Il tema dei Cookie, stringhe di testo che i siti web visitati archiviano all’interno del dispositivo terminale dell’utente, ha suscitato nuovamente l’attenzione del Garante per la Protezione dei Dati Personali che, a seguito del precedente provvedimento del 2014, è intervenuto sull’argomento elaborando le recentissime “linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”, per le quali si è da poco conclusa la consultazione pubblica.
Di seguito le novità più rilevanti del documento alla luce del Regolamento e delle problematiche connesse all’incessante sviluppo tecnologico.
Sul versante definizioni, rimane invariata quella di cookie tecnici, ossia quei cookie “che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web” come definiti dal Garante nelle FAQ dedicate al tema in oggetto.
È riservato, invece, un intero paragrafo ai cookie analytics, di prima o di terza parte, che possono essere equiparati ai tecnici quando:
- producono statistiche aggregate in relazione ad un singolo sito ovvero ad una sola applicazione mobile;
- oscurano, per quelli di terze parti, la quarta componente dell’indirizzo IP;
- le terze parti si astengono dal combinare i cookie analytics con altre elaborazioni o dal trasmetterli a terzi.
Per i cookie tecnici ed analitycs vige l’obbligo della sola informazione all’utenza, collocata nella home page ovvero nell’informativa generale.
La novità più rilevante riguarda invece gli altri strumenti di tracciamento, del tutto sconosciuti alla precedente disciplina, suddivisi in identificativi attivi e passivi, che consentono di effettuare trattamenti analoghi a quelli dei cookie di profilazione.
Ad esempio, il fingerprinting è uno strumento passivo che identifica il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso, adottata dall’interessato.
Tali strumenti meritano particolare attenzione poiché a differenza dei cookie di profilazione, dove l’interessato ha a disposizione diverse opzioni per rifiutare attivamente il tracciamento, per il fingerprinting è invece il Titolare a dover intervenire su istanza dell’interessato.
In merito alle modalità di acquisizione del consenso, pur rimanendo invariata e tutt’ora valida la tecnica del banner contenente le informazioni minime sul sito web, le linee guida forniscono ulteriori e fondamentali novità.
Il consenso rimane l’idonea base giuridica, ma attenzione a come lo si ottiene e soprattutto a come viene documentato. Infatti, a seguito dell’introduzione del principio di accountability da parte del GDPR, è il Titolare che deve provare la liceità del consenso rilasciato dall’interessato prendendo come parametro soprattutto le indicazioni contenute nelle linee guida 5/2020 sul consenso elaborate dall’European Data Protection Board (EDPB).
Sul punto il Garante italiano specifica che è vietato il cookie wall, ossia il meccanismo di “take it or leave it”, nel quale l’utente viene obbligato, per accedere al sito, ad esprimere il proprio consenso alla ricezione di cookie di profilazione. In tal caso, non prospettandosi una seconda scelta per l’interessato, il consenso non è regolarmente prestato a meno che il Titolare non offra la possibilità di accedere ad un contenuto speculare senza acconsentire alla ricezione dei cookie di profilazione.
Un’altra modalità di dazione del consenso è lo scrolling che pone alcuni problemi relativamente alla caratteristica dell’inequivocabilità. Infatti, il silenzio, l’inattività o la preselezione di caselle non configurano un consenso validamente espresso, come anche il semplice scroll down.
Lo scrolling potrebbe rappresentare una valida alternativa se facente parte di un più articolato processo che consenta all’interessato di segnalare al Titolare una scelta inequivoca a prestare il proprio consenso, attraverso specifici pattern.
L’Authority si sofferma anche sulla coniugazione dei principi di privacy by design e by default in relazione al consenso da rendere tramite banner.
Ad esempio, la reiterazione della richiesta di consenso quando questo è già stato reso, non trova alcuna giustificazione nelle norme unionali e nazionali.
L’ultima parte del documento è dedicata alle informazioni sulla privacy, minime ed estese, che dovranno rispettare i requisiti stabiliti dagli artt. 13 e 14 del Regolamento UE 2016/679.
In un’ottica volta alla semplificazione si privilegiano informazioni multilayer, dislocate su più livelli, e multichannel, utilizzando, ad esempio, canali video, pop-up informativi, assistenti virtuali, chatbot, etc.
Ora per i Titolari dei siti web non resta che attenersi alle nuove indicazioni dell’Autorità e modificare quei banner e quelle informative obsolete e non più GDPR compliant.
