Cookies e le nuove linee guida del garante della privacy

di Adelaide Casciato

L’articolo definirà e classificherà i cookies, affronterà la disciplina normativa riguardo cookies e altri strumenti di tracciamento comprese le nuove linee guida introdotte dal Garante della Privacy.

Definizione e classificazione di cookies e strumenti di tracciamento

L’ambito di applicazione delle Linee guida riguarda il trattamento di dati personali mediante cookies e altri strumenti di tracciamento.

Occorre dunque definire innanzitutto cosa siano i cookies e gli altri strumenti di tracciamento.

I cookies sono file di testo che vengono archiviati sul dispositivo dell’utente e che possono essere da questo cancellati.

Gli altri strumenti di tracciamento invece possono essere caratterizzati anche da natura ‘’passiva’’, questo significa che si raccolgono informazioni sul comportamento che il soggetto tiene su internet, ma queste informazioni restano solo al titolare del trattamento dei dati. Bisogna sottolineare che lo scopo perseguito dai cookies e da questi altri strumenti è sostanzialmente il medesimo, ovvero tener traccia delle attività online del soggetto, per motivi tecnici o anche di profilazione. La differenza fondamentale sta nell’impiego dei mezzi passivi rispetto a quelli attivi, infatti se si utilizzano mezzi attivi l’utente può eliminare i cookies dal suo dispositivo manualmente, ciò che non può fare se il mezzo utilizzato è passivo, da questo fattore deriva uno scarso controllo sul trattamento dei propri dati.

Parlando della classificazione il Garante precisa subito che non esiste una classificazione universalmente accettata di cookies e altri strumenti di tracciamento, perciò è affidata ai titolari del trattamento anche se l’inclusione in una categoria piuttosto che in un’altra ha effetti sulla disciplina posta a tutela degli utenti. Per queste ragioni, il Garante si augura che una codifica generale si abbia in tempi brevi e chiede ai titolari del trattamento di indicare i criteri con in quali hanno operato la loro classificazione nell’informativa. Detto ciò, il Garante comunque opera una sua classificazione stilata secondo la finalità degli strumenti di tracciamento: si hanno i cookies tecnici che il fornitore del sito web usa per erogare il servizio, i cookies di profilazione che raggruppano gli individui secondo i loro schemi di comportamento in cluster omogenei e servono per personalizzare il servizio fornito e i cookies analytics utilizzati per valutare l’efficacia di un servizio (es. verificare il numero di visitatori di un sito web).

Volume consigliato

I Ricorsi al garante della privacy

I Ricorsi al garante della privacy

IASELLI MICHELE, 2019, Maggioli Editore

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo...



La normativa previgente

Prima di trattare la nuova disciplina dei cookies e degli altri strumenti di tracciamento bisogna far presente che già altre fonti normative si sono occupate della materia.

Si sono occupati della materia la Direttiva e-Privacy del 2002, recepita in Italia dagli articoli 122 e seguenti del Codice Privacy  e l’articolo 95 del GDPR fa luce sulla relazione di questa normativa con lo stesso, dalla lettura del citato articolo ne deriva che Direttiva e-Privacy si pone come lex specialis rispetto al GDPR,  infatti ne integra e precisa le disposizioni che nel complesso si pongono come quadro regolatorio di natura generale.

Il GDPR in particolare integra i requisiti del consenso, infatti la manifestazione di volontà del soggetto deve essere non solamente libera, specifica e informata, ma anche inequivocabile. Poi, dal momento che c’è il bisogno di essere in linea con i principi di privacy by design e by default gli operatori devono tenere fortemente in considerazione la tutela dei dati personali rendendola impostazione predefinita nella progettazione del trattamento. Il Garante fa inoltre una riflessione importante e concreta: le identità virtuali degli individui si stanno moltiplicando, questi utilizzano più dispositivi quasi quotidianamente e questo li rende soggetti ad attività di profilazione specifiche e minuziose causate dalla combinazione di dati raccolti su questi dispositivi. Questa situazione evidentemente può porre la privacy del soggetto a rischio e necessita di essere disciplinata in maniera più precisa e dettagliata.

Si legga anche:

Consenso, scrolling, cookies wall, privacy by default

La disciplina in merito alla base giuridica che permette il trattamento dei dati operato tramite i cookies e gli altri strumenti di tracciamento può derivarsi dall’analisi congiunta della Direttiva e-Privacy e del GDPR.

La lex specialis obbliga i titolari a domandare ai soggetti il consenso per il trattamento per finalità diverse da quelle tecniche. A seguito di verifiche da parte dell’Autorità Garante si era scoperta una prassi errata molto diffusa sul web che lo stesso Garante ha scardinato con un’importante precisazione: non è lecito invocare il legittimo interesse del titolare come condizione di liceità del trattamento. Per i cookies di profilazione e per tutti gli strumenti di tracciamento non tecnici, sarà necessario chiedere il consenso dell’interessato, mentre per i cookies tecnici il titolare dovrà solo fornire l’informativa sul trattamento dei dati personali, avendo anche la possibilità di comprenderla semplicemente in quella generale del sito web.

Una questione particolarmente rilevante riguarda l’acquisizione del consenso mediante l’attività di scorrimento della pagina web (scrolling) regolamentata dal Garante nelle Linee guida, questa attività non è molto adatta ad esprimere un consenso valido alla luce dei principi del GDPR. Ovviamente ci sono delle circostanze particolarmente rare in cui lo scrolling è inserito in un contesto più definito in cui si concede all’interessato la possibilità di esprimere un consenso  libero, consapevole, inequivocabile. Questo fattore di inequivocabilità deve essere percepito come tale dall’utente che deve essere consapevole delle conseguenze delle sue operazioni e non solo dal titolare del trattamento.

Altro punto importante affrontato dalle Linee guida è quello relativo ai cookies wall. Il Garante sente la necessità di occuparsi della materia perché questo strumento è invadente nella vita dell’utente e lo forza, in qualche modo, ad accettare i cookies, dal momento che, per avere la possibilità di consultare il sito web al quale vuole accedere, deve necessariamente consentire al trattamento dei suoi dati. Si può constatare che la volontà del soggetto di prestare il consenso al trattamento dei suoi dati non è affatto libera, ne risulta una coercizione della stessa poiché non ha alternative se vuole consultare il sito web di suo interesse. Tuttavia il Garante non sancisce la totale invalidità del consenso fornito in tale situazione, infatti il titolare del trattamento potrà comunque fornir prova di aver provveduto a porre nella disponibilità dell’utente un servizio sostanzialmente equivalente al quale accedere senza, per forza, dover acconsentire al trattamento dei suoi dati.

L’articolo 25 del GDPR si occupa dei principi di privacy by design e privacy by default, viene imposto al titolare del trattamento dei dati di inserire all’interno di ogni attività di trattamento di default il rispetto dei requisiti del GDPR e degli elementi per la protezione dei dati personali. Le Linee guida servono al Garante per spiegare ai titolari come mettere in pratica queste indicazioni attraverso la disciplina del consenso, dei cookies e degli altri strumenti. La privacy by default quindi serve ad assicurare che, come impostazione di dafault, vengano trattati solamente i dati strettamente necessari al funzionamento del sito web e che dunque al primo accesso dell’utente vengano usati solo cookies o altri strumenti di tracciamento di natura tecnica.

Cookie banner

Per quanto riguarda invece i cookies di profilazione oppure gli strumenti di tracciamento non tecnici questi richiedono che il consenso venga fornito mediante uno specifico banner con relativa informativa. Questo banner viene minuziosamente regolato dal Garante che ne delinea un modello, si fornisce un’estrema sintesi delle indicazioni del Garante in merito:

  • Le dimensioni del banner devono esser tali da assicurare una “percettibile discontinuità nella fruizione dei contenuti’’ in modo che l’utente si accorga dello stesso e le dimensioni vanno adattate ad ogni tipo di dispositivo mediante il quale l’utente può accedere al sito web;
  • L’utente deve avere l’opportunità sia di accettare tali cookies e strumenti di tracciamento che di continuare la navigazione pur avendoli rifiutati e le due opzioni devono graficamente avere la stessa rilevanza ;
  • i contenuti minimi che un banner deve avere (es. cliccando sulla ‘’X’’ si accettano le impostazioni di default cioè solo gli strumenti tecnici, informativa minima ecc.)

La richiesta del consenso, a seguito del rifiuto da parte dell’utente espresso in precedenza,  portata dalla reiterazione del banner ad ogni accesso al sito web non ha lasciato indifferente l’Autorità che si è espressa al riguardo: la scelta fatta dall’utente va registrata e non più richiesta a meno che le condizioni del trattamento non cambino in maniera significativa; sia impossibile dedurre se il cookie sia già stato memorizzato nel dispositivo usato dall’utente; siano trascorsi 6 mesi dalla presentazione del banner.

Inoltre, il Garante aggiunge che nel footer delle pagine del sito web ci dovrà essere un link che permetta di raggiungere uno spazio in cui il soggetto, a suo piacimento e quando vorrà, potrà cambiare le scelte che ha fatto in precedenza in merito ai cookies e agli altri strumenti di tracciamento.

Cookie analytics

Particolarmente cara al Garante è la questione legata ai cookies analytics, in cui dedica un paragrafo intero alla stessa.

Prima di tutto definisce la materia quindi, come specificato sopra, chiarisce che i cookies analytics  servono ‘’per valutare l’efficacia di un servizio, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche’’.

Il Garante, nel provvedimento n. 126 del 3 giugno 2014, ha affermato che questi cookies potevano essere compresi nella categoria dei cookies tecnici e quindi usati senza aver acquisito preventivamente il consenso dell’utente, al verificarsi di certe condizioni. Tuttavia la  disposizione è stata rivista alla luce dell’articolo 25, paragrafo 1, del Regolamento in materia di privacy by design, in modo da “attuare in modo efficace i principi di protezione dei dati”. Infatti il Garante pensa di raggiungere tale scopo applicando misure di minimizzazione del dato che portino i cookies analytics ad avere un potere identificativo sensibilmente minore quando vengano usati da terze parti.  Per far sì che si possano equiparare i cookies analytics a quelli tecnici dunque questi non devono consentire la diretta individuazione dell’utente e di conseguenza è vietato l’impiego di cookie analytics che risultino essere identificatori diretti ed univoci.

In ultimo, ci si può ricollegare al discorso della molteplicità delle identità virtuali del soggetto che ormai è abituato a collegarsi in rete attraverso più dispositivi, cosa di cui il Garante è a conoscenza e disciplina. Infatti il cookie analytics dovrà essere riferibile a più dispositivi e mai a uno solo, ci dovrà essere una ragionevole incertezza sull’identità informatica dell’utente per proteggere la sua privacy. Tecnicamente l’effetto è raggiunto occultando parte dell’indirizzo IP all’interno del cookie.

Il Garante precisa che i cookies analytics debbano essere impiegati solo per la produzione di statistiche aggregate e che vengano usati in merito ad un solo sito web o una sola applicazione mobile, in questo modo si blocca il tracciamento dell’utente su applicazioni o siti differenti. Si precisa inoltre che neppure i terzi, che forniscono il servizio di web measurement, potranno combinare i dati, anche così minimizzati, con altre elaborazioni (es. statistiche di visite ad altri siti) né trasmetterli ad altri terzi altrimenti ciò porterebbe comunque al rischio di identificazione dell’interessato.

In conclusione

L’articolo definisce i cookies tecnici, di profilazione e analytics, integra le normative previgenti relative alla Direttiva e-Privacy e GDPR con le nuove Linee guida del Garante della Privacy in particolare affronta il tema del consenso, scrolling, cookie wall, privacy by default e in ultimo fa un approfondimento relativo al cookie banner e ai cookies analytics su cui lo stesso Garante si sofferma nelle Linee guida. Dall’articolo si deduce che la disciplina normativa corrente adotta cautele minuziose, affinché l’utente risulti protetto quanto più possibile nel trattamento dei suoi dati che avviene tramite gli strumenti di cui l’articolo tratta.

Volume consigliato

Giusto processo e intelligenza artificiale

Giusto processo e intelligenza artificiale

Claudio Castelli - Daniela Piana, 2019, Maggioli Editore

Il volume coniuga l’analisi normativa e l’analisi funzionale della trasformazione indotta dalla tecnologia, verificando la possibilità che la giustizia sia amministrata con l’ausilio di dispositivi computazionali automatizzati, quali gli algoritmi. Si parla dunque di ricerca e sviluppo...



 

 

 

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

adelaide-casciato

Adelaide Casciato

Studentessa del corso di Giurisprudenza presso l’Università Luiss Guido Carli, in particolare del profilo di Law and Innovation. Il profilo si occupa dell’interazione fra legge e nuove tecnologie. Sta scrivendo la tesi in lingua inglese nella disciplina di Law Innovation and Regulation. Ha svolto un Erasmus di sei mesi presso l’Università di Tilburg in Olanda. Partecipa al progetto ‘’Impresa IN Accademia’’ organizzato da Confindustria Chieti- Pescara in collaborazione con l’Università Luiss Guido Carli. Sta svolgendo un project work presso l’impresa Bond Factory in merito al quale si occupa di proprietà intellettuale. Attualmente è tirocinante presso il gruppo Maggioli dove svolge attività redazionale. Ottima conoscenza della lingua inglese e buona conoscenza della lingua spagnola.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it