Il 10 giugno 2021 il Garante per la protezione dei dati personali ha approvato nuove “Linee Guida sull’utilizzo dei cookie e altri strumenti di tracciamento” (doc. web n. 9677876), aggiornando le precedenti Linee Guida del 2014 (doc. web n. 3118884).

Tali linee guida sui cookie intervengono alla luce delle novità introdotte dal Regolamento UE 2016/679 (GDPR) e alla crescente diffusione di nuove tecnologie caratterizzate da crescenti livelli di potenziale pervasività.

Lo scopo delle nuove indicazioni è specificare le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati quando i siti web utilizzano strumenti di tracciamento, tra i quali in particolare i cookie

La cornice normativa di riferimento è, ad oggi, costituita principalmente dalla direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, così come dal GDPR per ciò che concerne specificamente la nozione di consenso.

Consenso e nuove linee cookie

Il GDPR ha ampliato e rafforzato il concetto di consenso, inteso come qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato al trattamento dei suoi dati personali, esigendo che la protezione dei dati venga presa in considerazione sin dalla progettazione del trattamento e attraverso impostazioni predefinite (cd. privacy by design e by default).

Pertanto, il meccanismo di acquisizione del consenso dovrà innanzitutto assicurare che, per impostazione predefinita (by default), al momento del primo accesso ad un sito web vengano posizionati all’interno del dispositivo dell’utente solo i c.d. cookie tecnici, escludendo qualsiasi altro strumento o tecnica di tracciamento attiva (es. cookie di terze parti) o passiva (es. fingerprinting).

Scrolling

In riferimento all’utilizzo del c.d. “scrolling”, nel suo recente provvedimento, il Garante, condividendo l’opinione dell’EDPB del 4 maggio 2020 (parere n. 5/2020), ha chiarito che il semplice “scroll down” del cursore di pagina (ossia “scendere” in basso alla pagina) è inadatto in sé alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

Sulla base dell’approccio del GDPR teso alla valorizzazione dell’accountability del titolare del trattamento, è necessario che il processo di acquisizione del consenso all’uso di cookie o di altri strumenti di tracciamento si sostanzia nella generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e, dunque, documentabile a livello informatico.

Nel caso in cui, invece, all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle caratteristiche menzionate anche sotto il profilo della consapevolezza dello stesso utente, in nessun modo sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

Cookie wall

Nelle linee guida cookie, il Garante ha, inoltre, fornito opportuni chiarimenti in merito all’utilizzo del c.d. “cookie wall”.

Per cookie wall si intende quel meccanismo vincolante nel quale l’utente venga obbligato, senza possibilità di scelta, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento, pena l’esclusione di accedere al sito.

In particolare, l’Autorità Garante ha inteso evidenziare che questo meccanismo è da ritenersi illegittimo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, con particolare riferimento al requisito della “libertà” del consenso.

Viene esclusa dai casi di illegittima acquisizione del consenso l’ipotesi, da verificare caso per caso, in cui il titolare del sito offra all’utente di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

Informativa

Sulla base delle disposizioni introdotte GDPR e in linea con la logica di semplificazione anticipata nel provvedimento del 2014, il Garante ritiene che l’informativa, oltre che multilayer e cioè dislocata su più livelli, possa ad oggi essere resa anche per il tramite di più canali e modalità (c.d. multichannel), in modo da sfruttare più dinamici e ulteriori punti di contatto tra il titolare e gli utenti interessati (es. pop up, video, interazioni vocali).         

In ottica di accountability, sarà compito del titolare verificare la corrispondenza del sistema implementato, in termini di completezza, chiarezza espositiva, trasparenza e fruibilità, con i requisiti imposti dal GDPR.

La reiterazione di richiesta del consenso secondo le nuove linee guida cookie

All’interno delle nuove linee guida cookie, il Garante ha evidenziato l’ulteriore problematica della ridondante e spesso invasiva riproposizione del cookie banner da parte dei titolari del sito web.

Tale riproposizione per la richiesta di consenso ad ogni nuovo accesso dell’utente al medesimo sito risulta quindi anche piuttosto fastidiosa, sia che l’utente abbia precedentemente negato, sia che l’utente abbia in precedenza autorizzato.

L’eccessiva reiterazione di richiesta del consenso tramite il banner appare suscettibile di ledere, a parere del Garante, la “libertà” della manifestazione di volontà, inducendo l’utente a prestare il proprio consenso pur di proseguire nella navigazione libero dalla comparsa del banner.

Secondo il Garante, la scelta dell’utente dovrà essere debitamente registrata e non più sollecitata, salvo che:

• non mutino significativamente le condizioni del trattamento;
• sia impossibile sapere se un cookie o altro strumento di tracciamento sia già memorizzato nel dispositivo dell’utente;
• siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Ulteriore aspetto critico sollevato dal Garante è quello inerente alla mancanza, ad oggi, di una codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente le diverse tipologie di cookie, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy o cookie policy.

L’auspicio del Garante è che i soggetti interessati avviino, nelle sedi più opportune, una riflessione circa la necessità di adottare una codifica standardizzata di questi strumenti e, dunque, universalmente accettata.

Sulla base della potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto, ha individuato un termine di 6 mesi dal momento della pubblicazione in Gazzetta Ufficiale delle Linee Guida entro il quale.

Per un supporto nella risoluzione delle questioni connesse alla gestione dei cookie alle altre tematiche affini, BIT4LAW fornisce servizi di consulenza privacy.