Il Garante privacy – a seguito della consultazione pubblica completatasi nel 2020, ha rilasciato le nuove linee guida sui cookie che aggiornano quelle del 2014 a seguito delle modifiche apportate dal GDPR.

Sebbene esse escono nel pieno del negoziato del trilogo tra le istituzioni legislative dell’Unione in merito alla proposta di Regolamento ePrivacy, e la loro entrata in vigore (i.e. 9 gennaio 2022) potrebbe coincidere con l’approvazione finale di quest’ultimo da parte di Parlamento e Consiglio UE, le nuove linee guida interpretano l’attuale disciplina delle direttive 2002/58/CE e 2009/136/CE sulla riservatezza nelle comunicazioni elettroniche, alla luce delle novità introdotte dal GDPR, senza formulare anticipazioni rispetto ai temi oggetto del futuro regolamento ePrivacy.

Sintesi

Modello precedente

Il modello indicato dal Garante privacy nel 2014 per la gestione di informativa e consenso online in relazione all’uso dei cookie e di altri tracciatori si basava essenzialmente (qualora i cookie non fossero solo “tecnici”) su un banner da far comparire nella pagina web di primo accesso, contenente un’informativa breve che rinviava con link ad un’informativa estesa e con l’avvertenza che qualsiasi operazione che costituisse una percettibile discontinuità (i.e. in sostanza, la prosecuzione della navigazione) avrebbe rappresentato la manifestazione dell’utente di accettazione di tutti i cookie. Nell’informativa estesa, poi, l’utente era messo nelle condizioni di effettuare scelte più granulari o anche di revocare il consenso eventualmente già prestato. Nelle attuali linee guida – anche alla luce dei contributi ricevuti nel corso della consultazione pubblica – il Garante ritiene che l’impianto indicato in precedenza rimanga sostanzialmente valido, seppure con le modifiche resesi necessarie a seguito delle novità apportate dal GDPR.

Principali profili

Questi i principali aspetti affrontati nelle linee guida 2021.

Cookie e altri tracciatori – Le linee guida e la disciplina che ne forma oggetto si rivolgono indistintamente ai cookie e a qualsiasi altra tecnica di tracciamento “attiva” (come pixel, clickcommand) o “passiva” (es. fingerprinting).

Informativa – Quella estesa – ai sensi degli articoli 13 e 14 GDPR – dovrà indicare anche i destinatari di dati personali e i tempi di conservazione dei dati; potranno essere utilizzati canali e modalità diverse (e.g. pop-up, video, chat).

Consenso – L’utente deve avere libertà di: (a) non pronunciarsi (b) accettare cookie e tracciatori (c) rifiutarli. Per il caso (a) il banner deve potersi chiudere significando il mantenimento dell’impostazione iniziale di default (i.e. l’impossibilità di posizionare alcun cookie o tracciatore nel dispositivo dell’utente); per l’ipotesi (b) il banner conterrà un pulsante “Accetta tutti”; per l’opzione (c) il banner riporterà un link ad un’area di livello sottostante in cui l’utente avrà la possibilità di acconsentire solo ad alcuni cookie o tracciatori (anche aggregati per categorie), di rifiutarli tutti oppure di revocare il consenso precedentemente prestato. La scelta dell’utente va registrata sia per documentarla come prova sia per evitare la riproposizione del banner all’utente di ritorno. Il banner potrà essere riproposto a determinate condizioni oppure decorsi 6 mesi.

Scrolling – Non è un’idonea manifestazione del consenso eccetto che sia parte di un meccanismo in grado di essere percepito come azione positiva e inequivoca della volontà dell’utente di acconsentire. 

Cookie wall –  Deve ritenersi illegittimo eccetto che il titolare del sito renda possibile l’accesso a contenuti o servizi equivalenti che non prevedono l’uso di tracciatori. 

Cookie tecnici – Se sono gli unici a essere utilizzati, non occorre il banner ma solo la loro menzione nell’informativa estesa. 

Analytics – Sono equiparabili ai cookie tecnici a condizione che siano utilizzati solo a fini statistici e, inoltre: se di prima parte, possono essere utilizzati anche in chiaro; se di terza parte occorre mascherare la quarta componente dell’indirizzo IP e le terze parti devono astenersi dal combinarli con altre elaborazioni.

Stato dei consensi – Il Garante ritiene sia buona prassi prevedere un’area contenente lo stato dei consensi resi dall’utente, dove è possibile modificarli o revocarli, raggiungibile tramite link posizionato nel footer di qualsiasi pagina web del dominio.

Cookie tecnici e non-tecnici

Come noto, i cookie possono distinguersi in diverse categorie secondo il distinto criterio di aggregazione prescelto, cioè quello: 

Le linee guida sottolineano come, ai fini della disciplina applicabile, la distinzione rilevante sia quella di scopo, tra cookie tecnici e cookie non-tecnici. I primi, che sono quelli essenziali per il funzionamento del sito web ovvero per fornire il servizio richiesto dal contraente-utente, non richiedono il consenso dell’utente per il loro utilizzo, nè occorre far ricorso al banner sulla pagina di accesso, purchè di essi venga fatta menzione, con le indicazioni di legge, nell’informativa estesa.

Analytics e “di profilazione”

Tra i cookie “non-tecnici” si può procedere ad un’ulteriore distinzione tra i cosiddetti “analytics” e i cookie di profilazione. I primi, usati per valutare l’efficacia di un servizio e purchè siano utilizzati solo a scopi statistici, in termini di disciplina, sono equiparati ai cookie tecnici e possono essere utilizzati in chiaro dal titolare del sito web; se si tratta di terze parti, queste devono oscurare in parte l’indirizzo IP e impegnarsi a non combinarli con altre elaborazioni nè trasmetterli a altri terzi.

I cookie di profilazione e altri identificatori di tracciamento con funzione non tecnica, servono per ricondurre a soggetti identificabili azioni o schemi comportamentali connessi all’uso delle funzionalità offerte (pattern) al fine di raggrupparli in profili omogenei. I profili vengono poi utilizzati per servizi personalizzati o per l’invio di messaggi promozionali mirati. Questi cookie richiedono il preventivo consenso dell’utente e costituiscono l’oggetto principale della disciplina.

Strumenti di tracciamento “passivi”

Ulteriore distinzione tra gli identificatori di tracciamento basata sulle modalità tecniche è quella di tracciatori “attivi” e “passivi”. I primi, come i cookie, si caratterizzano per il fatto che la loro operatività presuppone una modalità attiva (il cookie, ad esempio, per poter funzionare deve essere inserito nel dispositivo dell’utente). I secondi, come il fingerprinting, presuppongono la mera osservazione. Il fingerprinting è quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di informazioni relative alla specifica configurazione del dispositivo stesso (in quanto la loro combinazione produce un’impronta quasi univoca, da cui “fingerprinting” come le impronte digitali).

Sotto il profilo della disciplina, i tracciatori attivi e passivi sono soggetti alle medesime regole.

Correlazione tra GDPR ed ePrivacy

Le linee guida precisano molto chiaramente il rapporto intercorrente tra GDPR e disciplina ePrivacy: quello di genere (il GDPR è la disciplina generale per la protezione dei dati personali) a specie (l’ePrivacy è la disciplina speciale prevista per i dati personali e non oggetto di comunicazioni elettroniche). 

L’ePrivacy, quindi, precisa e integra le norme del Regolamento e, in quanto legge speciale, la norma ePrivacy «dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti».

Consenso e interesse legittimo

Dalla relazione “genere a specie” intercorrente tra GDPR ed ePrivacy discendono importanti conseguenze. L’ePrivacy, infatti, prevede come unica base giuridica per l’utilizzo dei tracciatori di profilazione il consenso dell’utente (fatte salve le eccezioni tassativamente indicate), anzichè fare riferimento alle più numerose opzioni previste dall’articolo 6.1 del Regolamento. 

Da tale assunto deriva l’importante conseguenza dell’impossibilità di applicare la base giuridica dell’interesse legittimo – come spesso si rileva nella prassi – all’utilizzo di cookie di profilazione, proprio in quanto la disciplina ePrivacy non la prevede.

Modalità di raccolta del consenso

Si diceva in precedenza che il GDPR presuppone la libertà del consenso; ciò implica che all’utente deve riconoscersi la libertà di (a) acconsentire (b) di opporsi (c) di non pronunciarsi affatto. Le linee guida affidano alla modalità del banner le opzioni (a) del consenso e (c) di non pronunciarsi e, indirettamente, anche la (b) del diniego o revoca del consenso già prestato. L’opzione (a) del consenso è soddisfatta prevedendo che il banner contenga un pulsante “Accetta tutti” che, se selezionato, è rappresentativo della volontà dell’utente di acconsentire al tracciamento delle proprie operazioni online. Tale operazione è tecnicamente registrabile e, quindi, documentabile. L’opzione di prosecuzione della navigazione senza essere costretti a pronunciarsi in alcun modo, è assicurata prevedendo che il banner rechi un meccanismo di chiusura dello stesso, selezionando il comando contraddistinto da una X posizionata di regola in alto a destra. 

Infine, la terza opzione (b) di diniego oppure di consenso granulare o anche di revoca del consenso prestato in precedenza, viene resa disponibile tramite l’accesso ad un’area dedicata, raggiungibile tramite un link presente sul banner e ribadito nel footer di ogni pagina web. Nel rispetto del principio by default, le scelte granulari sono tutte preimpostate sul diniego all’installazione (nel senso che l’utente, se intende acconsentire, le dovrà re-impostare sull’accettazione).

Le corrispondenti scelte operate in quest’area saranno anch’esse registrabili tecnicamente e, quindi, documentabili.

Accetta tutti

Qualche perplessità solleva la previsione nelle linee guida del solo pulsante “Accetta tutti” all’interno del banner, anzichè di entrambi “Accetta tutti” e “Rigetta tutti” come apparirebbe più consono al principio secondo cui accettazione e diniego hanno pari legittimazione e negare o revocare il consenso deve risultare altrettanto agevole quanto raccoglierlo. La dottrina (specie quella più attenta ai dark patterns, cioè al ricorso a interfacce online finalizzate a sovvertire o compromettere l’autonomia, il processo decisionale o la scelta dell’utente) nonchè la giurisprudenza di alcune autorità di controllo nazionali hanno sottolineato come porre le opzioni di accettazione e diniego su livelli differenti, con quest’ultima in posizione subordinata alla prima, impatta negativamente sul requisito di libertà e non-condizionamento del consenso, dettato dal GDPR. Specie se si considera che secondo molte ricerche, la forza di attrazione esercitata dalla fruibilità dei contenuti online, è tale da condizionare l’utente verso scelte immediate e poco consapevoli, pur di non frapporsi come ostacolo all’immediata fruibilità.

Area dedicata per le scelte granulari

Analoghe perplessità suscita la prevista collocazione dell’area dedicata per le scelte granulari, ad un livello subordinato rispetto a quello del banner.

Ci sarebbe sembrato preferibile, per le medesime considerazioni formulate riguardo al pulsante “Accetta tutti”, prescrivere che il banner, insieme all’informativa breve, contenesse una semplice dashboard, come già si vede implementato presso alcuni siti web, dove è lasciata libertà all’utente di scegliere se acconsentire ad alcune macro-categorie di tracciatori come quelli “funzionali”, “analitici” e di “marketing”. Lasciando alla sottostante area, l’opportunità di opzioni maggiormente granulari.

Scrolling e cookie wall

Le linee guida hanno inteso seguire una soluzione parzialmente diversa dal divieto operato dall’EDPB e da molte altre autorità di controllo nazionali circa l’uso dello scrolling come manifestazione del consenso per i cookie e il ricorso ai cookie wall. Questi ultimi sono quegli sbarramenti tecnici che non permettono all’utente di proseguire nella navigazione se lo stesso non rilascia il consenso per i cookie.

In entrambi i casi, infatti, il Garante lascia aperta la porta a soluzioni tecniche che eventualmente risolvano positivamente le criticità che sono alla base del divieto e cioè:

Rosario Imperiali d’Afflitto