Screenshot di un video con 3 righe di testo riguardo anche i Cookies ed affianco una matita

COOKIE IN ITALIA: LE NUOVE LINEE GUIDA DEL GARANTE PRIVACY (E COME ADEGUARSI)

In tema cookies in Italia, recentemente il Garante per la protezione dei dati personali ha approvato il provvedimento 10 giugno 2021 n. 231, in riferimento alle “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.
Il documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014, alla luce delle novità introdotte dal Regolamento europeo 679/2016 (il cosiddetto GDPR), delle prassi rilevate dall’Autorità nel corso della sua attività, delle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica.

1. COSA SI INTENDE PER COOKIES? QUALI SONO LE LORO FUNZIONI?

Per quanto riguarda la classificazione dei cookies, il Garante ci da una descrizione basandosi sulle finalità perseguite dagli stessi: avremo quindi:

  • a) i cookie tecnici, utili al fornitore del sito web per erogare il servizio;
  • b) i cookie di profilazione, volti ad attribuire agli individui specifici schemi comportamentali per raggrupparli in cluster omogenei e personalizzare il servizio. Anche per gli altri identificatori l’Autorità fa riferimento alla loro natura “tecnica” o “non tecnica”;
  • c) la terza categoria dei cookie analytics, che si ritrova nel provvedimento del 2014, viene nominata dal Garante in un paragrafo a parte in chiusura delle linee guida.

Il Garante, tuttavia, precisa che non esiste ancora un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento, per cui la distinzione tra le varie categorie resta, di fatto, affidata alla determinazione dei singoli titolari del trattamento, nonostante le conseguenze fondamentali che l’inclusione in una categoria o in un’altra comporta dal punto di vista della disciplina a tutela degli utenti.

Per questo il Garante si pone l’obbiettivo che tale codifica generale venga effettuata in tempi rapidi e, nel frattempo, richiederà ai titolari del trattamento di indicare nell’informativa almeno i criteri che hanno utilizzato per classificare i loro cookie o altri strumenti di tracciamento.

2. COOKIES IN ITALIA: QUALI SONO LE NORME APPLICABILI? È NECESSARIO UN AGGIORNAMENTO?

In ottica utilizzo dei Cookies e degli altri strumenti di tracciamento la disciplina è in primis analizzata dalla Direttiva e-Privacy del 2002, così come recepita in Italia dagli articoli 122 e seguenti del Codice Privacy (d.lgs. n. 196/2003).

Il rapporto di questa normativa con il GDPR è chiarito dall’articolo 95 del Regolamento, che stabilisce che quest’ultimo “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione dell’Unione, per quanto riguarda le materie per cui sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.

La Direttiva e-Privacy, dunque, si pone come lex specialis rispetto al GDPR, integrandone e precisandone le disposizioni, che fungono da cornice regolatoria di carattere generale.

Tuttavia, alcuni elementi innovativi contenuti nel Regolamento europeo comportano conseguenze tali che, anche se la Direttiva resta, al momento, invariata, le prassi operative che si sono sviluppate nel settore devono essere riviste.

In particolare, i requisiti di validità del consenso sono stati integrati dal GDPR, per cui oggi la manifestazione di volontà dell’interessato deve non solo essere libera, specifica e informata, ma anche inequivocabile.

Inoltre, la necessità di adeguamento ai principi di privacy by design e by default fa sì che gli operatori debbano integrare la tutela dei dati personali come impostazione predefinita fin dalla progettazione del trattamento.

3. COOKIES E GARANTE PRIVACY, QUALI SONO LE LINEE GUIDA

Il Garante Privacy, in ottica gestione dei cookies si sofferma spesso sulla questione della reiterazione delle richieste di consenso.

A titolo di esempio, la continua comparsa del banner contenente l’informativa breve può infatti essere invasiva per gli utenti e incidere sulla loro libertà nella prestazione del consenso, portandoli ad accettare trattamenti cui altrimenti non avrebbero acconsentito pur di fare sparire il banner.

L’Autorità individua solo alcuni casi in cui sia possibile reiterare la richiesta, ossia quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento, quando sia impossibile per il titolare tenere traccia del fatto che un cookie sia già stato installato sul terminale dell’utente (ad esempio quando questi abbia cancellato i cookie memorizzati), oppure quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

Il Garante privacy ci da un elenco dettagliato gli elementi che costituiscono il contenuto minimo del banner, ossia:

  • • l’avvertenza che la chiusura del banner cliccando sulla “X” comporterà il permanere delle impostazioni predefinite (solo cookie o strumenti di tracciamento di tipo tecnico);
  • • l’informativa minima, che specifica se vengono usati cookie o altri strumenti tecnici e che cookie e strumenti di altro tipo potranno essere selezionati tramite i comandi appositamente forniti;
  • • il link all’informativa estesa, che deve essere reperibile anche nel footer di ogni pagina e deve consentire all’interessato di accedere all’informativa tramite un solo click;
  • • un comando per esprimere il consenso al posizionamento di tutti i cookie o impiego di tutti gli strumenti di tracciamento;
  • • il link a un’ulteriore area in cui potranno essere selezionati analiticamente i cookie di profilazione o gli strumenti di tracciamento non tecnici, anche in base ai soggetti (prima o terze parti) e alle funzionalità, nell’ottica di consentire all’interessato di fornire un consenso granulare (specifico per ogni singolo trattamento). Nel rispetto del principio di privacy by default, tutte le scelte dovranno essere preselezionate in modo da negare l’utilizzo, dando così modo all’utente di esprimere il proprio consenso tramite un’azione positiva inequivocabile;
  • • oltre al banner, dovrà essere presente nel footer delle varie pagine del sito web un link che consenta di accedere a un’area tramite cui l’utente potrà modificare, in qualsiasi momento, le scelte compiute in relazione ai cookie e agli altri strumenti di tracciamento.