Il 9 luglio 2021 sono state pubblicate sulla Gazzetta Ufficiale le nuove Linee Guida in merito ai cookie e gli altri strumenti di tracciamento, ossia una ricognizione sul diritto applicabile alle operazioni di lettura e scrittura all’interno dei terminali degli utenti che visitano siti Web. “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.” [Considerando 30 del Regolamento UE 2016/679 Gdpr]. Gli operatori dovranno conformarsi entro 6 mesi dalla pubblicazione (9 gennaio 2022).
Il Gdpr ha ampliato e rafforzato il potere delle singole persone nel disporre e controllare il trattamento delle proprie informazioni personali tramite il consenso espresso con manifestazione di volontà libera, specifica, informata e inequivocabile. Allo stesso tempo il Regolamento ha imposto la concreta ed efficace attuazione dei principi di protezione dei dati a partire dalla progettazione (cd. privacy by design) e tramite impostazioni predefinite (cd. privacy by default). Queste tutele rafforzate puntano al solo obiettivo di rendere effettivo il controllo delle informazioni personali da parte delle persone e permettere l’autodeterminazione del singolo nel mondo digitale.
I cookie, oltre ad essere strumenti necessari per il buon funzionamento del sito stesso, possono veicolare la pubblicità comportamentale e misurarne l’efficacia, ovvero conformare i servizi per l’utente in base all’osservazione di comportamenti precedenti tenuti. Le stesse funzioni vengono svolte dai cosiddetti identificatori passivi, che però, a differenza dei cookie (chiamati identificatori attivi), non prevedono l’archiviazione di informazioni all’interno del dispositivo dell’utente, ma la mera osservazione delle configurazioni del dispositivo stesso. È evidente come tali identificatori non permettono all’utente una libera e diretta azione per la rimozione o il controllo degli stessi, facendone permanere la gestione nella sola ed unica disponibilità del titolare del sito. Per tali motivi rientrano nell’ambito di applicazione delle Linee Guida.
Gli identificatori vengono suddivisi in 2 categorie: quelli tecnici e quelli di profilazione (o non tecnici). La distinzione è fondamentale, infatti la normativa è differente a seconda della tipologia. “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” [art. 122 del Codice Privacy]. Perciò per i cookie tecnici sarà sufficiente un’informativa, mentre per quelli di profilazione o non tecnici è necessario il consenso espresso dell’utente. Va qui precisato che i cookie analytics possono essere ricompresi in quelli tecnici. Ma occorrono misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”.
Il Garante specifica le modalità per l’acquisizione del consenso online. Innanzitutto, esclude l’idoneità del semplice scrolling ad esprimere il consenso da parte di un utente non essendo un atto positivo di manifestazione di volontà inequivoco. L’azione dell’utente per essere manifestazione di volontà non equivoca deve generare un evento informatico documentabile e deve essere generato con consapevolezza da parte dell’utente. Lo stesso destino si ha per il cookie wall da ritenersi illecito inficiando la libertà dell’utente nell’esprimere il proprio consenso. Altro punto affrontato dal Garante è l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso. Ove sia stato precedentemente negato il consenso è da considerarsi lesivo della libertà indurre l’utente a prestarlo pur di proseguire nella navigazione a seguito di una continua riproposizione del banner ad ogni nuovo ingresso nel sito. La scelta deve essere debitamente registrata dal titolare e non più sollecitata, salvo: siano mutate una o più condizioni del trattamento; sia impossibile per il titolare del sito avere cortezza che vi sia già stata memorizzazione dell’identificatore in precedenza sul dispositivo; siano trascorsi almeno 6 mesi dalla presentazione del banner.
Il punto più significativo evidenziato dalle Linee Guida è il principio della privacy by default: per impostazione predefinita, al momento del primo accesso dell’utente al sito Web, nessun cookie o altro strumento che non sia tecnico può essere posizionato all’interno del dispositivo, nessuna tecnica di tracciamento può essere utilizzata. Questo è un obbligo espressamente codificato perciò sanzionabile se non rispettato. Ciononostante, occorre assicurare la libertà di scelta dell’utente alla prestazione del consenso ad essere profilato. In qualsiasi caso sarà necessaria un’attività positiva tale da generare un evento informatico documentabile e registrabile da parte del titolare del sito. Perciò, il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie. Se vengono utilizzati solo cookie tecnici è sufficiente l’informativa nella home page o nell’informativa generale senza necessità di banner.
Il Garante indica anche quali indicazioni ed opzioni il banner dovrà almeno contenere: “i) l’indicazione di una informativa minima relativa al fatto che il sito utilizza cookie tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento; ii) il link alla privacy policy, ovvero ad una informativa estesa posizionata in un second layer ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie tecnici; iii) l’indicazione che la prosecuzione della navigazione mediante un “atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano…” che produca un evento informatico registrabile comporta la prestazione del consenso alla profilazione; iv) un comando attraverso il quale sia possibile esprimere il proprio consenso alla profilazione accettando il posizionamento di tutti i cookie o l’impiego di altre tecniche di tracciamento; v) il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti – il cui elenco deve essere tenuto costantemente aggiornato – ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.”.
Va sottolineato che gli utenti potranno in ogni momento modificare le proprie scelte e ciò comporterà un superamento delle opzioni precedentemente operate. Dunque, saranno necessari 2 ulteriori comandi per il diritto al ripensamento ai cookie di profilazione e/o altre tecniche di tracciamento e il comando per la revoca del consenso. La pagina iniziale del sito dovrà rendere sempre disponibile il link alla privacy policy nonché all’area dedicata alle scelte di maggiore dettaglio. L’area dedicata deve consentire di accettare anche in blocco la profilazione/tracciamento per gli utenti che ci hanno ripensato ed anche la revoca del consenso in un’unica soluzione.
Anche l’informativa dovrà essere conforme ai rinnovati requisiti di trasparenza imposti dagli articoli 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite. È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’autorità di controllo. Sarà allora onere del titolare verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento. Allo stesso modo, sarà onere del titolare adottare ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.
La privacy, la libertà di disporre dei propri dati personali e l’autodeterminazione dei soggetti anche e soprattutto a livello digitale sono il cuore della normativa europea, normativa promotrice di democrazia ed emulata in numerosi Paesi nel mondo. La tutela dei cittadini passa anche dalla tutela dei loro dati. Essere in grado di gestire i propri dati, essere informati ed avere il diritto di prestare o meno il consenso alla profilazione sono tutele indispensabili per le libertà individuali.
© RIPRODUZIONE RISERVATA