Cookie e altri strumenti di tracciamento: le nuove linee guida del Garante Privacy

Cookie e altri strumenti di tracciamento: le nuove linee guida del Garante Privacy

Con Provvedimento n. 231 del 10.6.2021 [doc. web n. 9677876], l’Autorità Garante per la protezione dei dati personali (Garante Privacy) ha pubblicato le “Linee guida cookie e altri strumenti di tracciamento”[1], corredate dalla relativa scheda di sintesi (Allegato n. 1), al fine di definire – o meglio di aggiornare, alla luce del Regolamento UE n. 2016/679 (GDPR), della crescente diffusione di nuove tecnologie caratterizzate da elevati livelli di (potenziale) pervasività, e dell’evoluzione comportamentale degli utenti della rete, sempre più protesi alla moltiplicazione (a tratti, inconsapevole) delle proprie identità digitali – con specifico riferimento all’utilizzo dei cookies (e di altri strumento di tracciamento)[2] il contenuto della relativa informativa ex art. 13 del GDPR, la corretta modalità di fornitura della stessa nonché, infine, la procedura per un’acquisizione lecita del consenso (online) del soggetto interessato ex art. 4 n. 1) del GDPR, ove necessario.

Cookies e altri strumenti di tracciamento: definizione e classificazione

I “cookie[3] sono, di regola, delle stringe di testo che un sito internet (“publisher” o di “prima parte”) visitato dall’utente ovvero un sito web differente (di “terza parte”) posiziona ed archivia, direttamente (nel caso del sito internet di prima parte) o indirettamente (tramite quest’ultimo, nell’ipotesi del sito internet di terza parte), all’interno di un dispositivo terminale[4] nella disponibilità dell’utente medesimo: in merito, è stato specificato il fatto che le informazioni, codificate nei cookie, possono includere sia dati personali (es. indirizzo IP; nome utente; indirizzo email; identificativo univoco) che dati non personali ex art. 3 n. 1) del Regolamento UE n. 1807/2018 (es. lingua; tipologia del dispositivo utilizzato).

A fianco (o oltre) di essi, possono sussistere (ed essere, dunque, utilizzati) gli “altri strumenti di tracciamento”, suddivisibili in “attivi” (i quali possiedono pressoché le medesime caratteristiche dei cookie) e in “passivi” (es. fingerprinting: tecnica che permette di identificare il dispositivo utilizzato dall’utente, tramite la raccolta di tutte (o alcune) le informazioni relative alla specifica configurazione del dispositivo stesso adottata dal soggetto interessato)[5].

Al di là delle descritte caratteristiche intrinseche, i cookie (e gli altri strumenti di tracciamento) possono registrare peculiarità differenti sotto il profilo temporale (e, dunque, essere considerati di “sessione” o “permanenti”, in ragione della loro durata), dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto di una “terza parte”) nonché, infine (ma in particolar modo), in base alla finalità di trattamento perseguita, così da poter essere suddivisi in due differenti (macro) categorie:

– “tecnici”, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122 comma 1) del Codice Privacy).

In proposito, l’Authority ha evidenziato, in linea con il precedente Provvedimento in materia del 2014, che i “cookie analytics”[6] possono ben essere ricompresi all’interno dell’alveo dei cookie (o altri strumenti di tracciamento) di natura “tecnica” (e, dunque, possono essere utilizzati in assenza della previa acquisizione del consenso da parte del soggetto interessato), al verificarsi di determinate condizioni, volte a precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione del soggetto interessato (single out)[7].

– “di profilazione”/”di marketing” (cd. non tecnici), utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al Titolare del trattamento, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati (ossia, in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete).

Cookies e altri strumenti di tracciamento: modalità di acquisizione del consenso (online), ove necessario

Se, da un lato, il Garante Privacy ha ribadito che l’utilizzo di un cookie (o altro strumento di tracciamento) di natura “tecnica” impone al Titolare del trattamento il solo obbligo di fornire una specifica informativa[8] (eventualmente anche inserita all’interno di quella cd. generale), dall’altro lato l’Authority ha, invece, precisato che l’utilizzo di cookie (o altro strumento di tracciamento) per una finalità di trattamento differente da quella “tecnica” necessita della preventiva acquisizione del consenso (avente le caratteristiche di cui agli artt. 4 n. 11) e 7 del GDPR) del soggetto interessato[9].

Con riguardo a tale ultimo aspetto, il Garante Privacy ha osservato quanto segue:

Al momento del primo accesso dell’utente a un sito internet, nessun cookie (o altro strumento) diverso da quelli “tecnici” può essere posizionato all’interno del dispositivo di quest’ultimo, né tantomeno può essere utilizzata alcun altra tecnica (attiva o passiva) di tracciamento.

Il meccanismo di acquisizione del consenso tramite presentazione di un banner risulta valido e lecito.

Nello specifico, il banner deve: (i) essere di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti di un sito web che l’utente intende visitare; (ii) evitare che l’utente possa far ricorso a comandi e, dunque, compiere scelte indesiderate o comunque inconsapevoli[10]; (iii) essere parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di un’azione positiva, nella quale deve sostanziarsi la manifestazione del consenso dell’interessato.

Nel caso in cui l’utente scelga di mantenere le impostazioni di default e, dunque, di non prestare il proprio consenso al posizionamento dei cookie (o all’impiego di altre tecniche di tracciamento), quest’ultimo deve poter limitarsi a chiudere il banner mediante la selezione dell’apposito comando usualmente utilizzato a tale scopo, contraddistinto da una “X” posizionata, di regola, in alto a destra: tale scelta deve, peraltro, generare un evento (informatico) riconoscibile e registrabile da parte del Titolare del trattamento.

Il banner deve contenere, oltre al citato pulsante “X”, almeno le seguenti indicazioni ed opzioni: (i) l’avvertenza che la chiusura del banner, mediante la selezione del comando contraddistinto dalla “X”, comporta il permanere delle impostazioni di default e, dunque, la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici; (ii) una informativa minima relativa al fatto che il sito internet utilizza cookie (o altri strumenti) tecnici e, può, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione (o altri strumenti di tracciamento) al fine di inviare messaggi pubblicitari ovvero modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione (ossia, in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e delle navigazione in rete e/o allo scopo di effettuare un’analisi e un monitoraggio dei comportamenti dei visitatori dei siti web); (iii) link a una informativa estesa (cookie policy), da posizionare in un secondo layer accessibile con un solo click, ove illustrare, in modo chiaro e completo, tutte le informazioni prescritte dagli artt. 12 e 13 del GDPR, con specifico riguardo ai cookie (o agli altri strumenti di tracciamento); (iv) comando, attraverso il quale poter esprimere il proprio consenso mediante l’accettazione di tutti i cookie (o altri strumenti di tracciamento); (v) link a una ulteriore area nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, le “terze parti” (il cui elenco deve, peraltro, essere tenuto costantemente aggiornato, anche grazie a specifici link) e i cookie, eventualmente raggruppati per categorie omogenee, che l’utente acconsente di utilizzare[11].

Al fine di evitare una ridondante (ed invasiva) riproposizione, da parte del gestore di un sito internet, del banner ad ogni nuovo accesso dell’utente laddove questi abbia già liberamente effettuato la propria scelta (e al fine così di migliorare la user experience di quest’ultimo), il banner può essere riproposto al verificarsi di almeno una delle seguenti condizioni: (i) mutamento significativo di una o più condizioni del trattamento (es. modifica delle “terze parti”); (ii) impossibilità, da parte del gestore di un sito internet, di aver contezza del fatto che un cookie sia stato già in precedenze memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito internet che l’ha generato; (iii) decorrenza di n. 6 mesi, dalla precedente presentazione del banner.

Il cd. scrolling e il “cookie wall”

Per quanto concerne la pratica dello “scrolling”, il Garante Privacy condivide (naturalmente) l’opinione espressa dall’EDPB all’interno del Parere n. 5/2020, e, dunque, ribadisce che il semplice “scroll down” del cursore di una pagina risulta inadatto in sé alla raccolta, da parte del Titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

Tanto premesso, l’Authority ha, comunque, precisato di non escludere tout court che “lo scrolling possa intervenire nella procedura di acquisizione del consenso e costituire non la sola, bensì una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento”.

Infine, il Garante Privacy si è occupato della pratica denominata “cookie wall” (ossia, un meccanismo vincolante (“take it” or “leave it”), nel quale l’utente venga obbligato, senza possedere alcuna alternativa, ad esprimere il proprio consenso alla ricezione di cookie (o di altri strumenti di tracciamento), pena l’impossibilità di accedere al sito internet), considerata, di regola, illecita, fatta salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito offra al soggetto interessato la possibilità di accedere ad un contenuto o a un servizio equivalente senza prestare il proprio consenso all’installazione e all’uso dei cookie o di altri strumenti di tracciamento.

 

 

 

 


[1] E’ stato individuato il termine di n. 6 mesi (decorrente dal momento della pubblicazione all’interno della Gazzetta Ufficiale), entro cui bisogna conformarsi alle Linee Guida di specie.
[2] Quadro giuridico di riferimento: (i) Direttiva n. 2002/58/CE del 12.7.2012 (cd. Direttiva ePrivacy), così come modificata dalla Direttiva n. 2009/136/CE; (ii) art. 122 del novellato D.Lgs. n. 196/2003 (Codice Privacy), il quale ha recepito, all’interno dell’ordinamento giuridico nazionale, la Direttiva ePrivacy; (iii) GDPR: artt. 4 n. 11), 7, 12, 13, 25, 95 (oltre, in particolar modo, al Considerando n. 30, 32 e 173); (iv) Linee Guida n. 5/2020 adottate il 4.5.2020 dall’EDPB (in sostituzione delle Linee Guida del 10.4.2018 a firma del WP Art. 29).
[3] Cfr. Considerando n. 30) del GDPR (“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”), ed art. 122 commi 1) e 2) del Codice Privacy (“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente. 2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente…”).
Cfr., altresì, pag. 15) delle Linee Guida in questione: “…non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy […] l’auspicio che si addivenga in tempi rapidi ad una codifica di carattere generale”.
[4] Es.: computer; tablet; smartphone; ogni altro dispositivo in grado di archiviare le informazioni (ivi inclusi, i dispositivi IoT).
[5] Cfr. Linee guida in analisi, pag. 5): “Sussiste tuttavia una non trascurabile differenza, sulla quale l’Autorità intende porre l’accento, tra l’impiego di una tecnica attiva quale quella relativa ai cookie ed una passiva, come quella relativa al fingerprinting. Nel primo caso, infatti, l’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, ha anche la possibilità pratica di rimuovere i cookie, in quanto archiviati all’interno del proprio dispositivo. Diversamente, con riguardo al fingerprinting e agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza”.
[6] I cookie analitici vengono, di solito, utilizzati per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito internet o, infine, per contribuire a misurarne il traffico (ossia, il numero di visitatori, anche eventualmente ripartiti per area geografica, fascia oraria della connessione).
[7] Cfr. Linee Guida in oggetto, pag. 13) e 14): “La struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso sia riferibile non soltanto ad uno, bensì più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie. Tenuto conto della rappresentazione degli indirizzi IP versione 4 (IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come sequenza di quattro numeri decimali compresi tra 0 e 255 separati da un punto, una delle misure implementabili al fine di beneficiare dell’esenzione consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit). Il Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi. Resta inteso pertanto che i soggetti terzi, che forniscono al publisher il servizio di web measurement, non dovranno comunque combinare i dati, anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente; tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale. E’ tuttavia possibile reputare lecito, anche in assenza dell’adozione delle prescritte misure di minimizzazione, il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.
[8] L’informativa può essere resa, oltre che multi layer (ossia, dislocata su più livelli), anche per il tramite di più canali e modalità (multi channel), quali, ad esempio, canali video, pop up informativi, interazioni vocali, assistenti vocali, telefono, chatbot. In aggiunta, il Garante Privacy ha precisato che è “onere del titolare adottare ogni opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari, in linea con quanto previsto dalla legge 9 gennaio 2004, n. 4 (come modificata, da ultimo, dal d.l. 16 luglio 2020, n. 76, convertito in legge, con modificazioni, dalla legge 11 settembre 2020, n. 120)”.
[9] Cfr. Linee Guida in oggetto, pag. 6): “Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono infatti essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento, con l’avvertenza tuttavia che, per la parte di potenziale sovrapposizione – in virtù del rapporto di genus a specie sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva ePrivacy, il quale chiarisce proprio come le norme di questa precisino ed integrino quelle del Regolamento – ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti. Ad esempio, è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri strumenti di tracciamento; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale”.
[10] Cfr. Linee Guida in analisi, pag. 12): “Per assicurare che gli utenti non siano influenzati ovvero penalizzati da scelte di design che inducano a preferire una opzione anziché l’altra, si sottolinea inoltre l’esigenza dell’utilizzo di comandi e di caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare”.
[11] Cfr. Linee Guida di specie, pag. 11) (“…il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie, e che pertanto l’utente possa, esclusivamente, accettarne, anche appunto in modo granulare, il posizionamento”) e pag. 12) (“Per realizzare la memorizzazione delle azioni e delle scelte, anche di dettaglio, rimesse all’interessato (mantenimento delle impostazioni di default, espressione, anche granulare, del consenso ovvero revoca del consenso precedentemente espresso mediante ripristino delle impostazioni di default), il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE) o anche di ulteriori modalità che la tecnologia dovesse rendere disponibili, la cui individuazione rientra nell’autonomia imprenditoriale e nell’accountability del titolare…”).

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News

Articoli inerenti