Vai al contenuto principale Vai al footer

DISCIPLINA DEI COOKIE: VERSO IL NUOVO REGOLAMENTO EPRIVACY

disciplina dei cookie

L’evoluzione tecnologica ha coinvolto anche i cookie, gli indicatori di tracciamento dalle molteplici funzioni, e ha reso inevitabile un intervento normativo da parte del legislatore comunitario che ha scelto la fonte del Regolamento per questo aggiornamento. Il presente contributo si propone di ripercorrere gli aspetti salienti della disciplina vigente, delle più recenti linee guida del Garante privacy e, quindi, dell’ultima proposta di Regolamento ePrivacy, non senza soffermarsi sulle doverose distinzioni sulle diverse tipologie di tracciatori

 

La disciplina vigente

 

I cookie, noti come quei piccoli file di testo che contengono delle informazioni in grado di identificare univocamente gli utenti collegati e di “tracciarne” la navigazione, sono disciplinati, nel nostro ordinamento, dall’articolo 122 del Codice della Privacy, come riformato dalla Direttiva ePrivacy.

E infatti, il cookie è pacificamente considerato un dato personale, vista e considerata la definizione di cui all’art. 4, n. 1, del GDPR, ai sensi della quale si considera dato personale anche un identificativo online.

In realtà la norma citata disciplina i cookie “tecnici”, ossia quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.

Tali cookie possono essere installati senza richiedere il consenso dell’utente.

Per esclusione, dunque, l’utilizzo per scopi ulteriori è subordinato all’acquisizione del consenso espresso oltre che specifico.

Alla normativa si sono aggiunte, nel 2014, le linee guida del Garante per la protezione dei dati personali.

Con tale provvedimento, in particolare, il Garante ha chiarito che, nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

  1. a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
  2. b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
  3. c) il link all’informativa estesa, che deve contenere la analitica specificazione dei cookie impiegati e delle finalità perseguite;
  4. d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
  5. e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.

Di recente, dette linee guida sono state però superate dall’intervento del Comitato Europeo per la protezione dei dati (“EDPB”) del 4 maggio 2020: l’EDPB ha chiarito come risulti contraria ai principi del GDPR la pratica dei titolari del trattamento che condiziona l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”, “muri” che dovrebbero impedire l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati.

Ha aggiunto, poi, come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato: azioni come lo scorrimento di una pagina web o attività simili, c.d. “scrolling”, poste in essere dall’utente per superare il “momento” della preferenza e procedere nella navigazione, non soddisferanno in nessun caso la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso

 

Le nuove Linee guida del Garante privacy

 

In ragione degli intervenuti chiarimenti comunitari, ma anche e soprattutto della rapida evoluzione tecnologica che ha promosso l’impiego di questi strumenti di tracciamento, il Garante ha recentemente rilasciato nuove Linee guida, oggetto di consultazione pubblica sino al 10 gennaio scorso.

Il Garante è tornato ad occuparsi di temi specifici come le modalità di acquisizione del consenso, la classificazione delle diverse tipologie di cookie presenti sulla rete, il meccanismo dello scrolling e del cookie wall.

In particolare, il Garante ha sottolineato che, sebbene il meccanismo di acquisizione del consenso online tramite presentazione di un banner sia da considerarsi tuttora valido, è necessario che i gestori dei siti web consentano l’utente, accedendo alla home page (o ad altra pagina) del sito web, di visualizzare immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, in modo tale da permettere l’espressione di una azione positiva nella quale si sostanzi la manifestazione del consenso dell’interessato.

Il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, in linea con i principi di libertà, informazione, inequivocabilità e specificità richiesti dal GDPR.

In assenza di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, il Garante invita i titolari all’indicazione quantomeno dei criteri di codifica degli identificatori adottati da ciascuno, che potranno, inoltre, a richiesta, costituire oggetto di comunicazione all’Autorità.

Viene quindi condivisa l’opinione resa in precedenza dall’EDPB sullo scrolling, con la precisazione che lo stesso potrà costituire una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie.

Infine, il Garante sottolinea l’illiceità del cookie wall, stante la mancanza di conformità con i requisiti richiesti dal Regolamento ma fa salva l’ipotesi – da verificare caso per caso – nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie.

 

Verso il Regolamento ePrivacy

 

Lo scorso 5 gennaio 2021 il Consiglio dell’Unione Europea ha pubblicato la proposta del Regolamento e-Privacy che, nell’ipotesi in cui venisse approvata, dopo ben 4 anni di lavori, abrogherà la direttiva ePrivacy a partire dal primo agosto 2022. In particolare lo scorso 10 febbraio 2021 è stato conferito mandato negoziale alla presidenza portoghese di avviare colloqui con il Parlamento europeo sul testo definitivo

La scelta dello strumento del Regolamento, in luogo della Direttiva, è indicativa della necessità ed intenzione di disciplinare uniformemente il trattamento di dati personali per il tramite di indicatori di tracciamento.

In sintesi, i macro-argomenti oggetto di disciplina sono:

  • i metodi di acquisizione dei cookie e degli strumenti di tracciamento;
  • le condizioni e i termini di utilizzo, nell’attività di direct marketing, dei dati raccolti dalle vendite;
  • la riservatezza delle comunicazioni elettroniche e dei metadati (ossia, i dati utilizzati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo, la data, l’ora, la durata e il tipo di comunicazione), questi ultimi da ritenersi sensibili ove consentano di trarre precise conclusioni sulla vita privata degli utenti, sulle loro relazioni sociali, le abitudini, gli interessi, i gusti e le attività quotidiane

 

Quali novità per i cookie?

 

Per quanto riguarda i cookie, il consenso continua a essere la condizione necessaria per il tracciamento, non essendo ancora reperibile una posizione di apertura a basi giuridiche diverse tra quelle contemplate dal GDPR, come l’interesse legittimo.

Mantenuta la possibilità di condizionare l’accesso ai siti web alla prestazione del consenso all’installazione dei cookie da parte dell’utente, a condizione che non privi lo stessodi una facoltà di scelta effettiva, il tracciamento sarà lecito solo se l’utente avrà acconsentito ad esso o, in alternativa, per scopi specifici stabiliti nel Regolamento ePrivacy.

Diversamente da quanto potesse attendersi, la nuova proposta sceglie di non superare la c.d. cookie banner fatigue mediante l’affidamento della raccolta ai soli browser o applicazioni: i fornitori di software potranno infatti includere di default impostazioni che consentano agli utenti finali, in maniera agevole e trasparente, di gestire il consenso ai cookie, contestualmente essendo consentita l’acquisizione del consenso anche al publisher, gestore della singola piattaforma ospitata.

A quanto pare, però, gli utenti potranno prestare il consenso all’uso di determinati tipi di cookie inserendo uno o più provider nella whitelist nelle impostazioni del browser.

Il trattamento senza il consenso dell’utente è consentito laddove necessario per garantire l’integrità dei servizi di comunicazione, o nei casi stabiliti dalla legge, per esempio per il perseguimento di reati o prevenzione di minacce alla sicurezza pubblica.

Anche i metadati potranno essere raccolti senza il consenso dell’interessato, se tale trattamento sarà necessario ai fini della gestione della rete o dell’ottimizzazione della stessa, o per soddisfare i requisiti tecnici di qualità del servizio, o ancora per altre esigenze strettamente connesse alla corretta esecuzione del contratto.

 

di Avv.ti Vincenzo Colarocco e Chiara Benvenuto; Studio legale Previti

DASy

Ciao sono DASy!

Hai bisogno di aiuto?