Cookie e altri sistemi di tracciamento: il Garante conferma le Linee guida

Il Garante per la Protezione dei Dati Personali con un comunicato stampa del 10 luglio 2021, ha confermato il contenuto delle Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento del 26 novembre 2020 (rispettivamente, il “Garante”  e le “Linee Guida”).

Le Linee Guida nascono dall’esigenza di aggiornare, a valle dell’entrata in vigore del Regolamento UE 2016/679 (“GDPR”)^[1], le indicazioni in precedenza cristallizzate nel provvedimento del Garante dell’8 maggio 2014^[2], tenendo conto altresì dell’evoluzione tecnologica che ad oggi – e presumibilmente ancor più nel prossimo futuro - consente il tracciamento di dati personali appartenenti agli utenti con mezzi sempre più invasivi della loro privacy, nonché del mutato comportamento di questi ultimi i quali, accedendo in modo abituale (e molto spesso “leggero”) a molteplici servizi e funzionalità della rete, immettono quotidianamente un volume crescente di informazioni con l’effetto di consentire la creazione di profili sempre più specifici e dettagliati.

In altre parole, l’intervento del Garante Privacy si è reso necessario, in ultima analisi, per rafforzare la tutela degli interessati, permettendo (quanto più possibile) agli stessi un controllo effettivo delle proprie informazioni personali oggetto di trattamento, nell’ottica di favorire la capacità di “autodeterminazione del singolo” ^[3].

Cosa cambia?

1. Informativa

La novità principale, oltre alla necessità (in ossequio alle nuove disposizioni introdotte dal GDPR) di indicare in maniera trasparente eventuali soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni raccolte per mezzo dei sistemi di tracciamento, è certamente l’invito a rendere la medesima attraverso l’utilizzo di un approccio multilivello che prenda in considerazione modalità innovative e user-friendly quali pop up, video, interazioni vocali, etc.

Resta confermato poi l’obbligo della sola informativa per i cookie tecnici che potrà anche essere resa all’interno di una più generale.

2. Consenso

Per impostazione predefinita, il sistema deve consentire che al primo accesso dell’utente non venga registrato alcun cookie diverso da quelli meramente tecnici. All’utente, pertanto, dovrà essere garantita la possibilità di rifiutare - attraverso un apposito comando come una “X” ben visibile - l’impiego di qualsivoglia tecnica di tracciamento.

Il consenso deve ritenersi validamente prestato solo se conseguenza di un intervento attivo e consapevole dell’interessato - che possa essere dal titolare sempre dimostrabile, nonché avere la caratteristica della granularità (non sarà più possibile, pertanto, utilizzare sistemi di richiesta o revoca del consenso “in blocco” a tutti i sistemi di tracciamento indifferentemente)^[4].

La raccolta dello stesso potrà continuare ad avvenire attraverso il ricorso ad un banner contenente almeno le seguenti indicazioni ed opzioni:

• “l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
• una informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve, utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web;
• il link alla privacy policy, ovvero ad una informativa estesa posizionata in un second layer – che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio cui l’utente accede - ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie o altri strumenti tecnici;
• un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
• il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti - il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti - ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire”^[5].

2.1 Scrolling e cookie wall? No grazie

Il Garante esplicita il divieto di ricorrere al c.d. “scrolling”, modalità attraverso la quale l’utente, spostando in basso il cursore, manifestava il proprio consenso implicito alla profilazione attraverso i cookie o altro sistema analogo. Resta tuttavia la possibilità di ricorrervi laddove lo scrolling sia inserito in un processo dinamico e su più livelli di informazione nei confronti degli interessati.

Anche il ricorso al “cookie wall” non può essere più considerato lecito, poiché l’utilizzo di un banner che blocca letteralmente all’utente la possibilità di navigare a meno che non presti il proprio consenso, non può certamente configurare un consenso libero ai sensi della normativa in ambito data protection.

2.2 È opportuno reiterare la richiesta del consenso?

La scelta dell’utente dovrà essere debitamente registrata salvo che non mutino significativamente le condizioni del trattamento, sia impossibile sapere se un cookie sia già memorizzato nel dispositivo, oppure siano trascorsi almeno sei mesi dalla prima raccolta. Al di fuori di queste ipotesi, pertanto, non occorre rinnovare, ad ogni accesso, la richiesta di consenso nei confronti dell’interessato.

2.3 Si possono utilizzare cookie analytics e di terze parti?

Il Garante Privacy sottolinea l’importanza di adottare, quanto più possibile, sistemi che riducano il potere identificativo dei cookie analytics, soprattutto se di terze parti, limitandone, inoltre, l’utilizzo, per sole finalità di elaborazione di statistiche aggregate.

 ***

Il Garante auspica, infine, la possibilità che, in un prossimo futuro, venga realizzato un sistema di codifica semantica universale dei cookie e degli altri strumenti di tracciamento, che permetta in modo inequivoco agli utenti di distinguere tali strumenti.

Nell’attesa, l’Autorità esorta i titolari a rendere note almeno le principali modalità adottate, anche inserendone il dettaglio all’interno dell’informativa.

I titolari dei siti internet che offrono servizi in rete avranno sei mesi di tempo per conformarsi ai principi contenuti nelle Linee Guida.