COOKIE: ECCO LE NUOVE LINEE GUIDA DEL GARANTE

L’aggiornamento delle linee guida si è reso necessario per fronteggiare diverse situazioni emerse nel recente periodo. Si tratta soprattutto di abusi relativi alla non corretta attuazione delle modalità per rendere l’informativa agli utenti e la conseguente raccolta del consenso all’uso dei loro dati, il crescente utilizzo di tracciatori invasivi, il moltiplicarsi di identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre piu’ dettagliati.

Ci troviamo nel quadro normativo dettato sia dal Codice Nazionale che dal Regolamento Europeo.

I Cookie vengono definiti come stringhe di testo che i siti web (ma anche i web server di terze parti) posizioni e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (ad es. il tuo computer). Funzioni simili possono essere volte anche da altri strumenti, che pur utilizzando una tecnologia diversa consentono di effettuare trattamenti del tutto analoghi a quelli svolti attraverso i cookie. Diverse sono le categorie di cookie esistenti, pur in assenza di una codifica universalmente riconosciuta, auspicata dall’Autorità Garante per garantire uniformità di giudizio ed operato, tra queste si possono individuare:

Cookie ed altri identificatori tecnici: utilizzati per specifiche finalità limitate, non richiedono il consenso ma vanno indicati nell’informativa

Cookie analytics prime e terze parti: vengono equiparati ai cookie ed altri identificatori tecnici a patto che rispettino determinate caratteristiche tecniche, nonché determinate finalità, che il garante raccomanda di circoscrivere alle sole finalità statistiche.ne seguono quindi il percorso normativo

Cookie e altri identificatori di tracciamento con funzione tecnica: utilizzati per ricondurre a soggetti determinati, identificati o identificabili; utilizzati per raggruppare profili in cluster omogenei in modo che sia possibile modulare le forniture dei servizi in modo sempre piu’ personalizzato, nonché inviare messaggi pubblicitari mirati.

Il GDPR ha introdotto sul tema dell’utilizzo dei cookie e di altri strumenti di tracciamento importanti novità, in ossequio al principio dell’accountability e dei principi di  privacy by design e privacy by default.

Innanzitutto cambia Il meccanismo di acquisizione del consenso on line che dovrà garantire, per impostazione predefinita, al momento del primo accesso ad un sito web, che nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

l’informativa agli utenti poi dovrà indicare gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Permane inoltre l’obbligo della sola informativa per i cookie tecnici, come visto sopra, anche inserita nell’informativa generale. Il Garante raccomanda anche che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

In materia di consenso rimane l’obbligo di richiederlo per i cookie di profilazione, tale operazione deve avvenire attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.

Per quanto riguarda invece lo scrolling (scendere con il mouse all’interno di una pagina), il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Riguardo al cookie wall infine, ovvero il sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

L’Autorità sottolinea poi che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.