Il Garante per la protezione dei dati personali ha pubblicato (Gazzetta Ufficiale n. 163 del 9 luglio 2021) le Linee Guida sui cookies e altri strumenti di tracciamento adottati sui siti internet (10 giugno 2021), con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. ll documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014 alla luce delle novità introdotte dal GDPR 679/2016 (in considerazione dell’evoluzione comportamentale degli stessi utenti della rete sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network), dalle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica promossa alla fine dello scorso anno.
I Cookie
Già il GDPR nel considerando 30 descrive che le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza, e che tali identificativi possono lasciare tracce nei dispositivi di navigazione ( computers, tablet, smartphone, etc. ) utili per creare profili delle persone fisiche e identificarle.
I browser per la navigazione in internet possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web. I cookie possono memorizzare dati personali, come un indirizzo IP, un nome utente, ID o un indirizzo e-mail, o altre informazioni come le impostazioni della lingua del sito web visitato o informazioni sul proprio dispositivo, oltre a veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.
Altri strumenti di tracciamento
Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti che consentono di effettuare trattamenti analoghi a quelli sopra indicati, tra cui il Fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente, tecnica utilizzata per finalità di profilazione di cui l’interessato non ha neppure consapevolezza, con la differenza che in questo caso, trattandosi di un identificatore “passivo”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare.
Classificazione di cookie ed altri strumenti di tracciamento
Queste tecnologie possono avere caratteristiche diverse sotto il profilo temporale (di sessione o permanenti), ovvero dal punto di vista soggettivo (proprie o di terze parti). Solitamente si individuano due macro-categorie:
- identificatori tecnici, necessari per il funzionamento del sito web o per erogare il servizio esplicitamente richiesto dal contraente o dall’utente (cfr. art. 122, comma 1 del Codice);
- identificatori di profilazione, utilizzati per individuare schemi comportamentali utili a modulare la fornitura del servizio in modo sempre più personalizzato nonché inviare messaggi pubblicitari graditi all’utente;
Obbligo Normativo
Secondo quanto previsto dalle linee guida, per l’utilizzo di cookie e degli altri identificatori di tipo tecnico il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa generale (CD Privacy Policy). Per finalità diverse da quelle meramente tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso informato dell’interessato, anche in base a quanto già previsto dall’art. 122 del D. Lgs 196/03. Non potranno essere utilizzate tecniche come lo Scroll Down (scorrimento della pagina web) in quanto non ritenute idonee a raccogliere i consensi dell’interessato, né le tecniche del Cookie Wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad accettare o negare in blocco tutti gli identificatori, pena l’impossibilità di accedere al sito.
Inoltre, il Garante si sofferma sulla questione della reiterazione delle richieste di consenso. Anche la continua comparsa del banner contenente l’informativa breve può infatti essere invasiva per gli utenti e incidere sulla loro libertà nella prestazione del consenso, portandoli ad accettare trattamenti cui altrimenti non avrebbero acconsentito pur di fare sparire il banner. L’Autorità individua solo alcuni casi in cui sia possibile reiterare la richiesta, ossia quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento, quando sia impossibile per il titolare tenere traccia del fatto che un cookie sia già stato installato sul terminale dell’utente (ad esempio quando questi abbia cancellato i cookie memorizzati), oppure quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner. Da ciò necessita che il meccanismo per i consensi da adottare deve essere in grado di memorizzare la scelta effettuata dall’utente pagina per pagina e riproporla solo se mutano le tecnologie adottate.
Per impostazione predefinita (privacy by Default), al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento. Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente. Invece, in presenza di strumenti di tracciamento dovrà essere presente un banner tecnologico in grado di rilevare e memorizzare le scelte dell’utente, anche nel rispetto della eventuale granularità del consenso, e una informativa descrittiva delle tecnologie di tracciamento utilizzata (cd Cookie Policy) che descriva tali tecnologie, da chi sono fornite, la finalità, le tempistiche di conservazione, l’eventuale invio di dati e/o informazioni intra – extra EU, la base giuridica di tali trattamenti, etc.
I titolari del trattamento che non avessero ancora adempiuto a quanto previsto dalle linee guida avranno tempo sino al 9 gennaio 2022 per conformarsi ai principi in esse contenuti.
Massimo Bruno