Come ormai noto a tutti, i “cookies” sono dei piccoli file di testo che si rendono necessari affinché il server del sito web che li ha installati possa ottenere informazioni sulla specifica attività che l’utente compie su quelle pagine web (ad esempio, chi si è collegato sul sito e cosa ha fatto durante la navigazione). Dunque la principale funzione dei cookie è di “conoscere” e memorizzare le preferenze dell’utente ed è proprio per questo che la normativa sulla privacy è intervenuta dettando delle direttive a cui adeguarsi al fine di consentire ad ogni soggetto di conoscere quali cookies vengono utilizzati sul sito web e se desidera accettarli, eliminarli o bloccarli.
COOKIE LAW: le coordinate normative
In considerazione di ciò, il Garante per la Protezione dei Dati Personali, con un provvedimento n. 126 adottato il 03.06.2014, ha inteso dettare le regole da seguire per l’informativa sui cookie e per l’acquisizione del consenso al loro utilizzo. Tale testo tiene conto sia di quanto previsto in materia europea per la protezione dei dati personali ma anche delle istanze provenienti dalle società operanti nel campo della comunicazione elettronica ed, ovviamente, dalle associazione di consumatori. Pertanto il provvedimento citato ha espressamente previsto che ogni sito internet informi l’utente dell’utilizzo dei cookie e che vi sia l’obbligo di acquisire il consenso preventivo, libero ed informato degli utenti qualora l’utilizzo dei cookie sia legato ad utilizzi diversi da quelli strettamente tecnici (si pensi ai c.d. cookie di profilazione). Sul punto appare altresì d’uopo richiamare l’art. 122 del Codice della Privacy precisa che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.” Da tale quadro normativo ne discende che chiunque utilizzi cookie ha l’obbligo di informare l’utente sull’uso di questi e sul tipo di finalità che si intendono perseguire tramite gli stessi. Pertanto, per quanto attiene i cookie di profilazione e di terze parti che non risultano indispensabili per consentire la navigazione sul sito web, il titolare del sito deve necessariamente richiedere il consenso dell’utente e deve altresì prevedere un sistema che blocchi tali cookie prima che il visitatore abbia acconsentito alla loro trasmissione. Successivamente sono intervenute le “Linee guida in materia di trattamento di dati personali per profilazione on line” del 19 marzo 2015 (pubblicate sulla Gazzetta Ufficiale n. 103 del 6 maggio 2015) con cui il Garante, considerate anche le esigenze di tutela della competitività all´interno del mercato di riferimento, ha adottato nuove indicazioni con l´intento di armonizzare, semplificandole, le diverse modalità attraverso le quali è possibile garantire il rispetto dei principi applicabili in materia di protezione dei dati personali nell´espletamento delle attività che caratterizzano la fornitura di servizi on line anche in considerazione della normativa europea in materia e dei rapidissimi sviluppi delle diverse tecnologie applicabili. In particolare, con le linee guida del 2015 il Garante prevedeva oltre la necessità di acquisire il consenso preventivo degli utenti, sia autenticati che non autenticati, l’obbligo di fornire un’informativa (cookie policy) ai sensi dell’art. 13 D.Lgs. 196/2003, di rispettare il diritto di opposizione dell’utente e di adottare una policy di data retention conforme al principio di finalità di cui all´art. 11 del Codice della Privacy.
Le nuove linee guida del Garante della privacy
Nel quadro normativo così delineato, tuttavia, si innestano le nuove linee guida rilasciate dal Garante italiano che ha approvato il provvedimento 10 giugno 2021, n. 231 (testo in calce) recante “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021. Il documento è volto ad aggiornare le indicazioni in materia di “cookies” alla luce delle novità introdotte dal Regolamento europeo 679/2016 (il cosiddetto GDPR), delle prassi rilevate dall’Autorità nel corso della sua attività, delle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica. Il Garante riconosce che dalle sue nuove linee guida potrebbero derivare interventi tecnici anche piuttosto complessi per le organizzazioni dei titolari e, per questo motivo, individua un termine di sei mesi per adeguarsi che scade il prossimo 10 gennaio 2022.
Ma quali sono le principali novità previste?
Innanzitutto è stato precisato che l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Inoltre, per i cookies tecnici è stato previso obbligatoriamente la sola informativa, anche inserita nella cookie policy generale in quanto sono necessari per la navigazione mentre per i cookies analytics (usati per valutare l’efficacia di un servizio) è previsto che siano utilizzati solo a scopi statistici. Per quanto riguarda i cookies di profilazione occorre invece richiedere un consenso specifico attraverso un banner ben distinguibile sulla pagina web, dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati. Il Garante, inoltre, si è occupato di dare delucidazioni anche in merito a due fenomeni che riguardano i cookies: lo scrolling ed il c.d. cookie wall. Con riferimento allo “scrolling”, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. Il cookie wall (sistema che vincola gli utenti all’espressione del consenso) è stato ritenuto illegittimo, salvo talune ipotesi da verificare (si tratta solo dei casi in cui il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookies o di altri tracciatori). Infine, è stato chiarito che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato secondo il Garante non è obbligo di legge e risulta una misura ridondante e invasiva. La scelta dell’utente dovrà essere debitamente registrata e non più sollecitata. La riproposizione del banner per la scelta è lecita solo a determinate condizioni ossia qualora:
1) mutino significativamente le condizioni del trattamento;
2) sia impossibile sapere se un cookie sia già memorizzato nel dispositivo;
3) siano trascorsi almeno 6 mesi.
Dunque, salvo tali suddette ipotesi, alle visite al sito successive alla prima, l’utente non dovrà più visualizzare il banner iniziale, ma dovrà poter accedere alla privacy/cookie policy e ad un’area dover poter modificare le preferenze di tracciamento espresse in precedenza.
La normativa in materia è in continua evoluzione così come gli strumenti di tracciamento che intende regolare per cui risulta fondamentale aggiornare la compliance privacy e gli strumenti di raccolta del consenso online al fine di essere in regola ed evitare (salate) sanzioni da parte delle Autorità.