Il 10 luglio 2021, il Garante per la Protezione dei Dati Personali guidato dal Presidente Pasquale Stanzone, ha approvato le nuove linee guida sui cookie, frutto della consultazione pubblica promossa alla fine dello scorso anno e dalla necessità di aggiornamento scaturita dopo le modifiche della normativa circa la Protezione dei Dati introdotte a livello legislativo italiano ed europeo (le precedenti linee guida risalivano al 2014).
I cookie, stringhe di testo che i siti web visitati dagli utenti (detti “publisher”) o web server diversi (cookie di “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, sono stati negli ultimi anni oggetto di varie polemiche circa natura, finalità e metodologie della loro implementazione. In base a reclami, segnalazioni e richieste di pareri pervenuti all’Autorità Garante è evidente come molti provider e siti web abbiano avuto difficoltà nel portare avanti le indicazioni del legislatore: a mero titolo di esempio si possono citare le casistiche di non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
L’intervento del Garante quindi è stato innanzitutto pensato con l’intenzione di fare chiarezza riguardo una tematica ricca di dubbi e zone d’ombra, pur così importante nell’economia digitale e nella società iper-connessa: tutti noi abbiamo giornalmente a che fare con richieste di accettazione e consenso di cookie prima di continuare la navigazione in un sito internet piuttosto che in un altro; la consapevolezza di poter cedere parte dei nostri dati per trovarsi profilati mediante la nostra attività di ricerca nel web non è ancora del tutto interiorizzata e sentita dagli utenti che usano i vari dispositivi quotidianamente.
La distinzione più importante, ribadita nuovamente dal Garante nelle linee guida, è senza dubbio quella che riguarda i cookie tecnici, essenziali per il corretto funzionamento di un sito web e dei servizi ad esso collegati, e i cookie analitici o di profilazione, i quali devono essere esplicitamente comunicati con un apposito banner in fase di navigazione, oltre che ottenere un consenso chiaro ed esaustivo da parte dell’utente per il loro utilizzo.
I cookie tecnici non richiedono il consenso, ma vanno comunque comunicati nell’informativa cookie, strumento obbligatorio e facilmente raggiungibile dall’utente che decide di esplorare il nostro sito. I cookie analytics sono equiparabili agli altri identificatori tecnici solo nel caso in cui vengono utilizzati per produrre statistiche aggregate o viene mascherata, per quelle di terze parti, almeno la quarta componente dell’indirizzo IP: quando vengono in questo modo minimizzati si astengono dal combinare i vari dati recepiti e trasmetterli ad ulteriori terzi.
Il regolamento Europeo sulla Protezione dei Dati – noto universalmente come GDPR – ha introdotto alcune fondamentali novità che hanno intaccato anche la gestione dei cookie da parte del titolare del trattamento: responsabilizzazione, consenso esplicito e non estorto – deve essere inequivocabile – integrazione dell’informativa con la specificazione delle tempistiche di conservazione dei dati e il rispetto dei principi di privacy by design e by default.
Le linee Guida stabiliscono nuovi stingenti criteri per rendere l’informativa cookie compliance al GDPR: chiara e leggibile, deve essere collegata alla homepage e facilmente raggiungibile nonché leggibile da parte di chi ha disabilità e quindi necessita di particolari tecnologie assistive; inoltre deve essere in ogni caso “linkata” la privacy policy completa adottata dove poter trovare tutti i riferimenti utili al fine di far valere i diritti sanciti dal dettato del Regolamento UE.
L’indicazione dei vari cookie utilizzati (tecnici, terze parti, di marketing, analitici, di profilazione) può essere espressa in modo chiaro attraverso un banner dedicato, attraverso il quale è sempre possibile prestare il consenso e revocarlo: su questo punto il Garante chiede concreti passi avanti ai gestori dei siti web, evitando spiacevoli pratiche tutt’ora in vigore come la reiterazione della richiesta del consenso in presenza di un mancata prestazione dello stesso, tranne nel caso in cui mutano in modo significativo le condizioni del trattamento o se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner. In definitiva, il consenso non si può richiedere ogniqualvolta venga ritenuto necessario, ma rispettando un intervallo almeno semestrale.
Buona prassi, consigliata dal Garante, sarebbe quella di impiegare un’icona o altro accorgimento tecnico (da inserire preferibilmente nel footer di ogni pagina del dominio) che indichi, anche a titolo esaustivo, lo stato dei consensi in precedenza resi dall’utente consentendo eventuale modifica.
Il nuovo provvedimento proibisce, da ultimo, due modalità di raccolta del consenso molto diffuse, le quali vengono di fatto inibite: lo “scrolling” – il semplice scorrere con il mouse l’homepage che comporta la sparizione del banner cookie – e il “cookie wall”, il “muro” cookie che appare non appena si accede ad un sito web, laddove il non considerarlo impedisce l’effettiva navigazione.
Nel primo caso la liceità del trattamento è tale sala solo quando l’utente, all’interno di un processo più articolato, sia in grado di registrare un evento che venga qualificato come azione positiva idonea a manifestare in maniera limpida la volontà di prestare il consenso del trattamento; nel secondo caso l’utilizzo viene considerato illecito, salvo casistiche particolari da valutare caso per caso.
Il tempo per organizzazioni pubbliche o private di adeguarsi alle linee guida è di 6 mesi dalla loro pubblicazione: entro il 10 gennaio 2022 tutti i siti web online dovranno una volta di più dimostrare di essere stati in grado di perfezionare la gestione dei cookie, ancora oggi piena di incertezze, tentennamenti e ambiguità.