organizzato dall’utente. Tecnica questa - come dichiarato dal Garante - ben più insidiosa rispetto a quella dei cookie. Notevoli, infatti, le differenze, tra l’impiego dei cookie e l’uso del fingerprinting.
Nel primo caso, l’utente che non voglia esser profilato, oltre a rifiutare il consenso all’uso dei cookie, o ricorrere ad altre tutele ancora, potrà sempre rimuovere direttamente i cookie archiviati nel proprio dispositivo. Soluzione questa preclusa, invece, per i fingerprinting (o altri identificatori “passivi”), dove l’utente non disporrà di alcuno strumento azionabile autonomamente a difesa della sua privacy.
Chiarita la natura dei cookie, come degli altri strumenti di tracciamento, le Linee guida specificano, poi, le funzioni dei citati strumenti, volti ad agevolare, da un lato, la fruibilità del web (consentendo, per esempio, alle pagine online di caricarsi più velocemente), o permettendo, dall’altro, di raccogliere e instradare informazioni e dati personali in rete, per veicolare pubblicità comportamentale (“behavioural advertising”) e misurare l’efficacia dei messaggi pubblicitari online.
Tipologie dei cookie e relativo regime (sintesi)
Anche le nuove Guidelines, come il provvedimento del 2014, specificano le tipologie di cookie presenti nel web, riconducibili, in linea di massima, a tre categorie.
Innanzitutto, i cookie tecnici - soggetti al solo obbligo di menzione nell’informativa - utilizzati essenzialmente per effettuare/agevolare la navigazione online.
- I cookie di profilazione, utilizzati per attribuire a determinati soggetti, identificati o identificabili, specifiche azioni o schemi di condotte ricorrenti nell’uso delle funzionalità offerte al fine di profilarli, e perciò soggetti a citazione/descrizione nell’informativa (estesa e breve), come al consenso dell’utente.
- Ed infine, i cookie analitici utilizzati, per valutare l’efficacia di un servizio della società dell’informazione e utili, specie, per progettare un sito web e per misurarne il traffico. Cookie, questi, equiparati, come in passato, a quelli tecnici - e in quanto tali installati senza assenso dell’interessato, previa descrizione nell’informativa - al verificarsi delle seguenti condizioni: in primis, la struttura dei cookie dovrà permettere l’occultamento di porzioni dell’indirizzo IP memorizzato dal mezzo di tracciamento (in modo da rendere il dato personale riferibile a una pluralità di dispositivi, creando incertezza sull’identità informatica del ricevente); in secondo luogo, andrà pattuito con ogni terza parte l’obbligo di impiegare i cookie in questione esclusivamente per statistiche aggregate, vietando, infine - terzo e ultimo requisito - di combinare i dati così raccolti, e minimizzati, con altri dati, soggetti, in tal senso, a un generale divieto di arricchimento.
Chiarimenti sull’acquisizione del consenso online
Il regime dello “scrolling” e del “cookie-wall”
Dopo aver ribadito la bontà del pregresso sistema d’informativa e raccolta dei consensi online sull’uso dei cookie (tramite banner e rinvio ad apposita info-estesa, con acquisizione, se del caso, dei richiesti consensi), le linee guida forniscono ulteriori chiarimenti sulle prassi più diffuse nel web, quali lo scrolling, o la controversa pratica del cookie wall. Eccone, in breve, una veloce panoramica.
Innanzitutto, quanto alla prima tecnica di raccolta del consenso - consistente nel collegare l’assenso dell’utente all’installazione dei cookie al solo “scroll down” del cursore di pagina - le Linee guida, seguendo un’impostazione comunitaria ben consolidata - ribadiscono l’inadeguatezza di una simile tecnica. Il solo scroll down - si legge nel provvedimento - non può affatto costituire, per lo meno in forma isolata, un idoneo strumento per raccogliere il consenso all’uso e all’installazione dei cookie di profilazione, o di altri strumenti di tracciamento. Tuttavia, il Garante non pare escludere, a priori, la legittimità del predetto scrolling, ma solo quando lo stesso costituisca una delle componenti di un più ampio e articolato processo che consenta all’utente di segnalare al titolare del sito, una scelta inequivoca e consapevole (al tempo registrabile e documentabile), volta a prestare il proprio consenso all’uso dei cookie, o di altri strumenti di tracciamento, come richiesto dalle vigenti norme.
Ulteriori chiarimenti riguardano la diffusa tecnica del c.d. cookie wall, intendendosi con tale espressione un meccanismo vincolante (“take it or leave it”), nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione dei cookie, o altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. Ebbene, sul punto le Linee guida precisano come una simile prassi - non consentendo di qualificare l’eventuale consenso così ottenuto in conformità ai caratteri imposti dal GDPR (con particolare riferimento al requisito della “libertà” del consenso) - è da ritenersi in genere illecito, salva l’ipotesi, da verificarsi in concreto, in cui il titolare del sito offra all’interessato la possibilità di accedere al contenuto, o a un servizio equivalente, senza prestare il proprio consenso all’installazione e all’uso di cookie, o altri strumenti di tracciamento.
Reiterata richiesta di consenso dopo la mancata prestazione dello stesso
Prima di affrontare i temi centrali relativi sia alle modalità operative per somministrare la prescritta informativa cookie, sia alle tecniche di raccolta del prescritto consenso (ovvio se del caso), il Garante si pronuncia su un’ulteriore pratica ampiamente diffusa nel web. Trattasi, nella specie, della prassi, assai fastidiosa per ogni internauta, consistente nel riproporre il banner per acquisire il consenso dell’utente, laddove questo l’abbia già ripetutamente negato; pratica, questa, senz’altro suscettibile di ledere la libertà dell’internauta, inducendolo ad acconsentire all’insistente richiesta online, pur di proseguire nella navigazione libero dall’ossessiva ricomparsa del banner contenente l’informativa breve e annessa richiesta di consenso.
Ebbene, fermamente condannata tale pratica, le Linee guida precisano, per contro, la relativa legittimità al verificarsi di una delle seguenti circostanze:
- innanzitutto, quando mutino significativamente una o più condizioni del trattamento dati proposto online;
- qualora l’utente abbia scelto di cancellare i cookie legittimamente installati nel proprio device;
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Le soluzioni proposte dal Garante (informativa + consenso)
È ferma opinione del Garante come l’informativa breve tramite banner, e ove necessario, l’annesso consenso richiesto sempre tramite banner, costituiscano, ad oggi, soluzioni ottimali, come già esplicitato con provvedimento del 2014. Tuttavia, è necessario, anche in quest’ambito, valutare l’opportunità di chiarimenti, aggiornamenti, o migliorie alla luce del mutato assetto normativo. E a tal proposito viene, innanzitutto, ribadito come per impostazione predefinita, al momento del primo accesso ad un sito web da parte di qualsiasi utente, nessun cookie, eccezion fatta per quelli tecnici, vengano posizionati nel relativo dispositivo.
Qualora l’utente dovesse poi scegliere di mantenere l’impostazione di default - rifiutando così il consenso al posizionamento dei cookie, o all’impiego di altri strumenti analoghi - quell’utente dovrebbe solo limitarsi a chiudere il citato banner selezionando l’apposito comando, contraddistinto, di norma, da una X posizionata, secondo prassi, in alto a destra all’interno del banner stesso, senza dover accedere ad altre aree o pagine a ciò dedicate. Ma non basta; il Garante nel suo meritevole sforzo esemplificativo, si spinge oltre, descrivendo nel dettaglio il banner, che oltre alla citata X dovrebbe, contenere:
- l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla citata X, comporterà la continuazione della navigazione in assenza di cookie, o altri strumenti di tracciamento diversi da quelli tecnici;
- un’informativa minima relativa al fatto che il sito utilizza – se così è ovviamente – cookie, o altri strumenti, tecnici e potrà utilizzare - solo previa acquisizione del consenso da prestarsi con modalità da indicare all’utente - anche cookie di profilazione, o strumenti analoghi, per inviare messaggi pubblicitari, modulare la fornitura del servizio personalizzato (al di là di quanto necessario alla sua erogazione), o per effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito web;
- il link alla privacy policy, ossia un’informativa estesa posizionata in un secondo livello accessibile con un solo click, anche tramite un link posizionato nel footer di ogni pagina del dominio visitato - dove verranno fornite in modo chiaro e completo le indicazioni di cui agli artt. 12 e 13 del GDPR, anche con riguardo ai predetti cookie, o altri strumenti analoghi;
- un comando con il quale esprimere, se ritenuto opportuno, il consenso accettando il posizionamento di tutti i cookie, o l’impiego di eventuali altri strumenti di tracciamento;
- il link a una ulteriore area dedicata dove selezionare, in modo analitico, solo le funzionalità, i soggetti “terze parti” e i cookie, anche raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
Le informazioni da rendere in conformità al GDPR
Da ultimo, il Garante illustra alcuni miglioramenti che i titolari potranno adottare per rendere informative conformi ai requisiti di trasparenza (e altro ancora) come prescritto negli articoli 12 e 13 del GDPR, compresa l’eventuale indicazione di altri soggetti destinatari dei dati personali, ovvero sui i tempi di conservazione delle informazioni acquisite.
E ancora sul punto, le Linee guida si soffermano sulla necessità di fornire informazioni su come gli interessati potranno esercitare ogni loro diritto garantito dal GDPR, inclusi quelli relativi alle istanze di accesso, o ai reclami ad un’Autorità di controllo.
In aggiunta a quanto sopra, e nel confermare la logica di massima semplificazione possibile, il Garante consiglia, infine, di adottare, informative non solo multistrato (multilayer, e cioè su più livelli), ma anche tramite più canali e modalità (c.d. multichannel), in modo da sfruttare tutte le potenzialità del virtuale volto a creare più opportunità di contatto tra il titolare e gli interessati; si pensi, ad esempio, al diffuso ricorso a strumenti video, oppure ai c.d. pop-up informativi, alle interazioni vocali, come agli assistenti virtuali, oltre all’impiego del telefono e al ricorso ai sistemi di chatbot.
Termine per adeguarsi (entro e non oltre il 9 gennaio 2022)
Posta la complessità del tema, e viste le difficoltà, non solo pratiche, per adeguarsi ai principi espressi nelle Linee guida, il Garante ha, giustamente, fissato un adeguato termine semestrale (decorrente dalla pubblicazione in Gazzetta Ufficiale del provvedimento), entro il quale conformarsi al nuovo regime; con l’avvertenza che i consensi già raccolti, purché conformi alle norme del GDPR, potranno ritenersi ugualmente validi, a condizione che, al momento della loro acquisizione, siano stati registrati e documentati, anche mediante evidenze informatiche.
Linee guida Cookie e altri strumenti di tracciamento (Provv. 231/2021, Gazz. Ufficiale n. 163 del 9 luglio 2021)