Il 10 giugno 2021 il Garante per la protezione dei dati personali ha pubblicato delle Linee guida aventi ad oggetto l’utilizzo di cookie e di altri strumenti di tracciamento.

In particolare, vengono specificatele corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso on-line degli interessati.

Tale intervento si è reso necessario a causa di un’imprecisa prassi applicativa del precedente provvedimento in materia n. 229 dell’8 maggio 2014 e dell’introduzione del Regolamento (UE) 679/2016 del Parlamento Europeo.

COSA SI INTENDE PER “COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO”?

I cookie sono di regola stringhe di testo che i siti web (c.d. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (c.d. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (c.d. identificatori “attivi”).

Vi sono, poi, altri strumenti (c.d. identificatori “passivi”) che, utilizzando una tecnologia diversa, consentono di effettuare trattamenti analoghi a quelli svolti tramite i cookie.

CLASSIFICAZIONE DEI COOKIE

La classificazione dei cookie può essere così suddivisa:

  1. cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
  2. cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte, al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  3. cookie analytics prime e terze parti: essi costituiscono un tertium genus e sono equiparabili ai cookie tecnici solo se:
  • vengono utilizzati per la produzione di statistiche aggregate e vengono utilizzati in relazione ad un singolo sito o una sola applicazione mobile in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi;
  • non è possibile, mediante il loto utilizzo, la diretta individuazione dell’interessato (c.d. single opt);
  • le terze parti non dovranno dovranno comunque combinare i dati dei cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi.

REQUISITI DELL’INFORMATIVA E DELLA EVENTUALE RICHIESTA DEL CONSENSO

L’informativa deve essere resa in un linguaggio semplice, accessibile e fruibile a tutti gli utenti.

I cookie tecnici non richiedono l’acquisizione del consenso; essi vanno indicati nell’informativa, la quale potrà essere collocata nella home page del sito o nell’informativa generale.

I cookie e altri identificatori “non tecnici” richiedono, invece, l’esplicito consenso dell’utente.

Al fine di richiedere il consenso all’utilizzo dei cookie “non tecnici” è possibile utilizzare un banner, il quale deve contenere:

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (c.d. informativa breve);
  • il link alla privacy policy contenente l’informativa completa, inclusi gli altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti dell’interessato di cui al Reg. UE 679/2016;
  • l’avvertenza che la chiusura del banner (ad es. cliccando su una X in alto a destra) comporta il permanere delle impostazioni di default e dunque della continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Il banner permette l’acquisizione del consenso, quando prevede:

  • il comando per chiudere il banner (es. una X in alto a destra) senza prestare il consenso all’utilizzo di cookie o altre tecniche di profilazione, mantenendo le impostazioni di default;
  • un comando per accettare i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area in cui poter scegliere le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare consenso all’utilizzo di tutti i cookie o revocarlo.

ANALISI DI ALCUNE MODALITA’ DI RACCOLTA DEL CONSENSO

  1. scrolling: in condivisione con un autorevole orientamento europeo (cfr. parere dell’European Data Protection Board n. 5/2020, del 4 maggio 2020), il Garante ha ritenuto il semplice scroll verso il basso della pagina web sia inidoneo a raccogliere il consenso degli utenti, a meno che non venga inserito in un processo più articolato nel quale l’utente generi un evento registrabile sul server del sito , qualificabile come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso;
  2. cookie wall: il Garante ha valutato illegittima la modalità secondo la quale non è consentito agli utenti l’accesso a contenuti o servizi equivalenti del sito senza prima aver espresso il consenso all’utilizzo dei sistemi di tracciamento;
  3. reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso è illegittima, a meno che:
  • mutino le condizioni del trattamento;
  • sia impossibile per il sito sapere se un cookie è già stato memorizzato nel dispositivo (ad es. quando l’utente sceglie di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo di tenere traccia della volontà di mantenere le impostazioni di default e di proseguire la navigazione senza essere tracciati);
  • siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

VALIDITA’ DEI CONSENSI GIA’ RACCOLTI

Se conformi alle caratteristiche richieste dal Regolamento UE 679/2016, i consensi raccolti in precedenza alla pubblicazione delle succitate Linee Guida mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

TEMPO PER L’ADEGUAMENTO AI PRINCIPI ESPRESSI DALLE LINEE GUIDA

Le Linee Guida hanno indicato in 6 mesi dalla loro pubblicazione in Gazzetta Ufficiale il tempo necessario per adeguarsi alle indicazioni appena considerate.

Pertanto, poiché le Linee Guida sono state pubblicate il 9 luglio 2021, il termine per l’adeguamento è in scadenza per il prossimo 10 gennaio 2022.