Nuova disciplina dei cookie in vigore da oggi: guida completa su come adeguarsi

di Luisa Di Giacomo, Avv.

Sembrava di avere tutto il tempo del mondo, invece il 10 gennaio è arrivato, e con lui l’entrata in vigore delle nuove linee guida per la regolamentazione dei cookie e dei sistemi di tracciamento sui siti web.

Da oggi tutti i nostri siti dovranno essere in regola, o prepararsi a pagare multe salate: da 6.000 a 36.000 euro per mancata o insufficiente informativa e addirittura da 10.000 a 120.000 euro per l’installazione di cookie senza il consenso dell’utente.

Sì, perché, lo ricordiamo, il consenso è l’unica base giuridica valida per l’utilizzo dei cookie di profilazione e, in ossequio al principio di privacy by design, al momento dell’accesso al sito nessun cookie potrà essere installato.

L’impostazione di default, quindi, dovrà essere quella di non preinstallate i cookies, a meno di espresso consenso. In altre parole, se l’utente cliccherà sulla croce per chiudere il banner, vorrà dire che lascerà le impostazioni così come settate by design e by default, ovvero non verranno installati cookies (in quanto manca un consenso esplicito e informato).

Non è facile orientarsi e capire quale banner inserire e come redigere l’informativa, per questo motivo abbiamo deciso di raccogliere qui tutte le informazioni precedentemente pubblicate sulla nuova normativa cookies e soprattutto su come predisporre il banner e l’informativa.

Il “dossier cookie” è corredato di un video e di un esempio di banner  e di informativa breve a prova di Garante.

Indice:

  1. Che cosa sono i cookie
  2. Altri strumenti di tracciamento online
  3. La cookie law del 2014
  4. Le nuove regole
  5. Consenso e basi giuridiche
  6. Scrolling e cookie wall
  7. Il banner e la riproposizione
  8. Informativa privacy e cookie
  9. Esempio di banner
  10. Informativa breve: esempio

1. Che cosa sono i cookie

La definizione “classica” di cookie è nota: si tratta, secondo le parole stesse del Garante, di piccoli file o stringhe di testi che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

La parola cookie in inglese significa biscotto, e già solo questo dovrebbe farci capire la funzione essenziale dei cookie. Come nella nota favola, Pollicino ritrovava la strada di casa grazie alle briciole sapientemente lasciate cadere sul terreno durante il suo passaggio, così i cookie evidenziano le tracce di ciò che l’utente fa sul web quando lo naviga, ovvero a quale sito si è collegato e quali pagine ha visitato al suo interno. Poiché i cookie si parcheggiano sul dispositivo dal quale stiamo navigando, ogni volta che, con quello stesso dispositivo ci ricolleghiamo a quello stesso sito, anche dopo diversi mesi, a meno che i cookie non vengano nel frattempo cancellati, è possibile tracciare l’attività dell’utente sul web anche a distanza di tempo.

Trattandosi, dunque, delle tracce del nostro passaggio e delle nostre attività nel mondo virtuale della rete, capiamo perché il Garante si interessi a monitorarne utilizzo e disciplina.

Non si tratta di file pericolosi, che infettano il nostro device o che possono farci controllare dai “poteri forti” per scopi oscuri e malevoli. Al contrario, senza alcuni cookie, i siti web non potrebbero funzionare e noi non avremmo lo strumento potentissimo di internet al nostro servizio. Ma poiché, in alcuni casi, possono tracciare il nostro comportamento online, costituiscono una potenziale violazione della nostra riservatezza ed è per questo che vanno conosciuti e gestiti.

I cookie possono essere temporanei (i cosiddetti cookie di sessione) ed in questo caso di “autodistruggono”, come nei film di spionaggio, al termine della sessione di navigazione. Si tratta di strumenti tecnici, che contengono informazioni, ad esempio, relative al carrello dell’e-commerce dei prodotti che stiamo acquistando, o al biglietto del concerto al quale vogliamo assistere. Più in generale, si tratta dei cookie che fanno funzionare le aree riservate della nostra navigazione, senza i quali non sarebbe possibile tenere in memoria i dati fino al termine dell’operazione che si sta effettuando online, e dunque della sessione.

Esistono poi altri tipi di cookie, tramite i quali il sito che stiamo navigando studia le abitudini e i dati dell’utente, e su questi c’è da fare qualche ulteriore precisazione.

Sono cookie analitici quelli che forniscono al gestore della pagina web informazioni statistiche aggregate, ad esempio il numero totale di visitatori per il suo sito, la permanenza su ciascuna sotto pagina, le fasce orarie di collegamento, le fasce orarie in cui vengono fatti maggiori acquisti. Ogni browser ha i propri cookie analitici e ognuno contiene le istruzioni per disattivarli o cancellarli.

Infine, e su questo si è concentrata e si concentra tuttora l’attenzione del Garante, esistono i cookie di profilazione, i quali, come dice il nome stesso, servono per creare dei profili accurati dell’utente, tracciando in maniera dettagliata la sua attività e le sue preferenze, per andare poi a rivolgergli attività commerciali mirate e specifiche.

Grazie a questo tipo di “biscotti”, il gestore del sito ha la possibilità di conoscere l’utente, di tracciarne preferenze e abitudini, di monitorarne l’attività di ricerca, in modo da canalizzare sempre meglio gli annunci pubblicitari e, conseguentemente, aumentare il profitto.

Infine, i cookie di terze parti sono quelli che consentono ad aziende terze, estranee al gestore/proprietario del sito internet navigato, di ricostruire le attività degli utenti, per creare un profilo ancora più dettagliato per la propria pubblicità.

2. Altri strumenti di tracciamento online

Quando si pensa al tracciamento online, il nostro pensiero corre immediatamente ai cookie, ma esistono altri strumenti di tracciamento, meno noti ai più, di cui però sia il provvedimento del 2014, sia le nuove linee guida, tengono conto.

In particolare ci si riferisce a strumenti di tracciamento cosiddetti “passivi”, tra cui il fingerprinting (letteralmente “impronte digitali”) che, sempre secondo la definizione data dal Garante, è quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Ad esempio, se la lingua impostata come principale sul telefono o per la ricerca in internet è l’italiano o l’inglese, oppure se i caratteri scelti sono quelli di dimensioni standard, oppure più grandi.

La tecnica del fingerprinting si basa quindi non su una osservazione e tracciamento attivi del comportamento dell’utente online, come i cookie, ma su una osservazione appunto passiva: sulla base delle configurazioni che hai impostato sul tuo device posso trarre informazioni su di te che mi possono essere utili per gli stessi scopi per cui utilizzo i cookie.

È essenziale che le norme dettate per la regolamentazione dei cookie riguardino anche gli altri strumenti di tracciamento, e non risulta affatto pleonastico che questo venga specificato e continuamente ribadito.

Risulta evidente, infatti, la sussistenza di una notevole differenza tra l’utilizzo di strumenti di tracciamento attivi, quali i cookie, e passivi, quali il fingerprinting. Mentre i primi possono essere disattivati, sia mediante il diniego del consenso, sia mediante la cancellazione fisica dei cookie all’interno del proprio dispositivo, per quanto riguarda gli identificatori passivi, non esistono strumenti a disposizione dell’interessato per cancellarli o perché essi non siano utilizzati. La lingua impostata sul dispositivo, ad esempio, è quella che è e non può essere cambiata.

Dunque, affinché questi non vengano utilizzati anche in assenza di consenso dell’interessato, è necessario fare affidamento sull’azione del Titolare del trattamento, il quale, in assenza di consenso, non dovrà e non potrà utilizzare i sistemi di tracciamento passivi.

Questa differenza, già presente nel provvedimento del 2014, diventa ancor più essenziale oggi, alla luce del principio di accountability del Titolare sancito dal GDPR:

Fino a venerdì 9 luglio, la legge che regolamentava l’utilizzo dei cookie e degli altri strumenti di tracciamento online era la cosiddetta Cookie Law, un provvedimento emanato nel 2014 dal Garante per la Protezione dei Dati Personali, aka il Garante della Privacy.

Il testo, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, costituiva l’esito del recepimento di numerose direttive comunitarie in materia di protezione dei dati personali e della normativa italiana allora in vigore, il cosiddetto Codice della Privacy, ovvero il d. lgs. 196/2003, il quale all’art. 122 prevedeva (e prevede tuttora) che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso, dopo essere stato informato con modalità semplificate”.

Ne deriva che, per poter utilizzare i cookie e gli altri strumenti di tracciamento online in maniera conforme al dettato normativo, fosse obbligatorio in primo luogo informare l’utente del web sulla presenza e sull’utilizzo di questi strumenti e sulle finalità che il gestore della pagina intendeva perseguire con gli stessi, e successivamente raccogliere il consenso, solo nei casi previsti dalla legge. Dunque, per prima cosa il titolare del sito web doveva sapere quali cookie fossero presenti sul proprio sito secondo la categorizzazione brevemente spiegata sopra, già di per sé questione non sempre evidente, e poi decidere quale finalità intendesse perseguire con gli stessi.

Una volta stabilita la presenza (o meno) di cookie di profilazione e di terze parti sulle proprie pagine web, ed in generale di strumenti di tracciamento non tecnicamente indispensabili al corretto funzionamento del sito, il Garante stabiliva che il titolare del sito dovesse chiedere il consenso esplicito dell’utente, tenendo traccia del consenso prestato ed essendo effettivamente in grado di bloccare i cookie in caso di diniego, prima che l’utente avesse la possibilità di esprimere la propria libera scelta.

Pur se le istruzioni erano relativamente semplici, si è assistito negli anni ad un vasto assortimento di banner e di policy frutto di ampio utilizzo del “copiaincolla”, piuttosto che di una consapevole applicazione della normativa.

Non solo per i banner, che si limitavano genericamente a informare della presenza di non meglio specificati cookie, o per le policy, che risultavano essere più o meno tutte uguali in modo quanto meno sospetto, ma soprattutto per la totale mancanza di back end e di gestione dei consensi prestati.

Una volta cliccato sul pulsante “acconsento” o “accetto”, l’utente non aveva modo di sapere dove quel consenso veniva archiviato (verosimilmente da nessuna parte), ma soprattutto non aveva alcuna possibilità di revocare un consenso già prestato in maniera troppo affrettata o anche solo dopo aver cambiato idea.

Con l’arrivo del GDPR nel 2018, la cookie law del 2014 ha cominciato a mostrare qualche discrepanza col dettato normativo del Regolamento, soprattutto per l’introduzione dei principi di data protection by design e by default e per il fil rouge che permea tutta la nuova normativa sulla protezione dei dati, ovvero il principio di accountability del Titolare.

Il 4 maggio 2020, l’EDPB (European Data Protection Board) ha emanato delle nuove linee guida in materia di consenso al trattamento dei dati personali, e le maggiori novità riguardavano proprio i biscottoni del web.

Nello specifico, è stato ribadito che, come da principio generale, il consenso deve essere libero, ovvero il suo mancato conferimento non deve pregiudicare in alcun modo l’interessato ed in questo caso non deve impedirgli di navigare correttamente la pagina web che sta consultando in quel momento.

Bandite, quindi, le pratiche poco trasparenti di impostare un banner gigante, il cosiddetto cookie wall, che impedisce la navigazione e si chiude solo dando il consenso a tutti i cookie (anche quelli di profilazione, per i quali, è bene ricordarlo, è obbligatorio e imprescindibile il consenso); vietato anche il consenso implicito, desunto dal semplice atto di scrollare il sito, come si vedrà nel dettaglio più avanti.

4. Le nuove regole

Recependo le raccomandazioni dell’EDPB e i principi che sorreggono il GDPR, il Garante della Privacy ha avviato l’iter per l’emanazione delle nuove regole, che dalla versione di consultazione del dicembre 2021, hanno portato all’emanazione della normativa definitiva il 9 luglio scorso, data di pubblicazione in Gazzetta Ufficiale.

Le nuove regole si applicano a tutti i siti web a partire da lunedì 10 gennaio 2022.

Le principali novità riguardano le basi giuridiche del trattamento dei dati raccolti con i cookie e con gli altri strumenti di tracciamento (in particolare il fingerprinting, di cui si è parlato nel paragrafo 2), la regolamentazione della “zona grigia” che finora aveva permesso di adottare pratiche ai limiti della liceità, la responsabilità del Titolare del trattamento, il banner, l’acquisizione del consenso e i cookie analitici.

Vediamo insieme punto per punto.

5. Consenso e basi giuridiche

Per quanto riguarda i cookie c.d. tecnici, l’unico obbligo del Titolare sarà quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito. Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso informato dell’utente interessato.

Il consenso dovrà sempre essere una azione di opt-in, e mai di opt-out (in ossequio al principio di data protection by default: l’utente potrà sempre cambiare idea successivamente ed esercitare l’opt out, come si vedrà più avanti) ed il silenzio o l’inattività dell’interessato non configura un assenso, così come le caselle pre-flaggate sono considerate illegittime.

In questo modo il Garante sancisce in via definitiva e non passibile di alcuna diversa interpretazione l’unica base giuridica valida per l’utilizzo dei cookie e degli altri strumenti di tracciamento. In nessun caso sarà possibile, pertanto, porre come base di liceità del trattamento altre basi giuridiche, ed in particolare non sarà (più) possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.

La novità non è di poco conto, e soprattutto non sarà di poco impatto per le aziende online che basano sul tracciamento della navigazione una larga parte del proprio business.

Il legittimo interesse tante volte veniva usato, in luogo del consenso, come base giuridica in maniera del tutto forzata, navigando una delle tante “zone grigie” di cui si è detto poco sopra lasciate dal provvedimento del 2014.

Oggi questa sorta di scappatoia è stata definitivamente bandita dal Garante.

6. Scrolling e cookie wall

Come deve essere acquisito il consenso?

Il Garante ritiene che l’impianto di acquisizione del consenso sancito nel 2014 (banner con informativa breve e informativa completa) sia ancora valido, tuttavia effettua alcune specificazioni, alla luce dei chiarimenti dell’EDPB di cui si è detto sopra, in particolare sulle gettonate pratiche dello scrolling e del cookie wall.

Partendo dal presupposto del Considerando 32 del GDPR, ossia che il consenso dovrebbe essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano, e facendo proprie le raccomandazioni espresse dall’EDPB con il parere 5/2020 del 4 maggio 2020, il Garante ha espressamente dichiarato illegittimo il consenso desunto dallo scrolling.

Ossia, il semplice fatto di scrollare una pagina, bypassando il banner per andare a leggere i contenuti del sito, non può essere considerato di per sé un consenso validamente espresso per l’installazione dei cookie di profilazione.

Il Garante non esclude che lo scrolling possa contribuire, unitamente ad altri elementi, a dimostrare l’acquisizione di un valido consenso, in ossequio al principio di accountability, secondo il quale è di fatto il Titolare a scegliere le misure tecniche ed organizzative idonee in grado di proteggere i dati personali e di essere in grado di dimostrarlo in sede di eventuale verifica. Tuttavia, invita il Titolare a ponderare con grande attenzione le scelte compiute in sede di privacy by design.

Analogo discorso vale per il c.d. cookie wall, intendendosi con tale espressione   un   meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. È evidente la violazione dell’art. 4 del GDPR, con particolare riferimento alla libertà del consenso, in quanto un consenso che viene prestato a pena di impossibilità di accedere al sito, non può essere considerato libero.

Valgono qui le medesime considerazioni effettuate poco sopra per lo scrolling, ovvero che al Titolare potrebbe, muovendosi nel perimetro di accountability, abbinare al cookie wall altra forma per validare il consenso acquisito, ma la scivolosità del terreno spinge a cercare soluzioni alternative più chiare e che si prestino meno a equivoci e, di conseguenza, a contestazioni.

Come abbiamo detto, essenziale per l’utilizzo dei cookie è che l’utente sia informato della loro presenza e delle finalità e caratteristiche degli stessi.

Solo i cookie tecnici possono essere utilizzati senza consenso (ma con informativa), mentre per quelli analitici e soprattutto di profilazione, anche di terze parti, è obbligatorio che all’informativa segua l’acquisizione del consenso.

Sarà quindi necessario che il sito presenti un banner, nella prima pagina del sito, di adeguate dimensioni (ma non tale da oscurare tutta la pagina, per cui, pur di toglierlo di mezzo, l’utente dia il consenso) che, per impostazione predefinita (privacy by default) non installi alcun cookie diverso da quelli necessari prima che l’utente abbia compiuto la propria scelta.

Deve essere previsto il pulsante di chiusura del banner (una X in alto a destra, generalmente) che se azionato chiude il banner mantenendo le impostazioni di default, quindi non installando alcun cookie di profilazione. Tale comando deve essere graficamente evidente e, per evitare di influenzare l’interessato, sia il comando di chiusura sia gli ulteriori comandi (consenso all’installazione di tutti i cookie o rinvio ad una pagina di espressione delle preferenze relative) dovrebbero avere uguali colori, uguali dimensioni e rilevanza grafica.

Il banner deve altresì contenere un’informativa breve, che specifichi che il sito potrebbe installare i cookie di profilazione o altri strumenti di tracciamento, ma che lo farà solo dopo il consenso, ed il link all’informativa completa, che deve essere presente anche nel footer di ogni pagina del sito, un comando che consenta l’accettazione di tutti i cookie ed un link dove è possibile esprimere le proprie preferenze e selezionare solo alcuni dei cookie cui l’utente intende acconsentire.

I tipi di cookie possono essere raggruppati in categorie omogenee, ovvero non è necessario elencare dettagliatamente tutti i cookie presenti, ma solo di quali tipi si tratta, ma le terze parti devono invece essere elencate specificamente e raggiungibili attraverso specifici link.

Un tema che è stato affrontato dal Garante è quello della riproposizione del banner, ovvero il caso in cui l’utente abbia negato il consenso ai cookie che si ritrova, ogni volta che torna sul medesimo sito, nuovamente il banner per effettuare la scelta: ho già detto di no, inutile chiedermelo di nuovo.

Dunque una volta compiuta la scelta, il banner non dovrebbe essere riproposto, per non “esasperare” l’utente ed indurlo a compiere una scelta condizionata e non libera solo per togliersi il fastidio. Il banner non può essere riproposto prima di sei mesi dalla prima scelta effettuata, a meno che vi siano mutamenti significativi delle condizioni di trattamento (ad esempio cambiano le tipologie si cookie utilizzati, o le terze parti).

Secondo il principio generale relativo al consenso espresso al GDPR, l’utente interessato ha sempre la possibilità di cambiare idea relativamente al consenso prestato o negato, e dovrebbe poterlo fare con la stessa facilità con cui è stata compiuta la prima scelta. Il Titolare sarà quindi obbligato ad inserire nel footer di ogni pagina del proprio sito un link che chiaramente spieghi la possibilità di rivedere le proprie scelte sull’utilizzo dei cookie, sia in un senso sia nell’altro.

Chiaramente, i consensi e le modifiche devono essere raccolti in apposito data base nel back end del sito e non, come spesso avviene, dispersi nell’etere, ed il sistema deve essere in grado di sovrascrivere le decisioni dell’interessato, in modo che il titolare sia sempre in grado di dimostrare le scelte fatte, in ossequio al (solito) principio di accountability. Sarà quindi necessario che non solo il Titolare del sito, ma anche la web agency del medesimo sia in regola con il GDPR ed in grado di operare secondo i principi di privacy by design e by default.

Infine, i consensi ottenuti (lecitamente e validamente) prima del 9 luglio, purché conformi al GDPR e documentabili, restano validi, ma deve essere anche per loro prevista la possibilità di effettuare l’opt-out.

8. Informativa privacy e cookie

Come accennato in precedenza, all’informativa breve contenuta nel banner dei cookie, deve fare da pendant un’informativa esaustiva e completa, che costituisce parte integrante e sostanziale della privacy policy del sito.

Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito ed anche accessibile dal banner stesso, o in prima pagina o nell’area che si apre quando all’utente interessato è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.

L’informativa deve avere le caratteristiche previste dagli artt. 13 e 14 del GDPR, essere chiara e concisa, resa con linguaggio semplice ed accessibile, in modo che sia di facile comprensione anche per i non addetti ai lavori.

Dovrà contenere i dati del Titolare e del DPO se presente, le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati.

Per quanto riguarda nello specifico i cookie o gli altri strumenti di tracciamento, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito.

Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.

9.Esempio di banner

 

10. Informativa breve: esempio

Questo sito utilizza cookie tecnici e analytics per i quali non è necessario acquisire il consenso dell’utente e potrà, esclusivamente previa acquisizione del suo consenso, utilizzare anche cookie di profilazione (anche di terze parti) per inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei suoi comportamenti.

Anche la chiusura, mediante l’apposito comando a X, del presente messaggio è da intendersi quale negazione del consenso all’utilizzo di cookie di profilazione da parte dell’utente.

Per maggiori dettagli e per conoscere le caratteristiche dei vari cookie utilizzati si invita a pendere visione dell’informativa resa dal titolare del trattamento, ai sensi dell’art. 13 del GDPR, presente alla sezione privacy policy, accedendo alla quale è possibile modificare il qualsiasi momento le preferenze precedentemente accordate.


Rimani aggiornato!

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it