Le nuove linee guida sui cookie 2021

Le nuove Linee Guide sui Cookie 2021

Il 10 giugno 2021 sono state pubblicate le nuove Linee Guida dell’Autorità Garante per la Protezione dei Dati Personali sui Cookie, che integrano e precisano le indicazioni contenute nel precedente provvedimento del 2014.

In questo post si cercherà di individuare gli elementi essenziali della nuova disciplina - con particolare attenzione alle necessità dei gestori dei siti internet - e si forniranno utili spunti di implementazione.

La classificazione dei Cookie

Il Garante conferma la tripartizione tra: a) cookie tecnici, b) cookie analitici, c) cookie di profilazione che, come noto, si fonda sulle differenti finalità e funzionalità dei cookie.

I Cookie Tecnici

I cookie tecnici sono quei cookie utilizzati unicamente per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio (cfr art. 122 cod.priv).

Solitamente rientrano in questa categoria:

• i cookie che memorizzano le informazioni dell’utente autenticato (onde evitare di riproporre continuativamente la schermata di login nelle richieste di accesso a route protette);
• i cookie che memorizzano determinate preferenze dell’utente (es. la scelta della lingua);
• i cookie che memorizzano le preferenze dell’utente in merito all’installazione dei cookie (su cui si tornerà più avanti).

Dal punto di vista privacy, l’installazione dei Cookie Tecnici esonera il titolare del trattamento dalla necessità di richiedere il consenso dell’utente.

I Cookie Analitici

Si tratta di quei cookie utilizzati per misurare il “traffico”, ossia il numero di visitatori del sito internet, eventualmente filtrati per provenienza geografica, orario della connessione, azioni compiute ecc.

Nel provvedimento in esame, si ribadisce una disciplina differenziata a seconda che ci si trovi dinanzi a cookie analitici di prima parte o di terza parte.

I cookie analitici di terza parte sono quelli che vengono installati da soggetti terzi che forniscono il servizio informatico di misurazione del traffico in ingresso (su tutti Google Analytics). In questi casi, solitamente il gestore del sito internet inserisce uno specifico codice HTML (solitamente un elemento di tipo <script> che invoca, a sua volta, delle funzioni Javascript da una risorsa esterna) all’interno di tutte le pagine che intende monitorare. Al caricamento della pagina in questione, lo <script> si attiva ed esegue le azioni previste dalla terza parte, tra le quali l’installazione di uno e/o più cookie. La preoccupazione del Garante, in relazione alle suddette tipologie di cookie, è che la terza parte utilizzi le informazioni acquisite per combinarle con altri dati in proprio possesso e giungere alla identificazione dell’utente.

Per questa ragione, il Garante ribadisce la libera utilizzabilità dei cookie analitici di terze parti solo a condizione che siano implementate le seguenti misure:

• mascheramento dell’indirizzo IP dell’utente (almeno le ultime quattro cifre decimali nel caso degli indirizzi IPv4 a 32 bit);
• sottoscrizione di uno specifico accordo con la terza parte, contenente l’impegno espresso di quest’ultima a non incrociare i dati con le altre informazioni in proprio possesso.

Per quanto riguarda Google Analytics, ciò si traduce, generalmente, nell’utilizzo di una specifica funzione di anonimizzazione e nell’adesione ad alcune condizioni generali disponibili nella dashboard dell’utente del servizio.

Qualora le suddette misure siano correttamente implementate, l’installazione dei summenzionati cookie è equiparata a quella di un cookie tecnico. In caso contrario, il regime giuridico sarà quello dei cookie di profilazione (su cui ci si soffermerà nel prossimo paragrafo).

Un regime più “favorevole” è, invece, previsto per l’installazione dei cookie analitici di prima parte. Si tratta, infatti, dei cookie analitici installati dalle piattaforme di misurazione del traffico gestite direttamente dal titolare del sito internet. Ciò avviene quando, sostanzialmente, quest’ultimo utilizzi un servizio “interno” per il monitoraggio del traffico.

L’esempio più banale che può proporsi è la creazione di una variabile contatore per tenere traccia delle visite quotidiane ai singoli indirizzi di cui si compone il sito internet e che sia aggiornata ad ogni richiesta HTTP inviata dal browser dell’utente. In questi casi, il titolare del sito, solitamente, installerà un determinato cookie sul terminale dell’utente al fine di evitare di conteggiare più volte uno stesso visitatore (cd. “visitatore di ritorno”).

L’Autorità Garante, al riguardo, ha sempre ritenuto che i cookie analitici di prima parte fossero equiparabili ai cookie tecnici. L’assunto è stato ribadito nelle nuove linee guida, con una interessante precisazione. Infatti, sarà possibile per il titolare effettuare analisi statistiche, anche relative a più domini, siti web o app a lui direttamente riconducibili, pur in assenza delle misure prescritte per l’installazione dei cookie analitici di terze parti, senza la necessità di richiedere il consenso dell’utente. Tutto ciò a condizione, però, che tali attività di analisi non si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale. Sostanzialmente, non si deve sfociare nella profilazione per la quale l’unica base giuridica utilizzabile sarà costituita dal consenso.

I Cookie di Profilazione

Sono costituiti da quei cookie utilizzati per associare a determinati soggetti, determinati o determinabili, specifiche azioni o schemi comportamentali ricorrenti nella fruizione dei servizi offerti dal titolare del sito, in modo che sia possibile creare un profilo dell’utente. Si procederà, successivamente, a realizzare dei cluster di profili tra loro omogenei per proporre:

• servizi personalizzati
• messaggi pubblicitari in linea con le preferenze manifestate dall’utente.

Per queste categorie di cookie, l’unica base giuridica possibile di liceità del trattamento sarà costituita dal consenso dell’utente.

Di seguito un breve schema riepilogativo del regime giuridico applicabile alle diverse categorie di cookie sopra esaminate.

L’Acquisizione del consenso

Chiariti gli adempimenti da effettuare in relazione alle differenti tipologie di cookie, è necessario analizzare la disciplina introdotta con le nuove linee guida in relazione alle modalità di acquisizione del consenso.

Il Garante, in primo luogo, conferma, in linea di massima, l’impianto illustrato nel precedente provvedimento del maggio 2014, precisando, tuttavia, che, in ossequio al noto principio di accountability, i titolari del trattamento potranno adottare modalità diverse attraverso cui assicurare la conformità alle regole e la tutela degli interessati.

Ciò premesso, è utile riepilogare, sia pur brevemente, l’attuale quadro normativo relativo all’acquisizione del consenso per l’installazione dei cookie.

Il Banner

Già con il provvedimento del maggio 2014, era stato richiesto ai titolari dei siti di far visualizzare ai propri utenti un’area o banner, idonei a costituire una apprezzabile discontinuità nella fruizione dei contenuti della pagina con la quale richiedere il consenso all’installazione dei cookie.

Con le nuove linee guida si è, tuttavia, chiarita la non conformità della prassi del cd. cookie wall, figlio dell’approccio take it or leave it. Con questa espressione ci si riferisce a tutti quei siti web progettati in modo da permettere l’accesso dell’utente solo ed esclusivamente in caso di accettazione dell’installazione dei cookie. Ad avviso dell’Autorità, così operando, il titolare del sito non potrebbe acquisire un consenso libero, in quanto la volontà dell’utente verrebbe “coartata” dall’oggettiva impossibilità di fruizione dei contenuti in assenza del consenso all’installazione dei cookie.

Ciò comporta, inevitabilmente, l’adozione di nuove modalità di progettazione delle piattaforme e dei siti internet, in quanto si dovrà dare la possibilità all’utente che non acconsenta all’installazione dei cookie, di accedere, comunque, ai contenuti web pubblicati, pur con le ovvie limitazioni del caso.

A titolo esemplificativo, in considerazione del fatto che molti siti internet contengono dei widget social, come il pulsante “mi piace”, la cui presentazione è tendenzialmente dipendente dall’avvenuta installazione dei cookie del social network di riferimento, qualora l’utente non intenda invece acconsentire all’installazione di quei cookie, il contenuto javascript associato a quel bottone dovrà essere disabilitato.

In merito ai contenuti del banner, l’Autorità, in poche parole, richiede che:

• vi sia un pulsante “Chiudi”/”X” per determinare la chiusura del banner e la conservazione delle impostazioni di default (v. infra);
• vi sia l’avvertenza che la chiusura del banner comporterà il permanere delle impostazioni predefinite e, quindi, la possibilità di accedere al sito, sia pur in assenza dei cookie diversi da quelli tecnici;
• sia presente una “informativa minima” sulla presenza di cookie non tecnici e sulle relative finalità;
• sia presente un collegamento ad una informativa estesa che dovrà contenere tutte le informazioni previste dagli artt. 12 e 13 del Regolamento UE2016/679 (“GDPR”);
• sia presente un link ad una specifica sezione del sito in cui sia possibile selezionare in modo “granulare” ed “analitico” le funzionalità o le categorie di cookie alle quali l’utente intenda acconsentire.

Anche quest’ultimo requisito implica alcune necessarie scelte progettuali, in quanto:

• il titolare del sito dovrà essere in grado di individuare e raggruppare i cookie installati;
• si dovrà consentire l’installazione “dinamica” dei cookie, sulla base delle preferenze espresse (es. abilitando o disabilitando, a seconda dei casi, il caricamento dei codici HTML responsabili dell’installazione dei cookie, specialmente con riferimento alle terze parti);
• si dovranno memorizzare tutte queste informazioni in un cookie tecnico

Il concetto di “consenso”

Un’altra questione su cui l’Autorità ha incentrato la propria analisi è quella relativa a che cosa si debba intendere per “consenso”.

In primo luogo, è stato ribadito come, ai sensi del considerando n. 32 del GDPR, questo dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Ci si è, quindi, interrogati se il semplice scrolling o il click su un’area esterna al banner potesse considerarsi alla stregua di un’azione positiva inequivocabile. La risposta è stata assolutamente negativa. Già l’EDPB, con il parere 5/2020, aveva chiarito che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso “in nessuna circostanza”. Il Garante ha, come era lecito attendersi, pienamente avallato la tesi sostenuta dall’EDPB. Di conseguenza lo scrolling non implica alcun consenso valido.

Le impostazioni di default e il “blocco preventivo”

L’Autorità ha nuovamente sottolineato come il titolare del sito non sia autorizzato ad installare alcun cookie di natura non tecnica prima dell’acquisizione del consenso dell’utente. Occorrerà, quindi, progettare i siti in modo che tutti i codici HTML responsabili dell’installazione dei cookie non tecnici siano disabilitati dinamicamente.

I suddetti codici potranno essere caricati e, quindi, eseguiti, solo dopo che l’utente abbia manifestato il suo consenso.

Si tratta di un principio già espresso nella precedente versione delle linee guida, anche se spesso mai completamente rispettato.

Accadeva e accade ad oggi che si utilizzino componenti esterne per la semplice visualizzazione del banner per l’installazione dei cookie, senza che a ciò si accompagni né la documentazione del consenso, né tantomeno il “blocco preventivo”.

Inoltre, con il nuovo provvedimento, in ossequio ai principi di privacy by design e privacy by default si chiarisce, altresì, che la “chiusura del banner” dovrà generare un evento informatico documentabile e che dovrà comportare la conservazione delle impostazioni di default, ossia consistenti nella non-installazione dei cookie non tecnici.

Sostanzialmente, all’evento “click” sul pulsante “X” del banner (che dovrà avere un risalto paragonabile a quello del pulsante “accetto”) dovrà essere attivata una specifica funzione Javascript che generi un cookie tecnico contenente il diniego dell’utente all’installazione dei cookie.

Logicamente, nel rispetto del principio di accountability, il titolare potrà adottare modelli differenti, purché equivalenti nella sostanza.

Il salvataggio delle preferenze e la riproposizione della richiesta

Come si è già avuto modo di accennare, il titolare del sito dovrà memorizzare le preferenze espresse dal visitatore in un apposito cookie tecnico.

Al fine di evitare la reiterazione della richiesta di consenso, con conseguente impatto sulla libera determinazione dell’utente, il suddetto cookie dovrà avere una scadenza di sei mesi.

Ciò implica che il banner potrà essere legittimamente visualizzato nelle seguenti ipotesi:

1. primo accesso, in termini assoluti, dell’utente al sito (all’esito del quale sarà generato il cookie tecnico);
2. primo accesso del visitatore successivo alla cancellazione del cookie tecnico di cui sopra (mediante le impostazioni del browser);
3. significativa modifica delle condizioni del trattamento (es. mutamento delle terze parti responsabili dell’installazione dei cookie);
4. decorso di sei mesi dall’installazione del cookie tecnico di salvataggio delle preferenze.

Infine, l’Autorità richiede che gli utenti siano posti in condizione di rivedere e modificare le scelte espresse, con conseguente sovrascrittura del cookie tecnico installato per il salvataggio delle preferenze.

Il titolare potrebbe creare una sezione del sito denominata “rivedi le tue scelte sui cookie” all’interno della quale potrà essere messo a disposizione dell’utente una dashboard di semplice fruizione in cui:

• acconsentire all’installazione dei cookie
• revocare integralmente il consenso
• graduare il consenso a specifici gruppi di cookie

Il tutto sarà reso possibile dalla “lettura” del cookie tecnico contenente le preferenze espresse dall’utente.

Portali ad accesso riservato

Da ultimo, l’Autorità fornisce alcuni spunti di riflessione in relazione al caso specifico delle piattaforme che consentano la fruizione dei servizi solo previa immissione di credenziali di autenticazione.

In questa ipotesi, infatti, vi sarebbe una naturale discontinuità nella navigazione sin dal momento della prima registrazione (cd. fase di creazione dell’account), circostanza che consentirebbe, in tale sede, l’assolvimento degli obblighi concernenti l’impiego dei cookie e degli altri strumenti di tracciamento (con possibilità, quindi, di escludere il meccanismo della visualizzazione del banner).

Il tutto fermo restando il “blocco preventivo” (v. sopra) che dovrà essere attivo sin dalla pagina di creazione dell’account.

L’Autorità segnala che, in questi casi, si dovrà, altresì, richiedere all’utente se accettare o meno la possibilità che il tracciamento sia effettuato anche tramite l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device (es. pc, smartphone, tablet).

Termini per adeguamento

I titolari dovranno adeguarsi entro sei mesi dalla pubblicazione del provvedimento (10 giugno 2021) e, quindi, entro il 10 dicembre 2021.