Le nuove linee guida del Garante sui cookie

Le principali novità delle nuove linee guida sui cookie introdotte dal Garante Privacy lo scorso 10 giugno rafforzano il consenso informato
Le nuove linee guida del Garante sui cookie
SmartWorld team
SmartWorld team

Il 9 gennaio scadrà il periodo di adeguamento alle nuove linee guida sui cookie introdotte dal Garante per la protezione dei dati personali (Garante Privacy) con il provvedimento dello scorso 10 giugno. L'Autorità è tornata ad occuparsi del tema a sette anni di distanza dal precedente intervento, sollecitata dall'entrata in vigore del Regolamento europeo per la protezione dei dati personali (GDPR), dalla diffusione di tracciatori particolarmente invasivi, ma anche dalla necessità di rendere le regole giuridiche relative all'utilizzo dei cookie più coerenti con le nuove tecnologie. Prima di vedere cos'è cambiato e quali sono gli elementi di maggiore novità, appare opportuno illustrare brevemente cosa sono i cookie.

Cosa sono i cookie

Quando si parla di cookie, si fa riferimento a dei pacchetti – o più precisamente delle stringhe di testo – che i browser memorizzano sul dispositivo (come ad esempio computer, smartphone, tablet) dell'utente durante la navigazione su Internet. I cookie possono essere utilizzati per eseguire attività di marketing e di advertising, tenuto conto che hanno la funzione di memorizzare le ricerche di navigazione degli utenti o identificare chi ha già visitato il sito in precedenza. Tenuto conto dei potenziali risvolti sulla privacy, si spiega quindi il motivo per cui l'Unione Europea e il Garante Privacy sono intervenuti per regolamentarne l'utilizzo, così da evitare abusi e ripercussioni sull'utente finale. Come evidenziato dalla stessa Autorità, acquistano rilevanza sul tema il GDPR e la direttiva europea c.d. ePrivacy, recepita in Italia dal codice privacy.

Tipi di cookie

Il Garante Privacy ha distinto i cookie in due categorie: 

  • Cookie di prima parte: appartengono al titolare dell'applicazione e i dati raccolti dall'utente sono accessibili solamente dal titolare;
  • Cookie di terza parte: appartengono a fornitori esterni e su questi dati il titolare non ha alcun controllo, essendo trasferiti su un altro dominio e su un altro server. Un tipico esempio di cookie di terze parti sono i cookie anaylitcs, come è il caso di Google Analtycs.

A seconda delle finalità, i cookie possono poi essere ulteriormente suddivisi in due macro-categorie: 

  • Cookie tecnici: hanno lo scopo di facilitare la navigazione degli utenti, memorizzando alcune informazioni come ad esempio i dati di accesso, i prodotti messi nel carrello su un determinato sito e-commerce. Tra i dati memorizzabili troviamo informazioni personali (come ad esempio l'indirizzo IP, il nome utente, l'indirizzo email) e informazioni non strettamente personali (tra cui le impostazioni della lingua utilizzata, le informazioni sul tipo di dispositivo tramite cui si naviga su Internet). Si tratta di fatto di una tipologia di cookie che servono per erogare, ad esempio, un servizio di comunicazione e in quanto tale il titolare del trattamento dovrà soltanto informare gli utenti del loro uso;
  • Cookie di profilazione: permettono di inviare all'utente della pubblicità mirata in base al comportamento tenuto da quest'ultimo nelle sue precedenti sessioni di navigazione. L'utente viene infatti raggruppato all'interno di specifici cluster di profili, più o meno ampi, che consentono al titolare di erogare servizi personalizzati e in linea con le preferenze degli utenti. Questa tipologia di cookie è certamente più impattante sulla posizione dell'utente ed è per questo che il Garante subordina l'utilizzo da parte del titolare del trattamento alla raccolta preventiva del consenso informato. 

Cosa cambia con le nuove linee guida sui cookie: divieto di scrolling e cookie wall

Con il nuovo provvedimento dello scorso 10 giugno, che di fatto sostituisce le precedenti linee guida del 2014, l'Autorità ha voluto rafforzare il potere decisionale degli utenti in materia di utilizzo dei dati personali durante la navigazione su Internet. Il Garante privacy ha poi confermato la categorizzazione tra cookie tecnici e cookie di profilazione: per i primi non è richiesto il consenso, mentre per i secondi resta imprescindibile l'ottenimento del consenso da parte dell'utente. L'Autorità ha comunque raccomandato di utilizzare i cookie analytics per finalità soltanto statistiche. 

E qui si inserisce una delle prime importanti novità: la non equiparabilità dello scrolling – vale a dire il semplice movimento del mouse o del dito su uno schermo touch – con il consenso informato. Secondo l'avviso del Garante, lo scrolling non può mai essere equiparato al consenso informato, partendo dal presupposto che l'utente deve manifestare la propria volontà di accettare il trattamento dei propri dati in modo libero, inequivocabile, specifico e informato. Lo scrolling, cioè, non è idoneo a esprimere l'accettazione dell'utente al posizionamento dei cookie all'interno del proprio dispositivo. L'unica eccezione, verificabile caso per caso ma di fatto assai tortuosa e poco provabile in concreto, è che il titolare dimostri che lo scrolling costituisca risultato di una scelta inequivoca e documentabile dell'utente. 

Alla stessa maniera, risulta illecito l'utilizzo del cosiddetto cookie wall, intendendosi per tale quel sistema attraverso il quale l'utente deve obbligatoriamente esprimere il proprio consenso al trattamento per proseguire con la navigazione sul sito Internet. Si tratta, anche in questo caso, di una pratica che mal si addice con la necessità di garantire la tutela del potere decisionale degli utenti.

Il meccanismo di acquisizione del consenso

Per l'acquisizione del consenso informato, il Garante ha confermato il modello di informativa già in uso, prevedendo che al primo accesso al sito Internet, l'utente visualizzi un'area o un banner con specifiche indicazioni su posizionamento, dimensioni, caratteri – così da garantire una facile consultazione, una discontinuità con i contenuti della pagina che si sta visitando, ma anche per evitare il rischio di compiere scelte indesiderate oppure inconsapevoli – contenente una X selezionabile in alto a destra e un link per indirizzare alla lettura della privacy policy completa. La chiusura del banner tramite l'apposita X comporterà il permanere delle impostazioni di default: in questo caso, il titolare del trattamento dovrà registrare la decisione dell'utente e non potrà riproporre la richiesta del trattamento. Questo perché, secondo l'avviso del Garante, la reiterazione del banner è idonea a inficiare sulla formazione della libera scelta dell'utente. 

Una volta espresse le preferenze, la richiesta di consenso ai cookie potrà essere riproposta soltanto dopo sei mesi, a meno che non siano emerse nel frattempo una delle seguenti situazioni:

  • Cambiamento significativo delle condizioni del trattamento
  • Impossibilità per il gestore di tenere traccia della scelta dell'utente

L'utente ha sempre il diritto di revocare in qualsiasi momento il consenso precedentemente prestato attraverso un'apposita area da posizionare nel footer del sito. 

Mostra i commenti