Linee guida cookie e altri strumenti di tracciamento: Regolamento UE 2016/679

Garante per la protezione dei dati personali "Linee guida cookie e altri strumenti di tracciamento.”  Prescrizione resa ai sensi dell’art. 39 del Regolamento UE 2016/679.

Con Provvedimento n. 231 del 10 giugno 2021, pubblicato in Gazzetta Ufficiale n.163 del 9 luglio 2021, il Garante per la protezione dei dati personali ha adottato le “Linee guida cookie e altri strumenti di tracciamento”, che aggiornano e integrano il provvedimento dello stesso Garante dell’8 maggio 2014 relativo alla “individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”,

Le linee guida, si concentrano, in particolare, su taluni aspetti di cui i fornitori dei servizi della società dell’informazione devono tener conto nell’ambito dei trattamenti di dati personali relativi alle funzionalità offerte attraverso i propri siti o applicazioni, che fanno uso di cookie o altri strumenti di tracciamento. 

Nello specifico:

1- il consenso preventivo degli utenti;

2- il rispetto del diritto di revoca del consenso;

3- il rispetto dei principi di privacy by design e by default;

4- l’informativa da rendere ai sensi degli artt. 12 e 13, GDPR.

Consapevole dell’evoluzione degli strumenti di tracciamento, il Garante evidenzia che i cookie sono solo uno degli strumenti tecnici utilizzabili dai Publisher – titolari di un sito web o “prime parti” – o dalle c.d. “terze parti” per profilare gli utenti e veicolare la pubblicità comportamentale; inoltre, il Garante, nelle linee guida, ricorda il fingerprinting, tecnica alquanto invasiva che consente di identificare l’utente raccogliendo informazioni sulla specifica configurazione del suo dispositivo.

1) Il consenso preventivo degli utenti

In virtù della disposizione appena richiamata, il Garante evidenzia che, come prevede l’art. 122 del Codice Privacy, non vi siano altre basi giuridiche all’infuori del consenso che possano giustificare e rendere legittimo il trattamento dei dati personali ricorrendo a cookie o altri strumenti di tracciamento, censurando la prassi molto diffusa di indicare il legittimo interesse quale base giuridica per il trattamento indicato.

1.1 Il c.d. "scrolling"

Secondo il Garante la pratica dello “scroll down” del cursore per manifestare il proprio consenso all’installazione di cookie non permette di esprimere un consenso inequivocabile, come richiesto dal considerando 32 del GDPR, aderendo così a quanto espresso dall’EDPB nel parere n. 5/2020.

Ciò non toglie, tuttavia, che il Titolare possa ricorrere allo “scrolling” quando rappresenta “una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, una scelta inequivoca e consapevole” e in tal modo prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento. Il processo deve sempre essere documentato in conformità al principio di accountability.

1.2 Il c.d. "cookie wall"

Il meccanismo che non consente all’utente di accedere al sito a meno che non abbia espresso il proprio consenso all’installazione dei cookie, in una logica di “prendere o lasciare”, non può ritenersi lecito secondo il Garante perché viola il requisito della “libertà” del consenso.

1.3 La reiterazione della richiesta di consenso a seguito di un precedente diniego

Sulla base delle osservazioni compiute dal Garante e delle segnalazioni pervenutegli, è stata evidenziata la pratica di molti siti web di reiterare la richiesta del consenso all’installazione dei cookie anche quando l’utente lo abbia già precedentemente negato.

Ebbene, è lecito riproporre il banner contenente la richiesta del consenso precedentemente prestato solo nelle seguenti ipotesi:

a) la modifica di una o più condizioni del consenso, come nel caso in cui mutino le “terze parti”;

b) l’impossibilità per il gestore del sito di dimostrare che un cookie è già stato in precedenza memorizzato sul dispositivo dell’utente a causa di un’azione positiva di quest’ultimo, come nel caso in cui i cookie sono stati cancellati dall’interessato.

2) Il diritto di revoca del consenso

L’interessato deve poter modificare le scelte precedentemente compiute, prestando un consenso prima negato o revocando un precedente consenso. 

A tal fine, il Garante invita i titolari a predisporre una procedura in grado di permettere all’utente di modificare le proprie scelte in maniera semplice, immediata e intuitiva, inserendo nel footer un link per accedere ad una apposita area in cui sia “esplicita la funzionalità attraverso l’indicazione di ‘rivedi le tue scelte sui cookie’ o analoga”.

I principi di privacy by design e privacy by default

3.1 Il meccanismo di acquisizione del consenso

Il Garante, richiamando il provvedimento del maggio 2014, conferma che il banner è lo strumento più idoneo per acquisire il consenso dell’interessato e, tuttavia, occorre fare alcune precisazioni per adeguarlo ai principi di privacy by design e privacy by default.

Per impostazione predefinita, infatti, i cookie diversi da quelli tecnici e gli altri strumenti di tracciamento non possono essere installati sul dispositivo dell’utente in assenza del consenso.

3.1.1 Il modello standard proposto dal Garante

Fermo restando la libertà del Titolare di adottare modalità alternative per adempiere all’obbligo appena richiamato, il Garante propone un modello standard di acquisizione del consenso. Secondo tale modello, l’utente dovrà visualizzare al primo accesso alla home page o altra pagina del sito un’area o un banner con dimensioni “sufficienti da costituire una percettibile discontinuità nella fruizione della pagina web” e che evitino all’utente di compiere scelte indesiderate ricorrendo a comandi errati, specie quando opera con differenti dispositivi.

La scelta di mantenere le sole impostazioni di default, senza acconsentire all’installazione di cookie di profilazione o altri strumenti di tracciamento, deve essere facilitata dalla previsione di un comando, con pari evidenza grafica rispetto agli altri comandi, posizionata in alto a destra all’interno del banner e senza che l’utente sia “costretto ad accedere ad altre aree o pagine” .  

Perché il consenso possa essere considerato validamente prestato, quindi, occorre un intervento attivo e consapevole dell’utente.

Le Linee guida specificano il contenuto minimo che il modello standard deve avere:

a) la “X” in alto a destra, per permettere di chiudere il banner accettando le sole impostazioni di default;

b) l’avvertenza che cliccando sulla “X” si accettano le sole impostazioni di default che comportano unicamente l’installazione di cookie tecnici;

c) un’informativa minima;

d) il link all’informativa estesa, da posizionare in un second layer o accessibile con un click mediante un ulteriore link posizionato nel footer di ogni pagina del dominio dei sito web, che contiene le informazioni previste dagli artt. 12 e 13 del GDPR, comprese quelle relative ai cookie o agli altri strumenti tecnici;

e) un comando per prestare il consenso all’installazione dei cookie e/o degli atri strumenti di tracciamento;

f) il link ad una ulteriore area dedicata in cui l’utente possa selezionare analiticamente le funzionalità, le terze parti, i cookie – anche raggruppati per categorie omogenee – rispetto ai quali intende prestare il proprio consenso.

Il Titolare deve conservare un elenco aggiornato delle terze parti e prevedere che le scelte analitiche siano inizialmente preimpostate sul diniego all’installazione dei cookie. 

Se sono presenti solo cookie tecnici o strumenti analoghi potrà esserne data informazione nella home page o all’interno della privacy policy, senza obbligo di prevedere specifici banner.

Il Garante sottolinea che “l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (c.d. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (c.d. opt-out)".

3.2 I cookie analytics di prima parte e delle terze parti

I cookie analytics – utilizzati per valutare l’efficacia di un servizio della società dell’informazione, per la progettazione di un sito web o per contribuire a misurarne il “traffico” – sono stati qualificati dal provvedimento del maggio 2014 come cookie tecnici, che non necessitano del previo consenso dell’interessato quando sono utilizzati dal Publisher.

Qualora siano utilizzati dalle terze parti, i cookie analytics possono essere installati solo se l’interessato ha prestato il relativo consenso. 

Le linee guida precisano, tuttavia, che le terze parti possono utilizzare cookie analytics senza il consenso dell’interessato se sono state adottate idonee misure di minimizzazione del dato che “riducano significativamente il potere identificativo dei cookies analytics”.

3) L’informativa da rendere ai sensi degli artt. 12 e 13 GDPR

4.1 Le informazioni da rendere in conformità al Regolamento

L’Autorità ricorda che l’informativa debba essere dislocata su più livelli (multilayer) e aggiunge che possa essere resa anche utilizzando più canali e modalità (c.d. multichannel). 

Spetta pur sempre al Titolare scegliere le modalità più idonee, rendendo fruibili le informazioni contenute nel banner anche a soggetti con disabilità tali da richiedere particolari tecnologie assistite o configurazioni.

Infine, il Garante pone l’accento sulla necessità di creare uno standard comune per la classificazione dei cookies che consenta di distinguerli in maniera oggettiva; ad oggi, infatti, tale distinzione è rimessa alla scelta del Titolare.

Nell’attesa che si pervenga a una codifica di carattere generale, l’Autorità invita i Titolari a integrare le informative (brevi e/o estese) in modo da riportare i criteri di codifica degli identificatori adottati.

Il titolare del sito web deve garantire che siano trattati solo i dati necessari al conseguimento di specifiche finalità e sulla scorta della corrispondente base giuridica correttamente individuata.

Di conseguenza, per consentire agli utenti la navigazione nel sito, al momento del primo accesso dell’utente non potrà essere utilizzato nessun cookies di profilazione o altro strumento di tracciamento dello stesso tipo. Dovrà, invece, comparire un banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili, che consenta agevolmente all'utente di esprimere il proprio consenso all'installazione dei cookie diversi da quelli tecnici, ad esempio per finalità di marketing, profilazione o comunicazione dei dati a partner commerciali.

L’utente che non intenderà prestare il proprio consenso all'installazione di cookie diversi da quelli tecnici si limiterà a chiudere il banner, selezionando l’apposito comando X, normalmente utilizzato a questo scopo. In tal caso, saranno mantenute le impostazioni di default e, dunque, potranno essere installati solo i cookies tecnici, poiché la chiusura del banner dei cookies o il c.d. scrolling della pagina non sono azioni di per sé idonee a prestare il consenso all'installazione dei cookie di profilazione.

Inoltre, l'utente dovrà avere facoltà di modificare, in ogni momento e in maniera agevole tramite apposita area del sito web, le proprie opzioni e preferenze in relazione ai cookie.

Come stabilito dal Garante nel provvedimento dell’8 maggio 2014 e ribadito nelle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, l’informativa dovrebbe essere impostata su più livelli. Il Garante suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più estesa e completa.